[Linuxtrent] shorewall e policy tra bridge
- From: Marco Agostini <comunelevico@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Wed, 18 Nov 2009 17:07:49 +0100
Ciao, ho un problemino con la configurazione di alcune policy di shorewall.
Prima di farvi perdere tempo nella lettura vi faccio la domanda finale !!
E' possibile impostare una policy in shorewall per dire che una zona1
connessa ad un bridge1 possa accedere ad una zona2 connessa ad un
bridge2 (zone diverse connesse a bridge diversi) ??
Nello specifico:
- ho un server proxmox con 2 schede di rete eth0 e eth1
- su proxmox sono configurati 2 bridge connessi alle schede di rete
riportate sopra (vmbr0 e vmbr1)
- ho creato un paio di macchine virtuali connesse a vmbr0 (rete locale)
- ho creato un paio di macchine virtuali connesse a vmbr1 (DMZ)
- ho collegato le eth0 e eth1 ad uno switch di rete su cui sono
convigurate due VLAN per separare completamente le due reti (rete
locale e DMZ)
- ho configurato il file zones nel modo seguente:
srvproxmox1:/etc/shorewall# cat zones
#
# Shorewall version 4 - Zones File
#
# For information about this file, type "man shorewall-zones"
#
# The manpage is also online at
# http://www.shorewall.net/manpages/shorewall-zones.html
#
###############################################################################
#ZONE TYPE OPTIONS IN
OUT
# OPTIONS
OPTIONS
fw firewall
local ipv4
net:local bport
netv:local bport
dmz ipv4
ndmz:dmz bport
ndmzv:dmz bport
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
- ho configurato il file interfaces nel modo seguente
srvproxmox1:/etc/shorewall# cat interfaces
#
# Shorewall version 4 - Interfaces File
#
# For information about entries in this file, type "man shorewall-interfaces"
#
# The manpage is also online at
# http://www.shorewall.net/manpages/shorewall-interfaces.html
#
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
local vmbr0 detect bridge
net vmbr0:eth0
netv vmbr0:vmtab102i0
dmz vmbr1 detect bridge
ndmz vmbr1:eth1
ndmzv vmbr1:veth109.0
ndmzv vmbr1:veth110.0
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
- ho configurato il file policy nel modo seguente
srvproxmox1:/etc/shorewall# cat policy
#
# Shorewall version 4 - Policy File
#
# For information about entries in this file, type "man shorewall-policy"
#
# The manpage is also online at
# http://www.shorewall.net/manpages/shorewall-policy.html
#
###############################################################################
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
# From Firewall Policy
fw fw ACCEPT
net fw ACCEPT
# From DMZ Policy
ndmzv all DROP
# From Local Policy
net net ACCEPT
net netv ACCEPT
net ndmzv ACCEPT
# THE FOLLOWING POLICY MUST BE LAST
#
all all REJECT info
#LAST LINE -- DO NOT REMOVE
provando ad eseguire shorewall check mi dà l'errore: " ERROR: Invalid
policy - DEST zone is a Bridge Port zone but the SOURCE zone is not
associated with the same bridge : /etc/shorewall/policy (line 22)"
il messaggio d'errore è chiaro..... e il mio vaneggiare mi ha portato
a pormi la domanda che trovate all'inizio di questo post.
ps. comunque eliminando la riga 22 riesco a comunque a far parlare i
pc della zona "NETV" con i pc della zona "NDMZV" perchè i pacchetti
passano da una vlan all'altra grazie alla configurazoine del firewall
esterno (non quello installato sulla proxmox) connesso anch'esso con
due schede di rete alle rispettive vlan e opportunamente configurato.
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
