新しいファイアウォールデーモンを使用するDebian 11があり、eth1に接続されているデバイスがあります。インターネットまたは10.147.20.0/24の範囲のローカルIP以外のIPからのすべての接続をブロックしたいと思います。
ファイアウォールを使用できますか?内部ブロックゾーンを試しましたが、まだ可能ですping www.yahoo.com。
[アップデート1]
eth0 -> connected to internet
eth1 -> local devices ex. NAS
tap1 -> VPN
eth2 -> Update
私は次のポリシーが欲しい。
tap1: should be able to surf through eth0
tap1: access eth1, eth2
eth1: communicate with tap1, eth2
eth2: communicate with tap1, eth1, eth0 to surf internet
また、eth1、eth2、tap1を同じブリッジに入れましたbr0
答え1
ブリッジbr0を作成し、インターネットでeth0を偽造する問題の解決策を見つけました。
この場合、br0に接続されたすべてのインターフェースはインターネットに公開されます。これはファイアウォールの問題ではなく、ネットワーク設計の問題です。
解決策:
まず、eth0を変装してインターネットを通過します。
次に、ブリッジをbrctlの使用からopenvswitchの使用に変更します。
その後、openflowを使用してopenvswitchにファイアウォールを追加し、eth1がこのルールを使用してインターネットにアクセスすることを禁止しました。
ovs-ofctl add-flow br0 "優先順位=200,ip,nw_dst=192.168.188.0/24,in_port=eth1,actions=drop"
ルーターアドレス: 192.168.188.0/24