问题[firewall](server)

我正在使用 StrongSwan 到 Mikrotik IKEv2 隧道。我想知道是否可以对来自 Mikrotik 端的 ipsec 隧道的内容进行源地址转换？

问题是，我的本地网络中有一台主机位于防火墙后面，而防火墙的配置被禁止。该防火墙只允许来自同一子网（比如说 192.168.10.X）的连接，但来自隧道的数据被源地址改为 100.64.10.1，而上述主机拒绝了该地址。

还值得一提的是，在 Mikrotik 方面我有一个由 Swan 的 ipsec 配置创建的 IP 100.64.10.2。

我已经尝试过在 Mikrotik 上创建 NAT 规则的直接方法，但它被忽略了（据我所知，这是由于 ipsec 生成的 notrack 规则）。我也一直在通过 RAW 和 MANGLE（实际上正在工作）寻找解决方法，但虚拟主机上的 netstat 仍然会显示传入 IP 为 100.64.10.1。

请帮忙：D

ipsec.conf片段：

conn arterial
    [email protected]
    left=%any
    leftcert=scert.pem
    lefthostaccess=yes
    leftid=XXX.XXX.XXX.XXX (public IP)
    leftsendcert=always
    leftsubnet=100.64.10.0/28
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    rightsourceip=100.64.0.2
    rightsubnet=192.168.10.0/16

conn roadwar
    also=arterial
    [email protected]
    rightsourceip=100.64.10.3-100.64.10.15
    rightsubnet=100.64.10.0/28

iptables 片段：

iptables -t nat -A POSTROUTING -s 192.168.10.0/16 -o enpXsY -m policy --pol ipsec --dir out -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/16 -o enpXsY -j MASQUERADE

Mikrotik 上的身份：

我有两台具有不同版本的 RHEL 和firewalld 的服务器。两者的配置相同，但当我将源 IP 添加到区域时，它们的行为不同。

服务器A：

# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.9 (Maipo)
# firewall-cmd --version
0.6.3

服务器B：

# cat /etc/redhat-release
Red Hat Enterprise Linux release 9.3 (Plow)
# firewall-cmd --version
1.2.5

两台服务器都有一个非常基本的firewalld配置，我可以通过ssh连接到它们（注意两个配置中都包含ssh服务）：

A：

# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens32
  sources:
  services: dhcpv6-client mysql ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

乙：

# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eno8303
  sources:
  services: cockpit dhcpv6-client ssh
  ports:
  protocols:
  forward: yes
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

服务器将托管 MariaDB 数据库，因此我需要确保允许端口 3306。在没有其他更改的情况下，我运行以下命令（根据经验）允许来自特定 IP 地址 192.168.1.2 的端口 3306 流量：

# firewall-cmd --new-zone=test --permanent
success
# firewall-cmd --zone=test --add-source=192.168.1.2 --permanent
success
# firewall-cmd --zone=test --add-port=3306/tcp --permanent
success
# firewall-cmd --reload

运行这些命令后，我仍然可以从 IP 地址 192.168.1.2 通过 SSH 连接到服务器 A，但无法通过 SSH 连接到服务器 B。但是，我可以从其他计算机通过 SSH 连接到服务器 B。从192.168.1.2进入BI服务器得到：

# ssh ServerB
ssh: connect to host ServerB port 22: No route to host

如果我在没有该选项的情况下创建区域--add-source，SSH 可以正常工作，因此该选项在较新的服务器上似乎有不同的行为。那是对的吗？我找不到任何其他原因导致此功能不起作用。

太棒了；如果另一个表中存在匹配的丢弃（如firewalld的默认规则），则网桥（见下文）将不起作用。

你好，
我正在构建自己的虚拟机库（类似于Quickemu）。
我对桥接的防火墙规则有疑问。我从 iptables-nft 开始，它工作得很好，直到我在 fedora 上测试了我的脚本。无论我做什么，firewalld 都会阻止一切。因此，我使用 nftables 尝试直接绕过firewalld规则，但即使如此，我也无法找到一种方法使其在不删除firewalld规则的情况下工作。

