阻塞前向业务进入另一个网络

Question

我正在学习更多关于firewalld的知识，我已经能够创建一个不安全的网络，在那里我可以从我的内部网络连接，但是现在，我被困在试图阻止不安全的网络到达我的内部网络。

下面是网络拓扑的映像(大多数内部网络是虚拟化的，所有不安全的网络都虚拟化了)：

。

在连接两个网络的Centos7框上，我配置了IP转发并添加了一个直接规则(与此问题相同)。不安全网络上的节点以Centos7作为默认网关(其思想是允许这些盒子访问internet，而不是内部网络)。

这样，内部网络中的节点可以访问不安全的网络，但不安全的网络仍然可以访问内部网络上的一些IP (特别是内部网络上的Centos7 IP地址和内部网络中的vmware主机的IP)。除此之外，“不安全”的网络无法到达内部网络中的任何其他in。

因此，最后，问题是，我是否可以拒绝任何来自以内部网络为目的地的不安全网络？

Answer 1

当然，假设您可以将“内部”网络定义为IP子网。

您的CentOS 7机器充当网络之间的网关，您希望在这里创建防火墙规则以应用所需的策略。我对新的firewall-cmd工具和firewalld没有什么经验，但从概念上讲，您将看到阻塞FORWARD链中的流量，其中源接口是连接到“不安全”网络的接口，目标IP地址属于“内部”网络子网。

假设下面的内容是真的，您可能可以使用下面的命令来获得所需的内容。

• 不安全的网络接口是eth1
• 内部网络子网为192.168.100.0/24

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -s eth1 -d 192.168.100.0/24 -j DROP

(这条命令是完全未经测试的-如果它杀死了你的宠物，放火烧了你的房子，或者让你失业，不要说我没有警告你。)

显然，您必须执行firewall-cmd --reload才能使更改生效。