iptablesルールはインバウンドには適用されますが、アウトバウンドには適用されません。

tag-icon tag-icon linux rhel iptables
iptablesルールはインバウンドには適用されますが、アウトバウンドには適用されません。

5つのWindowsワークステーション(異なるバージョン)が管理されていないスイッチに接続され、Sambaを実行しているNASに接続されている次のデータがストレージクラスタにプッシュされます。これはさまざまな理由で問題が発生したため、トラフィックがストレージクラスタに直接移動できるようにNASをファームウェアに切り替えました。これ以外にも…これはうまくいきますが理解できません。なぜ効果があり、本当に面倒です。これが私がすることです。

重要な場合は、RHEL 6 サーバーです。現在実行中のiptablesのバージョンが何であるかわかりません...仕事用コンピュータでは見ていません。

インターフェースem1はDMZに接続され、インターフェースem2はプライベートネットワークである。

これらのルールを設定すると、すべてが消えますが、ワークステーションが非準拠のオープンインターネットにアクセスできるようになります。

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth2 -j ACCEPT
iptables -A FORWARD -o eth2 -j ACCEPT

そのため、必要なサービスへのアウトバウンド接続のみを許可するように設定しました。

-A FORWARD -i em2 -j ACCEPT
-A FORWARD -d <DNS> -o em2 -p udp -m multiport --ports 53 -j ACCEPT
-A FORWARD -d <DNS> -o em2 -p udp -m multiport --ports 53 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -o em2 -p tcp -m multiport --ports 137,138,139,445 -m iprange --dst-range <STORAGE> -j ACCEPT
-A FORWARD -o em2 -p udp -m multiport --ports 137,138,139,445 -m iprange --dst-range <STORAGE> -j ACCEPT
-A FORWARD -d <NTP> -o em2 -p udp -m multiport --ports 123 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT

これは接続されていませんが、裏返すとすべてが機能します!

-A FORWARD -o em2 -j ACCEPT
-A FORWARD -d <DNS> -i em2 -p udp -m multiport --ports 53 -j ACCEPT
-A FORWARD -d <DNS> -i em2 -p udp -m multiport --ports 53 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -i em2 -p tcp -m multiport --ports 137,138,139,445 -m iprange --dst-range <STORAGE> -j ACCEPT
-A FORWARD -i em2 -p udp -m multiport --ports 137,138,139,445 -m iprange --dst-range <STORAGE> -j ACCEPT
-A FORWARD -d <NTP> -i em2 -p udp -m multiport --ports 123 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT

これが効果があるようです。--ポート53、88などをインバウンドトラフィックの送信元ポートと一致させます。アウトバウンドルールがターゲットポートと一致しない理由はわかりません。私が使うとき--dports変える--ポート、うまくいかなかったので、次に切り替えました。--ポート。だから私は迷子になりました...誰かが私にこれを説明できますか?愚かな気がします。

ベストアンサー1

おすすめ記事