「仮想ワイヤ」ファイアウォールのiptablesルール

私のシステムは、すべてのパブリックIPアドレスを持つネットワーク上にあります。MASQUERADEを使用せずに特定のサブネットをファイアウォールする必要があります。この構成は、「仮想ワイヤ」ファイアウォールと呼ばれています。

私の現在の構成：内部サブネット| ルーター| 機関の残り| インターネット

必要な構成：内部サブネット| ファイアウォール| ルーター| 機関の残り| インターネット

ファイアウォールには2つの物理インターフェイスがあります。MASQUERADINGを必要としないiptablesルールのセットを作成できませんでした。私が知っていて使用できるIPアドレス：xxx.123.68.0 / 24

ルーター：xxx.123.68.1

ファイアウォールeth0（外部）：xxx.123.68.2

ファイアウォールeth1（内部）：xxx.123.68.3

残りのアドレスは内部システム用です

管理機能のためにファイアウォールへの接続を許可するINPUTおよびOUTPUTルールを作成しましたが、FORWARDingチェーンルールでは成功していません。

FORWARDのデフォルトポリシーはACCEPTです

トラフィックが流れているかどうかを確認するためにログがオンになっていますが、ログファイルにエントリがありません。これらのルールはアウトバウンドトラフィックとリターントラフィックを許可するべきだと思いました

iptables -A FORWARD -p tcp -i eth1 -o eth0 -j ACCEPT

iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state --state ESTABLISHED、RELATED -j ACCEPT

私は何が欠けていますか？

通常、「仮想ワイヤ」ファイアウォールは、イーサネットブリッジとして機能します。Linuxでは、ブリッジでフィルタリングする場合、少なくともある程度はebtablesを使用する必要はありません。ブリッジフィルターに追加できるルールがあるため、ルールはiptablesによって評価されます。

または、新しいカーネルとnftablesを代わりに使用する場合、nftablesはすべてのフィルタリングを単一のコマンドに結合しますが、iptablesに精通している場合は少し学習曲線になるかもしれません。

ブリッジのセットアップを必要としない別のオプションは、代わりにproxy-arpのボックスを構成することです。proxy-arpを使用して、ルーターであるボックスを作成し、ネットワークの残りの観点からはブリッジのように機能させることができます。proxy-arpを使用すると、iptablesが機能します。