ゲートウェイとして機能する1つのシステム(「と呼ばれるmaster)とプライベートIPアドレスのみを持つ複数のシステム(「といいます」s01)で構成されるクラスタ構成がありますs09。
最近インストールしましたが、ufwゲートウェイmasterの背後にあるコンピュータが外部インターネットにアクセスできなくなることがわかりました(wget google.com失敗)。
ログを確認してみるとこんな内容がありました。
[609940.531858] [UFW BLOCK] IN=eth1 OUT=eth0 MAC=00:25:90:0c:e0:5b:00:25:90:32:3c:9e:08:00 SRC=192.168.0.178 DST=172.217.6.78 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=58107 DF PROTO=TCP SPT=59584 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0 MARK=0x9
に次のルールを追加しましたufw。
ufw allow from 192.168.0.178
ufw reload
これは状態の出力ですufw。
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
Anywhere ALLOW 192.168.0.178
22 ALLOW Anywhere (v6)
残念wgetながら、まだ失敗し、UFW BLOCKログに上記のような行が表示されます。
ゲートウェイの背後にあるホストからのアウトバウンドトラフィックを許可するようにufwを正しく設定するにはどうすればよいですか?
答え1
いくつかの調査の終わりに、UFWは基本的に要求の配信を拒否するという事実を発見しました。 1つの可能な解決策はedit/etc/default/ufwとsetDEFAULT_FORWARD_POLICY="ACCEPT"ですが、これは安全ではないようです。
代わりに、次の規則を/etc/ufw/before.rules。
# Eth0 is public, Eth1 is private.
-A FORWARD -i eth1 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT