启用ipsec、ah和esp (在CentOS上)

Question

在我的CentOS上，我在运行firewalld，而我的eth0处于默认区域。我使用dockers来进行服务通信，而在dockers中，我启用了加密。Docker创建一个覆盖网络并使用IPSEC。但是firewalld掉了IPSEC连接。我找到了一个链接，它有大约5-6条命令供IPSEC使用，如果我播放这些命令，事情就会很好。这些列在此链接https://www.centos.org/forums/viewtopic.php?t=56130上。

我不清楚默认区域在哪里，我的网卡eth0在哪里，我必须修改dmz区域。伪装和端口4500的用途是什么？

firewall-cmd --zone=dmz --permanent --add-rich-rule='rule protocol value="esp" accept'

firewall-cmd --zone=dmz --permanent --add-rich-rule='rule protocol value="ah" accept'

firewall-cmd --zone=dmz --permanent --add-port=500/udp 

firewall-cmd --zone=dmz --permanent --add-port=4500/udp 

firewall-cmd --permanent --add-service="ipsec"

firewall-cmd --zone=dmz --permanent --add-masquerade

Answer 1

伪装规则告诉系统在传出连接上启用nat，这是使用专用内部寻址的网络的典型情况。这是一条与ipsec技术无关的路由规则。端口4500用于ipsec nat遍历，当一方或双方落后于其他路由器并且没有自己的可路由ip地址时。每个nic属于一个区域，区域是预先配置的规则。内部、非军事区和公共部门之间有很大的不同。