Shorewall丢弃IP

Question

在我们的局域网环境中，我们在Linux服务器上使用海岸墙。使用windows的客户端计算机。

当我试图从我的windows机器连接到远程计算机(远程计算机有静态IP)时，会丢弃静态IP的岸壁。我在岸壁规则上写了一个例外，即使岸壁掉了IP。请参阅以下日志信息：

Apr 28 16:13:46 system1 kernel: Shorewall:all2all:DROP:IN=eth1 OUT=eth0 SRC=192.168.21.12 DST=<Static IP> LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=62316 DF PROTO=TCP SPT=1822 DPT=1723 WINDOW=65535 RES=0x00 SYN URGP=0

我在岸壁上写的例外规则：

接受:info loc fw tcp 1723

我做错了什么？

Answer 1

日志语句中显示"Shorewall: all2all : DROP“的部分表明，您的书面接受语句没有捕获数据包，因为正在触发默认的all2all删除规则(在policy文件中找到)。

接受规则的:info部分是我不熟悉的格式，可能是该规则不起作用的原因。我建议使用：

#ACTION         SOURCE          DEST            PROTO   DEST    SOURCE
#                                                       PORT
ACCEPT          loc             fw              tcp     1723

但是，“fw”区域(默认情况下)是防火墙本身，因此只有当目标是防火墙的IP本身，并且在任何其他网络上没有其他客户端时，才会接受数据包。这可能是这条规则不像预期那样起作用的另一个原因。您可以考虑将“fw”替换为包含目标主机的区域的名称。