Forma correta de configurar o roteador NAT do CentOS7?

Navegue suas respostas
1

O plano de fundo

Eu procurei e vasculhei a web em busca de informações sobre a configuração adequada de um host NAT executando o CentOS7 e o firewalld para mais de uma rede privada.

Eu tenho um ambiente de trabalho para o esforço principal; ou seja, todos os hosts podem acessar a Internet através do host NAT.

No entanto, quero entender quais etapas fizeram o quê, por que todos os hosts privados podem se comunicar com todas as outras sub-redes privadas. Inicialmente, presumi que os hosts privados ficariam protegidos contra firewalls de outras redes privadas, mas agora entenda - ou assuma - que minha configuração apenas abriu o lado privado da rede entre eles.

A (s) pergunta (s)

  • Qual é o melhor recurso disponível no firewalld que não lê como um manual de TL; DR?

  • Ao configurar os hosts NAT conforme declarado abaixo, estou correto em meu entendimento de que as regras FORWARD e ACCEPT fornecidas são permitir que as redes mencionadas se comuniquem com QUALQUER rede privada que o gateway NAT conhecer?

host 01 : gateway (no VMware Fusion)
CentOS7 executando firewalld (host 01)
 - ens33 (Rede pública, 192.168.0.200/24)
 - ens37 (rede privada # 1 - 192.168.1.200/24)
 - ens38 (rede privada # 2 - 192.168.11.1/24)
 - ens39 (Rede Privada # 3 - 192.168.12.1/24)

Objetivo:

  • Eu quero não apenas permitir serviços normais de NAT para todas as redes privadas (o que está funcionando bem), mas eu quero permitir somente as redes privadas # 2 & # 3 para se comunicar uns com os outros.
  • Eu não quero que eles (# 2 ou # 3) se comuniquem com a rede nº 1 neste momento.

O Detalhe - Etapas que eu completei configurando o firewalld e o host

Encaminhamento permitido
Eu modifiquei o arquivo /etc/sysctl.conf com o seguinte:
net.ipv4.ip_forward=1
e depois de recarregar o sysctl.conf via sysctl -p , confirmou que ele está ativo porque /proc/sys/net/ipv4/ip_forward possui o valor de 1.

zonas adicionadas
firewall-cmd --permanent --add-zone=vmnet3
firewall-cmd --permanent --add-zone=vmnet4

interfaces adicionadas às zonas apropriadas
firewall-cmd --permanent --zone=public --add-interface=ens33
firewall-cmd --permanent --zone=internal --add-interface=ens37
firewall-cmd --permanent --zone=vmnet3 --add-interface=ens38
firewall-cmd --permanent --zone=vmnet4 --add-interface=ens39

ativou o mascaramento
firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -o ens33 -j MASQUERADE

Adicionadas regras para as redes privadas (zona interna)
Estou correto em que isso permite que o host NAT direcione o tráfego para a internet ? Isso afeta a comunicação intranetwork entre as redes privadas (interfaces37, 38 e 39)?

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens37 -o ens33 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens33 -o ens37 -m state --state RELATED,ESTABLISHED -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens38 -o ens33 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens33 -o ens38 -m state --state RELATED,ESTABLISHED -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens39 -o ens33 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens33 -o ens39 -m state --state RELATED,ESTABLISHED -j ACCEPT

    
por DSpencer 23.04.2018 / 22:46

0 respostas

Tags

qual é a melhor abordagem para corrigir a corrupção do sistema de arquivos em dados enormes É possível ocultar dispositivos de origem mdadm?