Я пытаюсь следовать руководству по настройке «трехинтерфейсного межсетевого экрана» под управлением Shorewall версии 5.0.4. ( https://shorewall.org/three-interface.htm ). У меня также есть коммутатор Procurve, который поддерживает Ethernet.
У меня есть один статический IP-адрес от моего интернет-провайдера, который мой маршрутизатор использует вместе со своим адресом шлюза и двумя адресами DNS-серверов, которые он использует.
Я запутался, пытаясь расшифровать, должны ли VLAN на моем коммутаторе использовать какую-либо из этих сведений? Должны ли мои VLAN или один из двух других сетевых интерфейсов для моей LAN и DMZ знать о моем маршрутизаторе ISP?
Это приводит меня к файлу masq shorewall.
В руководстве указано следующее:
Если ваш внешний IP-адрес статический, то, если вы используете Shorewall 5.0.13 или более ранней версии, вы можете ввести наш статический IP-адрес в третьем столбце файла / etc. / shorewall / masq, если хотите, хотя ваш брандмауэр будет работать нормально, если вы оставите этот столбец пустым (Masquerade). Ввод вашего статического IP-адреса в столбец 3 (SNAT) делает обработку исходящих пакетов немного более эффективной.
#INTERFACE:DEST SOURCE ADDRESS PROTO PORT(S) IPSEC MARK USER/ SWITCH ORIGINAL
# GROUP DEST
etho1 10.0.0.0/8,\
169.254.0.0/16,\
172.16.0.0/12,\
192.168.0.0/16
Я думаю, что эти записи включают только подсети, которые я намерен потенциально использовать в моей VLAN.Если это так, является ли статический адрес, упомянутый в руководстве, статическим IP-адресом моего внутреннего IP-адреса брандмауэра или его внешнего IP-адреса?
Получилось. Настройки masq по существу позволяют сетевому интерфейсу брандмауэра, подающему сигнал на коммутатор, действовать как шлюз для своих подсетей VLAN.
Обратите внимание, что записи SOURCE - это мои подсети VLAN