Question Pare-feu centOS 7 mascarade


J'essaie de faire l'équivalent de cette règle iptables dans firewalld

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Comment puis-je faire ceci?


7
2017-08-22 12:21


origine




Réponses:


Pour configurer le masquage sur la zone externe, tapez:

# firewall-cmd --zone=external --add-masquerade

externe: Pour une utilisation sur des réseaux externes avec le masquage activé spécialement pour les routeurs. Vous ne faites pas confiance aux autres ordinateurs du réseau pour ne pas endommager votre ordinateur. Seules les connexions entrantes sélectionnées sont acceptées.

interne: Pour une utilisation sur les réseaux internes. Vous faites surtout confiance aux autres ordinateurs des réseaux pour ne pas nuire à votre ordinateur. Seules les connexions entrantes sélectionnées sont acceptées.

Pour référence:

http://www.certdepot.net/rhel7-get-started-firewalld/


5
2017-08-22 12:45



Je reçois un avertissement ALREADY_ENABLED. Cela devrait-il être le cas? - Jacob Tomlinson
En outre, il n'y a aucune mention de 10.8.0.0/24 dans votre config. - Jacob Tomlinson
@JacobTomlinson Dans ce cas, il est déjà activé et votre question n'a aucun sens. - Michael Hampton♦
oui @JobobTomlinson a raison, si actif que ce qui est réellement question - TBI Infotech


Vous n'utilisez pas directement de telles règles. Vous mettez simplement votre interface (eth0) dans externe zone, qui est déjà préconfigurée dans RHEL7 / CentOS7 et sur laquelle le masquage est activé, ou vous pouvez activer le masquage sur la zone dans laquelle se trouve votre interface. Par défaut, il est public. Donc, la bonne réponse serait soit:

# firewall-cmd --zone=public --add-masquerade

ou

# firewall-cmd --change-zone=eth0 --zone=external

C'est tout ce que vous devez faire. Pour activer NAT uniquement pour un sous-réseau ou une plage particulière, vous avez besoin de la règle enrichie ou de la règle directe. C'est un peu plus complexe. Vous pouvez également simplement refuser des paquets à d'autres personnes, ce qui semble également une option.


1
2017-11-16 15:36





Sinon, vous pouvez ajouter la règle à votre: /etc/firewalld/direct.xml fichier par exemple.

<?xml version="1.0" encoding="utf-8"?>
<direct>
...
  <rule priority="0" table="filter" ipv="ipv4" chain="POSTROUTING">-table nat -jump MASQUERADE --source 10.8.0.0/24 --out-interface eth0</rule>  
</direct>

Ensuite:

firewall-cmd --reload

0
2018-06-24 12:53