Проблема с сетью при использовании Fedora Server 38 в качестве брандмауэра/шлюза.

В этой среде есть двойники практически всего, включая две системы веб-сервера/брандмауэра/шлюза, и у них была давно устаревшая версия, поэтому я решил перейти сна одном из них. Идея, конечно, заключалась в том, чтобы перенести оба «в современную эпоху», но по одному.

Мое время было любопытным, потому что в то же самое время, когда я начал обновление, даже не прикасаясь (физически или электронно) к другому серверу, он решил выйти из строя! Итак, теперь у меня есть сценарий «сервер не работает». -тьфу- К сожалению, это также означает, что у меня нет рабочего примера, на который можно было бы посмотреть.

Тот, который я не трогал, по-видимому, имеет проблемы с оборудованием, и я не могу их решить прямо сейчас, поэтому я сосредоточен на том, который я уже начал, который теперь появился в результате обновления / обновления до Fedora Server 38. ЗА ИСКЛЮЧЕНИЕМ того факта, что у него есть проблема, связанная с тем, что он не служит настоящим шлюзом! АКТ!

Чтобы внести ясность, ОТ него вы можете нормально получить доступ к Интернету и внутренним сетям. Но это не передача битов ЧЕРЕЗ него.

Конечно, это все обычный сервер Fedora (Fedora Core 38 со всеми настройками, которые есть в версии сервера), и любые различия между 30 и 38, вероятно, существенны, хотя здесь все, что имеет значение, — это сеть.

У него есть два сетевых адаптера, и я настроил их как есть (то есть IP-адреса, маски и т. д.), и на самом деле процесс установки, похоже, помог, помогая определить, какой сетевой адаптер является внутренним, а какой внешним. Я использовал свой прошлый опыт и был почти уверен, что сделал это правильно.

Действительно, как только я встал, я мгновенно смог добраться до бокса по ssh через внутреннюю сеть. И, ну, в такой системе нужно многое сделать, но довольно скоро я добрался до аспектов брандмауэра. (В тот момент я не осознавал, что другая система не отвечает.)

Первое, что я сделал — переместил интерфейсы во внутреннюю и внешнюю зоны, а затем включил маскировку на внешней зоне. Я пересылал почту и т. д., используя команды перенаправления порта и т. д., и в итоге внешний вид выглядел следующим образом:

      # firewall-cmd --zone=external --list-all
external (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp1s0
  sources:
  services: http https ssh
  ports:
  protocols:
  forward: yes
  masquerade: yes
  forward-ports:
        port=25:proto=tcp:toport=25:toaddr=192.168.1.1
  source-ports:
  icmp-blocks:
  rich rules:

Другой, внутренний:

      # firewall-cmd --zone=internal --list-all
internal (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp2s0
  sources:
  services: dhcpv6-client mdns samba-client ssh
  ports:
  protocols:
  forward: yes
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Кроме того, я не добавлял ни одной службы во внутреннюю зону — я думаю, они просто используются по умолчанию.

Я потратил МНОГО времени на маршрутизацию, поскольку с самого начала она показалась мне довольно странной. Однако сейчас это:

      # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         router           0.0.0.0         UG    100    0        0 enp1s0
router           0.0.0.0         255.255.255.255 UH    100    0        0 enp1s0
192.168.1.1     0.0.0.0         255.255.255.0   U     101    0        0 enp2s0
192.168.1.1     0.0.0.0         255.255.255.0   U     101    0        0 enp2s0

К вашему сведению, эта версия Fedora использует не таблицы IP, а сетевой менеджер — набор инструментов, который я ненавидел с самого начала, но теперь он кажется более зрелым. И вообще, БОЛЬШИНСТВО материалов, которые можно найти в сети, говорят об этой старой стратегии и бесполезны. Однако эта страница указывает людям правильное общее направление.

ОБНОВЛЕНИЕ 1

Я получил старое оборудование, которое, по-видимому, не удалось восстановить. Это было не так уж и сложно, но это увеличивает наши шансы. ...И я говорю «наш», потому что ко мне в драку присоединился коллега; он сосредоточен на старой коробке, а я сосредоточен на новой.

НИ ОДИН не передает биты через шлюз/брандмауэр, и это меня озадачило. Однако мой коллега напоминает, что одна система уже работала неправильно, вероятно, из-за неудачной попытки запустить конкретную установку OpenVPN. И раз уж он проделал эту работу, то он собирается продолжать ее.

Это ДОЛЖНО быть чем-то простым; какой фундаментальный фундамент упускается из виду?!

0 ответов

Другие вопросы по тегам