据我了解，优先级仅影响测试规则的顺序，如果有丢弃，即使在最后，数据包也会被丢弃？

有没有办法绕过我不知道的这种行为？我尝试查看标记，但不确定这是正确的解决方案。

这是我用于桥的规则（如果规则集中没有其他表，则效果很好）：

#!/usr/bin/nft -f
# vim:set ts=2 sw=2 et:

table ip QEMU
delete table ip QEMU
table ip QEMU {
  chain input {
    type filter hook input priority filter - 1;

    ct state {established,related} iifname "virbr0" counter accept
  }

  chain forward {
    type filter hook forward priority filter - 1;

    ct state {established,related} iifname "virbr0" counter accept
  }

  chain postrouting {
    type nat hook postrouting priority srcnat;

    iifname "virbr0" counter masquerade
  }
}

我正在尝试在运行 Fedora Server 35 的 VPS 上设置 OpenVPN 服务器。我已设置 VPN 并正常工作，但遇到了防火墙设置问题。

这是我第一次管理防火墙，而且我也不是 Linux 本地人，但我正在努力学习。我遵循了 CentOS 实例的指南，但由于 CentOS 已不再存在，所以我选择了 Contabo 中的 Fedora 映像。

该指南依赖于firewalld，并且由于它已经安装并在我的 VPS 上进行了部分设置，因此我也做了同样的事情。我知道这firewalld就是问题所在，因为当我关闭它时，VPN 客户端可以正常连接。

配置了 2 个活动区域，FedoraServer并且trusted。该FedoraServer区域预先配置了 VPS 映像，并且被设置为默认区域。我按照指南使用以下命令来更改配置：

firewall-cmd --zone=trusted --add-service openvpn
firewall-cmd --zone=trusted --add-service openvpn --permanent
firewall-cmd --add-masquerade
firewall-cmd --add-masquerade --permanent
VAR=$(ip route get 1.1.1.1 | awk 'NR==1 {print $(NF-2)}')
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o $VAR -j MASQUERADE
firewall-cmd --reload

当前区域信息如下：

[~]# firewall-cmd --info-zone=FedoraServer
FedoraServer (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: no
  masquerade: yes
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
[~]# firewall-cmd --info-zone=trusted
trusted (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: tun0
  sources: 
  services: openvpn
  ports: 
  protocols: 
  forward: yes
  masquerade: yes
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

有趣的是，当我设置trusted为默认区域时，我能够连接到正在firewalld运行的 VPN、NAT 工作并可以访问互联网。

现在，你可以说问题解决了。但由于我缺乏知识，我担心我可能会在安全方面留下漏洞，因为该trusted区域使用target: ACCEPT.

我在 StackExchange、Fedora 论坛和 OpenVPN 论坛上阅读了无数的帖子以及firewalld文档，但没有任何结果。我觉得我缺少底层的网络知识来解决这个问题，而且我不知道该搜索什么。

任何帮助、提示或指导将不胜感激！

我有两个子网

• 答：192.168.2.0/24。在 A 内，我们有防火墙和互联网连接。
• 乙：172.16.12.0/24。

它们通过交换机相互连接，并且两个子网都配置为 VLAN。因此，交换机在两个子网内都有一个 IP 地址。

• 在 A 内我有 192.168.2.226
• B 内为 172.16.12.175

现在，如果我按如下方式配置 A 中的机器，则一切正常：

• sudo ip 路由通过 192.168.2.226 添加 172.16.12.0/24

和 B 中的机器通过

• sudo ip 路由通过 172.16.12.175 添加 192.168.2.0/24

B 上的主机现在可以访问 A 上的主机（以及 Internet 主机）。

现在我想删除 A 上主机上的手动静态路由。相反，我想通过防火墙中的规则添加从 192 到 172 的路由，这样 A 上的主机就不需要进一步配置。为此，我添加了一个“IPv4-Unicast-Route”，目标为 172.16.12.0/24，网关为 192.168.2.226。现在，A 上的主机可以访问 B：

