【20240119 追記】
nmcli c add type ethernet ifname enp2s0 con-name "ngw_internal" ethernet.mtu 1500
nmcli c mod ngw_external ipv4.method manual
nmcli c mod ngw_external connection.autoconnect yes
nmcli c mod ngw_internal ipv4.addresses 10.0.0.201/24
nmcli c mod ngw_internal ipv4.method manual
nmcli c mod ngw_internal connection.autoconnect yes
nmcli connection modify ngw_internal connection.zone internal
firewall-cmd --zone=external --add-masquerade --permanent
以下不要かも?
# firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -o enp7s0 -j MASQUERADE# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp6s0 -o enp7s0 -j ACCEPT
# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp7s0 -o enp6s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
確認。
internet d42fca83-c673-4621-b7c8-ce144ed2e37e ethernet enp1s0
vlan_dmz 0a7a0428-15de-41c6-8143-ea8ea2684f25 ethernet enp4s0
vlan_dmz_front a26299af-62df-45c6-bcfc-1cbd57484981 ethernet enp3s0
vlan_monitor 38836aef-a8c5-4903-9c65-eca6f6831c43 ethernet enp2s0
# firewall-cmd --get-active-zone
external
interfaces: enp3s0
internal
interfaces: enp4s0
public
interfaces: enp1s0 enp2s0
【IPマスカレード】
firewall-cmd --list-all --permanent --zone=external
これも忘れないように。
# firewall-cmd --add-port=10050/tcp --zone=internal --permanent
# firewall-cmd --reload
# firewall-cmd --zone=internal --list-all
---------------------前の記載-----------------------------------------
# nmcli c
NAME UUID TYPE DEVICE internet d42fca83-c673-4621-b7c8-ce144ed2e37e ethernet enp1s0
vlan_dmz 0a7a0428-15de-41c6-8143-ea8ea2684f25 ethernet enp4s0
vlan_dmz_front a26299af-62df-45c6-bcfc-1cbd57484981 ethernet enp3s0
vlan_monitor 38836aef-a8c5-4903-9c65-eca6f6831c43 ethernet enp2s0
# nmcli d
DEVICE TYPE STATE CONNECTION
enp1s0 ethernet 接続済み internet
enp2s0 ethernet 接続済み vlan_monitor
enp3s0 ethernet 接続済み vlan_dmz_front
enp4s0 ethernet 接続済み vlan_dmz
lo loopback 管理無し --
DEVICE TYPE STATE CONNECTION
enp1s0 ethernet 接続済み internet
enp2s0 ethernet 接続済み vlan_monitor
enp3s0 ethernet 接続済み vlan_dmz_front
enp4s0 ethernet 接続済み vlan_dmz
lo loopback 管理無し --
# firewall-cmd --get-active-zone
public
interfaces: enp1s0 enp2s0 enp3s0 enp4s0
public
interfaces: enp1s0 enp2s0 enp3s0 enp4s0
# nmcli connection modify vlan_dmz connection.zone internal
# nmcli connection modify vlan_dmz_front connection.zone external
external
interfaces: enp3s0
internal
interfaces: enp4s0
public
interfaces: enp1s0 enp2s0
# /etc/sysctl.conf
net.ipv4.ip_forward=1
# sysctl -p
net.ipv4.ip_forward=1
# sysctl -p
# cat /proc/sys/net/ipv4/ip_forward
# firewall-cmd --zone=external --add-masquerade --permanent # マスカレード設定
success
# firewall-cmd --zone=external --query-masquerade # 確認
yes
# firewall-cmd --zone=external --add-masquerade --permanent # マスカレード設定
success
# firewall-cmd --zone=external --query-masquerade # 確認
yes
# firewall-cmd --list-all --zone=external
external (active)
target: default
icmp-block-inversion: no
interfaces: enp3s0
sources:
services: ssh
ports:
protocols:
forward: no
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:
# firewall-cmd --zone=external --add-forward-port=port=18080:proto=tcp:toport=80:toaddr=192.168.31.254 --permanent
# firewall-cmd --zone=external --add-forward-port=port=28080:proto=tcp:toport=80:toaddr=192.168.31.102 --permanent
# firewall-cmd --reload
# firewall-cmd --zone=external --list-all
external (active)
target: default
icmp-block-inversion: no
interfaces: enp3s0
sources:
services: ssh
ports:
protocols:
forward: no
masquerade: yes
forward-ports:
port=28080:proto=tcp:toport=80:toaddr=192.168.31.102
port=18080:proto=tcp:toport=80:toaddr=192.168.31.254
source-ports:
icmp-blocks:
rich rules:
# firewall-cmd --list-all-zones # 全てのzoneを表示
# firewall-cmd --get-default-zone # defaultで設定されるzone
# firewall-cmd --get-services # 設定できるサービス一覧
# firewall-cmd --set-default-zone=block # default zoneの変更
# firewall-cmd --direct --get-all-rules
firewall-cmd --get-zones ゾーン一覧
firewall-cmd --list-all-zone すべてのゾーン
firewall-cmd --get-active-zone 現在のゾーンとそれに紐付くインターフェイス
firewall-cmd --get-default-zone デフォルトゾーン確認
firewall-cmd --get-default-zone デフォルトゾーン確認
firewall-cmd --set-default-zone=external デフォルトゾーンの変更
firewall-cmd --list-all デフォルトゾーンの設定を表示
firewall-cmd --list-all --zone=external
firewall-cmd --get-services 定義されているサービス一覧
firewall-cmd --list-service --zone=external externalゾーンに適用されているサービス
firewall-cmd --add-service=ftp --zone=external externalゾーンにftpサービスを加える
firewall-cmd --add-service=ftp --zone=external --permanent 恒久的に加える
firewall-cmd --reload firewalldに設定を再読み込みさせる
firewall-cmd --list-ports --zone=external externalゾーンで公開されているポート。
firewall-cmd --add-port=10050-10051/tcp --zone=external --permanent 公開ポートの追加
firewall-cmd --reload
firewall-cmd --list-service --zone=external externalゾーンに適用されているサービス
firewall-cmd --add-service=ftp --zone=external externalゾーンにftpサービスを加える
firewall-cmd --add-service=ftp --zone=external --permanent 恒久的に加える
firewall-cmd --reload firewalldに設定を再読み込みさせる
firewall-cmd --list-ports --zone=external externalゾーンで公開されているポート。
firewall-cmd --add-port=10050-10051/tcp --zone=external --permanent 公開ポートの追加
firewall-cmd --reload
# systemctl restart NetworkManager
0 件のコメント:
コメントを投稿