Centos 7でiptablesの代わりにFirewalldを使用するようにOpenVPNを構成する

Centos 7でOpenVPNを設定する必要がありますfirewalld。

Centos 6.5でiptablesを使用し、次の行を追加するだけでした/etc/sysconfig/iptables：

-A POSTROUTING -s "10.0.0.0/24" -o "wlan0" -j MASQUERADE 
-A FORWARD -p tcp -s 10.0.0.0/24 -d 0.0.0.0/0 -j ACCEPT 
run the command: echo 1 > /proc/sys/net/ipv4/ip_forward 
open port 443.

firewall-cmdコマンドを使用します。

デフォルトゾーンでOpenVPNまでファイアウォールを開くと仮定して、次のコマンドを実行します。デフォルト以外のゾーンで実行している場合は--zone=<zone>、コマンドに追加します。

注：public外部に面したネットワークアダプターにデフォルトゾーンを使用すると、ループバックインターフェイスもマスカレードされる可能性があり（firewalld実行しているバージョンによって異なります）、アクセスされるサービス（mySQLなど）を実行している場合に問題が発生する可能性がありますローカル。

まず、現在開いているものをリストします。

# firewall-cmd --list-services
http https ssh

次に、openvpnサービスを追加します。

# firewall-cmd --add-service openvpn
success

簡単なチェック：

# firewall-cmd --list-services
http https openvpn ssh

上記で動作するようにopenvpnなりますが、テストすることができます。ただし、再起動しても長続きしません。永続的にするには、--permanentオプションを追加します。

# firewall-cmd --permanent --add-service openvpn`
success

この最後のコマンドは次の再起動までポートを開かないため、両方のコマンドを使用する必要があることに注意してください。

最後に、マスカレードを追加します。

# firewall-cmd --add-masquerade
success

そして、再起動後に永続的にします：

# firewall-cmd --permanent --add-masquerade
success

それを確認します：

# firewall-cmd --query-masquerade
yes

着信OpenVPN接続がインターネットに面した接続とは異なるゾーンにある場合、マスカレードは後者にあるはず--zone=<zone>であり、--add-masqueradeコマンドでオプションを使用する必要があることに注意してください。