私は4つのイーサネットポートを持つPCEnginesマイクロコンピュータを持っており、その目的はすぐに期限切れになるWatchGuardボックスを交換するために使用することです。私はLinuxファイアウォールに慣れていませんが、このようなことを試すのは初めてで、通常1つまたは2つのNICを持つ単一のシステムにのみ興味があります。
現在の設定は
ISP Box >(enp1s0)> Linux Box >(enp2s0)> Switch > Server
> Wifi AP
IPTableを設定した後:
[root@Firewall ~]# cat /etc/sysconfig/iptables
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i enp1s0 -p tcp -m multiport --dports 80,443,8096,8920 -j ACCEPT
-A INPUT -i enp2s0 -j ACCEPT
-A INPUT -i wlp5s0 -j ACCEPT
-A INPUT -i enp2s0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i wlp5s0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i enp1s0 -o wlp5s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlp5s0 -o enp1s0 -j ACCEPT
-A FORWARD -i enp1s0 -o enp2s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp2s0 -o enp1s0 -j ACCEPT
COMMIT
それはうまくいきますが、サーバーからWi-Fiへのトラフィックに問題があり、サーバーからインターネットに80と8096(SSLを設定するとすぐに443と8920になる)を開く必要があります。スイッチの背後でこれを処理する方法がわかりません。 (PCEnginesボックスのWiFi速度がレベル以下なので一時的に無効にしました。)
より良い設定についての私の考えは、すべてをファームウェアに接続し、enp2s0、enp3s0、およびenp4s0をブリッジすることです。私が試した転送ルールは、私のスイッチが設定された方法で動作しないようです(また、IPTableを変更することはまったくロックします)、再起動するのではなく再ロードし、時には再起動が必要な場合でも何が起こっているのかわかりません。だから毎回オフライン状態になるので、実験を続けることを嫌がらせました。
ブリッジがこれを行う正しい方法ですか?多くのランダムガイドで提案されているように、ブリッジまたはブリッジユーティリティを生成するにはnmcliを使用する必要がありますか? IPTablesに対して行っていることを行うより良い方法があることを知っていますが、ブリッジングを実行している場合は、そこで何をすべきですか?