> traceroute 172.16.12.4 /// running on 192.168.2.84
traceroute to 172.16.12.4 (172.16.12.4), 30 hops max, 60 byte packets
 1  _gateway (192.168.2.254)  0.199 ms  0.219 ms  0.243 ms
 2  192.168.2.226 (192.168.2.226)  1.579 ms  1.995 ms  2.429 ms
 3  172.16.12.4 (172.16.12.4)  1.064 ms  1.044 ms  1.026 ms

但是 B 上的主机无法访问 A 上的主机：

> traceroute 192.168.2.84 //// running on 172.16.12.4
traceroute to 192.168.2.84 (192.168.2.84), 30 hops max, 60 byte packets
 1  _gateway (172.16.12.175)  8.750 ms  9.058 ms  9.410 ms
 2  _gateway (172.16.12.175)  3.811 ms !H  4.551 ms !H  5.006 ms !H

（B 上的主机仍然可以访问 8.8.8.8 等互联网主机，或者具有活动手动 IP 路由 ( sudo ip route add 172.16.12.0/24 via 192.168.2.226) 的 A 上的主机）

原因可能是什么/我在防火墙配置方面缺少什么？我尝试添加防火墙规则，使 172 台主机能够访问 192 台主机，但这并没有什么区别。

编辑：我要补充一点，防火墙的IP地址是192.168.2.254。正如第一个跟踪路由中所示，它确实正确路由到 192.168.2.226。

Netgear 交换机路由如添加的图像中定义的netgear 交换机路由

我正在云上设置一个 VLAN，其中许多服务器将通过 VPN 连接到远程主机。设置如下：

           Their Host d.d.d.72
                     |
                     |
                     |
       Their VPN Public IP b.b.b.116
                     |
                     |
                  Internet
                     |
                     |
        Our VPN Public IP a.a.a.101
                     |
         Our VPN Local IP s.s.s.31
                     |
  Our VLAN ----------+-----------+-------------------+--------...--------+--
                                 |                   |                   |
                             s.s.s.111           s.s.s.112    ...    s.s.s.nnn
                                 |                   |                   |
                                UAT1                UAT2      ...       UATn

strongswan被使用Our VPN，目标是允许内部主机UAT1使用原始 TCP 套接字进行连接。UATnOur VLANTheir Host

SYN数据包从 发送UAT2并到达，Their Host并以 进行回复SYN ACK。SYN ACK收到Our VPN然后转发到UAT2。问题是SYN ACK没有收到UAT2！

这是 tcpdump 日志UAT2：

root@uat2:~# tcpdump -ttnnvvS -i any host d.d.d.72
tcpdump: data link type LINUX_SLL2
tcpdump: listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
1687385350.426771 ens7  Out IP (tos 0x10, ttl 64, id 38370, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x324d (incorrect -> 0x3ba1), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002865714 ecr 0,nop,wscale 7], length 0
1687385351.445963 ens7  Out IP (tos 0x10, ttl 64, id 38371, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x324d (incorrect -> 0x37a6), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002866733 ecr 0,nop,wscale 7], length 0
1687385353.461982 ens7  Out IP (tos 0x10, ttl 64, id 38372, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x324d (incorrect -> 0x2fc6), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002868749 ecr 0,nop,wscale 7], length 0

