为连接到具有单个静态IP地址的路由器的三接口防火墙配置shorewall的masq文件

Question

我试图按照指南设置一个运行Shorewall版本5.0.4的“三界面防火墙”。(https://shorewall.org/three-interface.htm)。我也有一个Pro弧线交换机以太网。

我有一个来自我的ISP的静态IP，我的路由器使用它的网关地址和它使用的两个DNS服务器地址。

我感到困惑的地方是试图破译我的交换机上的VLAN是否需要使用这些信息？我的VLAN或者我的局域网和DMZ的另外两个网络接口需要知道我的ISP路由器吗？

这让我找到了shorewall的masq文件。

该指南规定如下：

如果您的外部IP是静态的，那么，如果您正在运行Shorewall 5.0.13或更早版本，则可以在/etc/shorewall/masq条目的第三列中输入我们的静态IP (如果您愿意的话)，尽管如果您将该列保持为空(伪装)，防火墙将正常工作。在第3列(SNAT)中输入静态IP会使发送数据包的处理更加高效。

#INTERFACE:DEST    SOURCE    ADDRESS    PROTO  PORT(S)  IPSEC  MARK  USER/  SWITCH  ORIGINAL
#                      GROUP    DEST
etho1      10.0.0.0/8,\
      169.254.0.0/16,\
      172.16.0.0/12,\
      192.168.0.0/16

我认为这些条目只包括我打算在我的VLAN上使用的子网。如果是的话，指南中提到的静态地址是我的内部防火墙IP的静态IP地址还是它的外部IP？

Answer 1

成功了。masq设置基本上允许从防火墙到交换机的网络接口作为VLAN子网的网关。

注意，源条目是我的VLAN子网