Bridge e OpenVPN com shorewall

Navegue suas respostas
3

Eu tenho este cenário e tudo está funcionando bem, mas eu quero configurar o meu Shorewall e não posso fazê-lo.

Minhas interfaces são: 

br0 (bridge of eth0)
tun0 (OpenVPN)
vnet* (each one of bridged interfaces with public IP's)


Public Main IP: 188.165.X.Y
OpenVPN IP's: 172.28.0.x
Bridge: public ip's

Então, eu tenho a próxima configuração para shorewall:

/ etc / shorewall / zones 

#ZONE   TYPE        OPTIONS     IN          OUT
#                               OPTIONS     OPTIONS
fw      firewall
inet    ipv4
road    ipv4

/ etc / shorewall / interfaces 

#ZONE   INTERFACE   BROADCAST       OPTIONS
inet    br0         detect          routeback
road    tun+        detect          routeback

/ etc / shorewall / policy 

#SOURCE DEST    POLICY      LOG LIMIT:      CONNLIMIT:
#               LEVEL   BURST       MASK
$FW  all     ACCEPT
inet    $FW  DROP       info
road    all     DROP
inet    road    DROP

/ etc / shorewall / túneis 

#TYPE           ZONE        GATEWAY     GATEWAY
#                                       ZONE
openvpnserver:1194          inet      0.0.0.0/0

O problema é que, mesmo com o shorewall em execução, posso fazer ping ou conectar-me às máquinas virtuais por trás da ponte

    
por blacksoul 29.06.2012 / 01:03

1 resposta

4

Você não deve ser interfaces de firewall que são membros de uma ponte, apenas a interface de ponte em si. Uma bridge é um domínio da camada 2, enquanto o iptables é um firewall da camada 3, portanto, ele só funciona quando o host está roteando pacotes na camada 3.

No seu caso, o Shorewall deve saber apenas sobre br0 e tun+ , pois eth0 e vnet+ são membros de br0 . Se você quiser policiar o tráfego entre as VMs e a Internet, altere sua configuração para não vincular as VMs à LAN (ou seja, use eth0 de br0 ).

    
por 29.06.2012 / 01:11

Tags

ferramentas Iproute2 vs ferramentas conntrack O que torna o Lustre mais rápido e mais escalável que o NFS?