LAN1 – vyos – LAN2という想定。
LAN2上のリソースから、LAN1ないし接続されたネットワークに、sshやpingなどを実行したい。
vyosのfirewallはステートレスファイアウォールであるため、戻りのポートも許可する必要がある。
それは、accept_allのestablishedで許可している。
ちなみに、vyos1.4からだいぶコマンド体系が変わった模様。
また、interfaceに直接firewallを設定することはできず、zoneの概念を使って割り当てる必要があるみたい。
set firewall filterというので1.4までできていたらしいのだけどそれらしいコマンドはなさそうだった。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 |
# accept_all set firewall ipv4 name accept_all default-action "accept" set firewall ipv4 name accept_all rule 2 action "drop" set firewall ipv4 name accept_all rule 2 state "invalid" # private set firewall ipv4 name private default-action "drop" set firewall ipv4 name private rule 3 action "accept" set firewall ipv4 name private rule 3 state "established" set firewall ipv4 name private rule 3 state "related" set firewall ipv4 name private rule 4 action "drop" set firewall ipv4 name private rule 4 state "invalid" set firewall ipv4 name private rule 5 action "accept" set firewall ipv4 name private rule 5 protocol "icmp" set firewall ipv4 name private rule 22 action "accept" set firewall ipv4 name private rule 22 protocol "tcp" set firewall ipv4 name private rule 22 destination port "22" set firewall ipv4 name private rule 80 action "accept" set firewall ipv4 name private rule 80 destination port "80" set firewall ipv4 name private rule 80 protocol "tcp" set firewall ipv4 name private rule 443 action "accept" set firewall ipv4 name private rule 443 destination port "443" set firewall ipv4 name private rule 443 protocol "tcp" # zone settings set firewall zone LAN1 interface "eth1" set firewall zone LAN1 default-action "drop" set firewall zone LAN1 from LAN2 firewall name "private" # zone settings set firewall zone LAN2 interface "eth2" set firewall zone LAN2 default-action "drop" set firewall zone LAN2 from LAN1 firewall name "accept_all" |