Ciao, ho un problemino con la configurazione di alcune policy di shorewall. Prima di farvi perdere tempo nella lettura vi faccio la domanda finale !! E' possibile impostare una policy in shorewall per dire che una zona1 connessa ad un bridge1 possa accedere ad una zona2 connessa ad un bridge2 (zone diverse connesse a bridge diversi) ?? Nello specifico: - ho un server proxmox con 2 schede di rete eth0 e eth1 - su proxmox sono configurati 2 bridge connessi alle schede di rete riportate sopra (vmbr0 e vmbr1) - ho creato un paio di macchine virtuali connesse a vmbr0 (rete locale) - ho creato un paio di macchine virtuali connesse a vmbr1 (DMZ) - ho collegato le eth0 e eth1 ad uno switch di rete su cui sono convigurate due VLAN per separare completamente le due reti (rete locale e DMZ) - ho configurato il file zones nel modo seguente: srvproxmox1:/etc/shorewall# cat zones # # Shorewall version 4 - Zones File # # For information about this file, type "man shorewall-zones" # # The manpage is also online at # http://www.shorewall.net/manpages/shorewall-zones.html # ############################################################################### #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall local ipv4 net:local bport netv:local bport dmz ipv4 ndmz:dmz bport ndmzv:dmz bport #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE - ho configurato il file interfaces nel modo seguente srvproxmox1:/etc/shorewall# cat interfaces # # Shorewall version 4 - Interfaces File # # For information about entries in this file, type "man shorewall-interfaces" # # The manpage is also online at # http://www.shorewall.net/manpages/shorewall-interfaces.html # ############################################################################### #ZONE INTERFACE BROADCAST OPTIONS local vmbr0 detect bridge net vmbr0:eth0 netv vmbr0:vmtab102i0 dmz vmbr1 detect bridge ndmz vmbr1:eth1 ndmzv vmbr1:veth109.0 ndmzv vmbr1:veth110.0 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE - ho configurato il file policy nel modo seguente srvproxmox1:/etc/shorewall# cat policy # # Shorewall version 4 - Policy File # # For information about entries in this file, type "man shorewall-policy" # # The manpage is also online at # http://www.shorewall.net/manpages/shorewall-policy.html # ############################################################################### #SOURCE DEST POLICY LOG LIMIT:BURST # LEVEL # From Firewall Policy fw fw ACCEPT net fw ACCEPT # From DMZ Policy ndmzv all DROP # From Local Policy net net ACCEPT net netv ACCEPT net ndmzv ACCEPT # THE FOLLOWING POLICY MUST BE LAST # all all REJECT info #LAST LINE -- DO NOT REMOVE provando ad eseguire shorewall check mi dà l'errore: " ERROR: Invalid policy - DEST zone is a Bridge Port zone but the SOURCE zone is not associated with the same bridge : /etc/shorewall/policy (line 22)" il messaggio d'errore è chiaro..... e il mio vaneggiare mi ha portato a pormi la domanda che trovate all'inizio di questo post. ps. comunque eliminando la riga 22 riesco a comunque a far parlare i pc della zona "NETV" con i pc della zona "NDMZV" perchè i pacchetti passano da una vlan all'altra grazie alla configurazoine del firewall esterno (non quello installato sulla proxmox) connesso anch'esso con due schede di rete alle rispettive vlan e opportunamente configurato. -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx