Firewalld - мне нужно разрешить трафик c из внешней сети во внутреннюю сеть через маршрутизатор Centos 7 / межсетевой экран NAT - PullRequest
Новая
       30

Firewalld - мне нужно разрешить трафик c из внешней сети во внутреннюю сеть через маршрутизатор Centos 7 / межсетевой экран NAT

0 голосов
/ 17 апреля 2020

У меня есть внутренняя частная VLAN (192.168.100.x / 24) и внешняя VLAN (10.xxx/16). Внешняя VLAN имеет маршрут к inte rnet.

. Я использую виртуальную машину Centos с сетевыми номерами для обоих vlan, чтобы действовать как своего рода маршрутизатор и разрешить внутреннему трафику vm c выходить наружу через маскарад.

Мне нужно несколько виртуальных машин из 10.xxx для доступа и доступа к сервисам на 192.168.100.x. Они будут иметь ip этих виртуальных машин и могут маршрутизировать во внутреннюю сеть через упомянутый маршрутизатор Centos.

Я обнаружил, что пинг работает от внешнего (10.xxx) к внутреннему, однако s sh не.

Есть ли способ добиться этого в firewall-cmd без использования прямых команд iptable?

У меня есть следующие активные зоны .. 

    [root@centos ~]# firewall-cmd --list-all --zone=masqerade
masqerade (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: yes
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

[root@centos ~]# firewall-cmd --list-all --zone=pcallow
pcallow (active)
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 10.134.87.69
  services: ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

[root@centos ~]# firewall-cmd --list-all --zone=internal
internal (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth1
  sources: 
  services: ssh mdns samba-client dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

Текущий ситуация:

  1. eth0 на firwall / router / natVM опубликован c, в то время как eth1 - это частная сеть, подключенная ni c
  2. изнутри, может выходить за пределы inte rnet - ОК
  3. Виртуальная машина Centos может sh подключиться к внутренним виртуальным машинам - ОК
  4. Я заблокировал маршрутизатор - только iP 10.134.87.69 может sh пройти по маршруту - OK
  5. Мне нужно s sh для виртуальных машин во внутренней сети от 10.134.87.69 (и несколько других ips) - этого не происходит.

Я вижу, что это Я был здесь, но мне было интересно, есть ли способ без использования прямой команды iptables: * 1 028 *

https://serverfault.com/questions/835246/centos-7-router-firewalld

...