Centos 7 Router & firewalld

Je tente de configurer une machine virtuelle CentOS 7 avec firewalld pour apather le trafic entre 2 sous-réseaux différents.

J'ai 2 interfaces réseau, ens192 pour le réseau externe et ens224 pour le réseau interne:

$ ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:62:88:ba brd ff:ff:ff:ff:ff:ff inet 10.212.21.26/16 brd 10.212.255.255 scope global ens192 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:fe62:88ba/64 scope link valid_lft forever preferred_lft forever 3: ens224: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:62:88:c4 brd ff:ff:ff:ff:ff:ff inet 192.168.99.1/16 brd 192.168.255.255 scope global ens224 valid_lft forever preferred_lft forever inet6 fe80::d301:8174:1d11:d550/64 scope link valid_lft forever preferred_lft forever 

L'interface interne se trouve dans la zone interne:

 $ sudo firewall-cmd --list-all --zone=internal internal (active) target: default icmp-block-inversion: no interfaces: ens224 sources: services: dhcpv6-client mdns samba-client ssh ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules: 

L'interface externe se trouve dans la zone externe avec masquerading activé:

 $ sudo firewall-cmd --list-all --zone=external external (active) target: default icmp-block-inversion: no interfaces: ens192 sources: services: ssh ports: protocols: masquerade: yes forward-ports: sourceports: icmp-blocks: rich rules: 

La passerelle par défaut de l'interface interne est définie sur l'adresse IP de l'interface externe:

 $ ip ro default via 10.212.0.10 dev ens192 proto static mesortingc 100 default via 10.212.21.26 dev ens224 proto static mesortingc 101 10.212.0.0/16 dev ens192 proto kernel scope link src 10.212.21.26 mesortingc 100 10.212.21.26 dev ens224 proto static scope link mesortingc 100 192.168.0.0/16 dev ens224 proto kernel scope link src 192.168.99.1 mesortingc 100 

Le renvoi de packages est activé:

 $ sudo sysctl -a | grep net.ipv4.ip_forward net.ipv4.ip_forward = 1 

Du réseau interne, je peux accéder au réseau externe. Et du réseau externe, je peux faire un ping sur une adresse IP sur le réseau interne. Cependant, je ne parviens pas à ssh à la même adresse IP interne du réseau externe malgré le service ssh activé sur les deux zones.

J'ai essayé un certain nombre de différentes règles riches / passthrough sans chance. Quelqu'un serait-il si gentil de me donner une orientation dans la bonne direction?

Merci.

MODIFIER:

J'ai supprimé l'itinéraire 10.212.21.26 et je laisse le mode SELinux permissif:

 sudo ip ro del 10.212.21.26 sudo setenforce permissive 

Je peux faire un ping:

 $ ping 192.168.99.100 Pinging 192.168.99.100 with 32 bytes of data: Reply from 192.168.99.100: bytes=32 time<1ms TTL=63` 

Mais je ne peux pas ssh:

 $ ssh -vvv 192.168.99.100 OpenSSH_6.8p1, OpenSSL 1.0.2a 19 Mar 2015 debug1: Reading configuration data /home/clay.rowland/.ssh/config debug2: ssh_connect: needpriv 0 debug1: Connecting to 192.168.99.100 [192.168.99.100] port 22. debug1: connect to address 192.168.99.100 port 22: Connection timed out ssh: connect to host 192.168.99.100 port 22: Connection timed out 

One Solution collect form web for “Centos 7 Router & firewalld”

Après beaucoup de creusage et de blocage du keyboard, j'ai constaté que les règles riches directes suivantes sur la string FORWARD permettront une connection ssh réussie. Quelqu'un plus sage peut être en mesure de fournir une solution plus élégante.

 sudo firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens224 -o ens192 -p tcp --sport 22 -j ACCEPT sudo firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens192 -o ens224 -p tcp --dport 22 -j ACCEPT 
  • Comment configurer iptables dans DD-WRT pour bloquer Skype sur br1 uniquement?
  • Routeur géré par dérivation pour permettre l'access externe au système de security DVR
  • Fermé de notre passerelle d'entreprise Comcast pour apparemment aucune raison
  • Pouvez-vous utiliser Untangle avec 1 NIC en tant que server openvpn?
  • Quelqu'un sait-il où get la version micro de DD-WRT?
  • Hébergeur battant entre switchport et Etherchannel
  • Impossible d'accéder à l'imprimante LAN
  • Pourquoi devrais-je utiliser un réseau commuté sur routing?
  • Pourquoi un routeur de matériel fonctionne-t-il mieux qu'un routeur Linux avec de meilleures spécifications (RAM et CPU)?
  • Besoin d'aide pour diagnostiquer les problèmes de performance du réseau
  • VLAN utilisant un commutateur géré ou un routeur de binding vers des commutateurs non gérés?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.