Trên Linux Centos7, tôi có một số lưu lượng được định tuyến bằng các tuyến tĩnh từ giao diện này sang giao diện khác.
Tôi đã nhận thấy rằng với tường lửa được kích hoạt, cả hai giao diện được thêm vào một vùng và không có gì được phép trong vùng này, tất cả lưu lượng truy cập vẫn được định tuyến mà không có bất kỳ hạn chế nào.
Tôi đã cố định cấu hình ip_forward=0 : sau đó lưu lượng không được định tuyến nữa.
Sau đó, tôi đã thêm quy tắc FORWARD trong tường lửa direct.xml : lưu lượng được định tuyến và lọc.
Câu hỏi của tôi là:
- Cài đặt kernel ip_forward có "bỏ qua" tường lửa không?
- Tại sao trên các diễn đàn khác nhau, người ta giải thích rằng ip_forward là bắt buộc để định tuyến lưu lượng truy cập từ giao diện này sang giao diện khác, nếu sử dụng FORWARD iptable hoạt động với cài đặt này bị tắt?
Tôi tìm thấy rất ít lời giải thích về mối quan hệ giữa tường lửa và kernel ip_forward và tôi muốn hiểu những gì tôi đang thiếu ở đây
CHỈNH SỬA: giả trang được bật trên vùng tường lửa
EDIT2: Tôi đã thực hiện các thử nghiệm khác và có vẻ như đây không phải là về cài đặt ip_filter, mà là giả trang. Tôi đã bị lừa bởi thực tế là "firewall-cmd --reload" buộc ip_forward thành 1.
Đây là cách tái tạo trường hợp của tôi:
Hệ điều hành Centos7 mới. Cấu hình 2 interface eth1 và eth2 với địa chỉ ip X và Y
-----------------> @X CENTOS @Y -----------------> @Z -------
dst_IP = A dst_IP = A
src_IP = B dst_IP = B
chỉnh sửa /etc/firewalld/zones/TEST.xml, thêm hai giao diện, kích hoạt masquerade.
thêm một tuyến đường như sau:
Cổng đích GenMask
A Z 255.255.255.255
Sau đó kích hoạt chuyển tiếp ip hủy kích hoạt rp_filter :
sysctl net.ipv4.ip_forward=1
sysctl net.ipv4.conf.eth1.rp_filter=2
sysctl net.ipv4.conf.eth2.rp_filter=2
Trong thiết lập này, paquets được chuyển sang @Z, nhưng không có quy tắc nào trong tường lửa được định cấu hình để chấp nhận chúng và tôi không hiểu tại sao
