Shorewall は未定義のインターフェイスを保護するために使用されます。

Shorewall は未定義のインターフェイスを保護するために使用されます。

OpenVPNで作成された仮想インターフェイス(tap0と呼びます)から発生するトラフィックをフィルタリングするためにShorewallを使用する予定です。 Shorewallが起動する前にOpenVPNはこのインターフェイスを正常に作成できませんでしたが、インターフェイスがすでにShorewallに定義されている場合、/etc/shorewall/interfaces後で正常に作成された場合にトラフィックがフィルタリングされますか?これはスクリプトフックによって異なりますか?それとも、設定で定義されているが存在しないインターフェイスに対してShorewallはルールを事前に生成しますか?

答え1

Shorewallはiptables / netfilterファイアウォールルールを構成するツールなので、netfilterのドキュメントを表示する方が効率的です。 それは言う:

現在存在しないインターフェイスを指定することは完全に正当です。ルールは、インターフェイスが表示されるまで何も一致しません。これはダイヤルアップPPPリンク(通常はppp0インターフェイス)に役立ちます。

特別な場合には、「+」で終わるインタフェース名は、その文字列で始まるすべてのインタフェースと一致します(現在存在するかどうかにかかわらず)。たとえば、すべてのPPPインターフェイスに一致するルールを指定するには、-i ppp +オプションを使用します。

簡単な確認の結果、Shorewallを実行するインターフェイスが存在しないことがわかりました。〜らしい-iルールを作成すると-o効果があります。

この設定は、IP /パス情報の知識が必要な機能(パスフィルタなど)に問題を引き起こす可能性があります。

関連情報