Routing

阻止針對另一個網路的轉發流量

  • October 14, 2014

我正在了解有關 firewalld 的更多資訊,並且我已經能夠創建一個不安全的網路,我可以從我的內部網路連接到該網路,但是現在,我一直試圖阻止不安全的網路到達我的內部網路。

這是網路拓撲的圖像(大部分內部網路是虛擬化的,所有不安全在此處輸入圖像描述的網路都是虛擬化的):

在連接 2 個網路的 Centos7 盒子上,我配置了 IP 轉發並添加了直接規則(與此問題相同)。不安全網路上的節點將Centos7 作為預設網關(考慮到這些盒子將被允許訪問網際網路,但不允許訪問內部網路)。

綜上所述,內網的節點可以訪問不安全的網路,但是不安全的網路仍然可以訪問內網的部分IP(尤其是Centos7內網的IP地址以及vmware主機的IP地址)內部網路)。除了這兩個之外,“不安全”網路無法訪問內部網路中的任何其他 IP。

所以最後,問題是,我可以拒絕來自以內部網路為目的地的不安全網路的任何內容嗎?

假設您可以將“內部”網路的邊界和邊界定義為 IP 子網,當然。

您的 CentOS 7 機器充當網路之間的網關,是您想要創建防火牆規則以應用所需策略的地方。firewall-cmd我對新工具和幾乎沒有經驗firewalld,但從概念上講,您正在查看FORWARD鏈中的阻塞流量,其中源介面是連接到“不安全”網路的介面,而目標 IP 地址屬於“內部”網路子網。

假設以下情況屬實,您可能可以使用下面的命令來獲得您想要的。

  • 不安全的網路介面是eth1
  • 內部網路子網為 192.168.100.0/24

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -s eth1 -d 192.168.100.0/24 -j DROP

(這個命令完全未經測試——如果它殺死了你的寵物,讓你的房子著火,或者讓你失去工作,不要說我沒有警告你。)

顯然,您必須執行 afirewall-cmd --reload才能使更改生效。

引用自:https://serverfault.com/questions/636523