Запрошена справочная информация по отладке FC19 FirewallD: порты не пересылаются

Новая система Fedora Core 19 отказывается переадресовывать порт из внешней во внутреннюю зону, данные регистрации не найдены.

Сценарий состоит в том, что у меня есть система, которая служит в качестве брандмауэра / шлюза, имеет внутренний и внешний интерфейс, имеет сбой жесткого диска, и диск был заменен новой версией ОС - FC19. У меня есть старый скрипт iptables, и ни он, ни firewallD не работают правильно. Я пробовал два набора оборудования, и они возвращают немного другое поведение!

По пути некоторые вещи частично работали, и, к сожалению, я доверял новому огненному миру и продолжал идти. Теперь я немного растерялся.

САМЫЙ важный вопрос: как я могу отладить эту присоску? НИЧЕГО не работает в этом отношении (по крайней мере, для firewalld)? Я хочу, чтобы он регистрировал отклоненные попытки использовать порты, чтобы я мог выяснить, как это исправить...

Для этого я использовал синтаксис rich-rules, например так:

firewall-cmd --permanent --zone = external --add-rich-rule = 'семейство правил ="ipv4" порт прямого порта ="25" протокол ="tcp" to-port="25" to-addr="192.168.1.1" log="smtp forward" level="info"'

Это не работает, и я подозреваю, что это потому, что три действия accept, reject, and drop и port-forward неявно является директивой accept, поэтому он будет регистрировать только когда пакеты принимаются, а не когда они не принимаются. Но как это настроить, неизвестно!

Некоторые наблюдения:

У меня могут быть трудности из-за именования интерфейсов. Было бы неплохо, если бы firewalld сказал мне, что, по его мнению, должны быть интерфейсы, а не я догадываюсь. Я получаю одно имя из ifconfig, а другое - из маршрута и, по крайней мере, в одной системе, но другое имя используется в скриптах по умолчанию /etc/sysconfig/network-scripts/ifcfg-xxx. ВОПРОС: Откуда берутся канонические имена для использования с firewall-cmd?

В какой-то момент у меня (кратко) работала переадресация портов. НО это было для "публичной" зоны. В какой-то момент я бы поклялся, что я заставил его работать над "внешней" зоной, но, поскольку я стал более методичным и сверхосторожным с тем, что… = все, что я пытался, я не заставил его снова работать с ' внешний ".

Ни одна из внутренних систем не блокирует порты на собственном программном обеспечении внутреннего брандмауэра.

Я прочитал все статьи, которые я мог найти о firewalld в Интернете, и все записи / question/answer о serverfault. Мне хорошо известно, что некоторые люди выступают за использование iptables до тех пор, пока firewalld не повзрослеет, но правила iptables, которые я хотел бы использовать в системе, сами по себе нетривиальны - что является ключевым мотиватором для поиска пути к успеху. с огненным миром.

Если я пока попробую iptables как путь вперед, мне также нужно знать канонические гривы...