📌

firewalld

1 min read
firewall-cmd --permanent

恒久的に設定を反映させたい場合「--permanent」オプションを指定

firewall-cmd -change-interface=○○○○○○

インターフェイスのゾーン変更

cat /proc/sys/net/ipv4/ip_forward
0
firewall-cmd --add-masquerade

firewall-cmd --add-masquerade で cat /proc/sys/net/ipv4/ip_forward を「1」にする
※IPフォワードを有効

--direct

--directオプションを指定することでダイレクトルールの設定ができます。

--add-rule

--add-ruleオプションを指定することでダイレクトルールを追加できます。

nat POSTROUTING 0 -o ens1 -j MASQUERADE

POSTROUTING = 送信時に変換するチェイン
-o(--out-interface) デバイス = パケットが出ていくインターフェイスを指定
-j(--jump) ターゲット = パケットがマッチしたときのアクション(ターゲット)を指定
-j MASQUERADE = IPマスカレードを行う

ipv4 filter FORWARD 0 -i ens2 -o ens1 -j ACCEPT

filterテーブルがデフォルトテーブル
FORWARD = フォワードするパケット
-i(--in-interface) デバイス = パケットが入ってくるインターフェイス(eth0、eth1など)を指定
o(--out-interface) デバイス = パケットが出ていくインターフェイスを指定
ACCEPT = パケットの通過を許可

-i ens1 -o ens2 -m state --state RELATED,ESTABLISHED -j ACCEPT

「ens1からens2へ出ていくパケット」もステートフル性を確認できたものを許可するようにします。

Discussion

ログインするとコメントできます