阻止針對另一個網路的轉發流量

我正在了解有關 firewalld 的更多資訊，並且我已經能夠創建一個不安全的網路，我可以從我的內部網路連接到該網路，但是現在，我一直試圖阻止不安全的網路到達我的內部網路。

這是網路拓撲的圖像（大部分內部網路是虛擬化的，所有不安全的網路都是虛擬化的）：

在連接 2 個網路的 Centos7 盒子上，我配置了 IP 轉發並添加了直接規則（與此問題相同）。不安全網路上的節點將Centos7 作為預設網關（考慮到這些盒子將被允許訪問網際網路，但不允許訪問內部網路）。

綜上所述，內網的節點可以訪問不安全的網路，但是不安全的網路仍然可以訪問內網的部分IP（尤其是Centos7內網的IP地址以及vmware主機的IP地址）內部網路）。除了這兩個之外，“不安全”網路無法訪問內部網路中的任何其他 IP。

所以最後，問題是，我可以拒絕來自以內部網路為目的地的不安全網路的任何內容嗎？

假設您可以將“內部”網路的邊界和邊界定義為 IP 子網，當然。

您的 CentOS 7 機器充當網路之間的網關，是您想要創建防火牆規則以應用所需策略的地方。firewall-cmd我對新工具和幾乎沒有經驗firewalld，但從概念上講，您正在查看FORWARD鏈中的阻塞流量，其中源介面是連接到“不安全”網路的介面，而目標 IP 地址屬於“內部”網路子網。

假設以下情況屬實，您可能可以使用下面的命令來獲得您想要的。

• 不安全的網路介面是eth1
• 內部網路子網為 192.168.100.0/24

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -s eth1 -d 192.168.100.0/24 -j DROP

（這個命令完全未經測試——如果它殺死了你的寵物，讓你的房子著火，或者讓你失去工作，不要說我沒有警告你。）

顯然，您必須執行 afirewall-cmd --reload才能使更改生效。

引用自：https://serverfault.com/questions/636523