ファイアウォールがインストールされているCentOSでipsec、ah、およびespを有効にします。

ファイアウォールがインストールされているCentOSでipsec、ah、およびespを有効にします。

私のCentOSでは、ファイアウォールが実行されており、私のeth0はデフォルト領域にあります。サービス通信にdockerを使用しており、dockerで暗号化が有効になっています。 Dockerはオーバーレイネットワークを作成し、IPSECを使用します。ただし、ファイアウォールは IPSEC 接続を切断します。約5〜6個のIPSECコマンドを含むリンクが見つかりました。これを実行すると、すべてがうまく機能します。このリンクに記載されています。https://www.centos.org/forums/viewtopic.php?t=56130

私のネットワークカードeth0の基本領域が何であるかわかりません。 dmz領域を変更する必要があります。迷彩とポート4500の用途は何ですか?

firewall-cmd --zone=dmz --permanent --add-rich-rule='rule protocol value="esp" accept'

firewall-cmd --zone=dmz --permanent --add-rich-rule='rule protocol value="ah" accept'

firewall-cmd --zone=dmz --permanent --add-port=500/udp 

firewall-cmd --zone=dmz --permanent --add-port=4500/udp 

firewall-cmd --permanent --add-service="ipsec"

firewall-cmd --zone=dmz --permanent --add-masquerade

答え1

マスカレーディングルールは、プライベート内部アドレッシングを使用するネットワークで通常発生する発信接続でNATを有効にするようにシステムに指示します。これはルーティングルールであり、技術的にはIPsecとは特に関係ありません。ポート4500は、一方または両方が別のルーターの背後にあり、独自のルーティング可能なIPアドレスがない場合、ipsec natパススルーに使用されます。各ネットワークカードはゾーンに属し、そのゾーンはルールで事前設定されています。内部、DMZ、公共は互いに非常に異なります。

関連情報