Не могу настроить маскарадинг в firewalld на Rocky Linux 9.1

0

1

Есть vps на centos 8.5 (firewalld 0.9.3) и там точно такие же правила работают
а на Rocky Linux 9.1 (firewalld 1.1.1) не работают
ipv6 отключено, SELinux отключен, net.ipv4.ip_forward = 1
Куда еще посмотреть?

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services:
  ports:
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule source ipset="work" service name="ssh" accept
        rule family="ipv4" source address="172.25.11.0/30" masquerade
        rule source ipset="work" service name="wireguard" accept

work (active)
  target: default
  icmp-block-inversion: no
  interfaces: wg0
  sources:
  services: dhcp dns
  ports:
  protocols: icmp
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

в логах

filter_FWD_work_REJECT: "IN=wg0 OUT=eth0 MAC= SRC=172.25.11.2 DST=173.194.220.103 LEN=127

←	Proxy через конфиг Wireguard

Тестирование производительности ZFS на SSD /2023

→

Firewalld? Выбрось эту гадость. Она может быть оправдана только на ноутбуках, которые болтаются между сетями (зонами) по десять раз на дню.

thesis ★★★★★
(20.01.23 21:31:56 MSK)

Ответ на: комментарий от thesis 20.01.23 21:31:56 MSK

Ну красношапочники его продвигают. Что было то и поставил.
На 7 центоси firehol использовал. Через него пока и сделал, и пока работает. Но в логах написано, что в дальнейшем он возможно не будет поддерживаться.

arsik
(20.01.23 21:55:19 MSK) автор топика

Ответ на: комментарий от arsik 20.01.23 21:55:19 MSK

Ну красношапочники его продвигают.

Они продвигают, а ты отодвинь. Зачем тебе на ВПС весь этот миллион зон? Зачем тебе на ВПС лишняя нашлепка на netfilter?

Во:

firewalld: Use the firewalld utility for simple firewall use cases. The utility is easy to use and covers the typical use cases for these scenarios.
nftables: Use the nftables utility to set up complex and performance-critical firewalls, such as for a whole network.

thesis ★★★★★
(20.01.23 22:28:48 MSK)
Последнее исправление: thesis 20.01.23 22:29:14 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 20.01.23 22:28:48 MSK

Ну прямо в nft копаться не хочется если есть уровень абстракции повыше. Да и поправить легче, я же не сетевой инженер.

Все же разобрался. Для трафика между зонами еще необходимы политики https://firewalld.org/documentation/concepts.html .
с какой это версии пошло непонятно, практически нигде в мануалах не встретил примеров, но заработало.

>firewall-cmd --get-active-policies
wg2eth
  ingress-zones: work
  egress-zones: public

>cat wg2eth.xml
<?xml version="1.0" encoding="utf-8"?>
<policy target="ACCEPT">
  <ingress-zone name="work"/>
  <egress-zone name="public"/>
</policy>

arsik
(20.01.23 23:01:08 MSK) автор топика

←	Proxy через конфиг Wireguard

Admin

Тестирование производительности ZFS на SSD /2023

→

Похожие темы