这是 tcpdump 日志Our VPN：

root@vpn1:~# tcpdump -ttnnvvS -i any host d.d.d.72
tcpdump: data link type LINUX_SLL2
tcpdump: listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
1687385350.426647 ens4  In  IP (tos 0x10, ttl 64, id 38370, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x3ba1 (correct), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002865714 ecr 0,nop,wscale 7], length 0
1687385350.468411 ens3  In  IP (tos 0x0, ttl 57, id 11319, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x94f0 (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598776 ecr 4002865714], length 0
1687385350.469803 ens4  Out IP (tos 0x0, ttl 56, id 11319, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x94f0 (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598776 ecr 4002865714], length 0
1687385351.445122 ens4  In  IP (tos 0x10, ttl 64, id 38371, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x37a6 (correct), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002866733 ecr 0,nop,wscale 7], length 0
1687385351.484746 ens3  In  IP (tos 0x0, ttl 57, id 11635, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x90f3 (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598778 ecr 4002866733], length 0
1687385351.484783 ens4  Out IP (tos 0x0, ttl 56, id 11635, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x90f3 (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598778 ecr 4002866733], length 0
1687385353.461170 ens4  In  IP (tos 0x10, ttl 64, id 38372, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x2fc6 (correct), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002868749 ecr 0,nop,wscale 7], length 0
1687385354.421463 ens3  In  IP (tos 0x0, ttl 57, id 13219, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x90ee (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598783 ecr 4002866733], length 0
1687385354.421495 ens4  Out IP (tos 0x0, ttl 56, id 13219, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x90ee (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598783 ecr 4002866733], length 0
1687385359.466543 ens3  In  IP (tos 0x10, ttl 253, id 37551, offset 0, flags [DF], proto TCP (6), length 40)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [R.], cksum 0x019a (correct), seq 1695227874, ack 4126082046, win 0, length 0
1687385359.466573 ens4  Out IP (tos 0x10, ttl 252, id 37551, offset 0, flags [DF], proto TCP (6), length 40)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [R.], cksum 0x019a (correct), seq 1695227874, ack 4126082046, win 0, length 0

如你看到的：

• UAT2已SYN发送id 38370
• 该数据包已被接收并Our VPN转发至Their Host
• Their Host已回复SYN ACK与id 11319
• 该数据包已被接收并Our VPN转发至UAT2
• 问题是：UAT2没有收到SYN ACK

知道如何调查这个问题吗？

在上述测试过程中：

• Our VPN,UAT1是云上的UATn所有虚拟机Debian 11

• iptablesonUAT2为空：

  root@uat2:~# iptables -L -v --line-numbers
  Chain INPUT (policy ACCEPT 65 packets, 26451 bytes)
  num   pkts bytes target     prot opt in     out     source               destination         
  
  Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
  num   pkts bytes target     prot opt in     out     source               destination         
  
  Chain OUTPUT (policy ACCEPT 64 packets, 26539 bytes)
  num   pkts bytes target     prot opt in     out     source               destination         
  root@uat2:~# telnet d.d.d.72 9990
  Trying d.d.d.72...
  ^C
  

• 内部定义了静态路由UAT2以到达Their Host

• 对于Our VPN，ip_forward已激活：

  net.ipv4.ip_forward = 1
  

• ipsec 隧道已建立良好：

  root@vpn1:~# ipsec status
  Security Associations (1 up, 0 connecting):
  our_conn[2]: ESTABLISHED 24 minutes ago, a.a.a.101[a.a.a.101]...b.b.b.116[b.b.b.116]
  our_conn{2}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c38c258f_i c727e8a0_o
  our_conn{2}:   s.s.s.0/24 === d.d.d.72/32
  root@vpn1:~# 
  

• Our VPNping 成功UAT2

是否可以使用 丢弃所有带有负载的 TCP SYN 数据包nftables？

手册页提到了各种length选项，但没有一个是我可以在没有语法错误的情况下处理 TCP 数据包的。

我正在使用内核 v6.2.10 和 nftables v1.0.7。

我正在尝试确定适当的服务以仅允许特定 IP 范围向 API 网关和云存储发出请求。这是因为我们只想接受来自 cloudflare 的请求。我们发现了 Cloud NAT 和 VPC 防火墙规则等服务，但很难判断它们是否适用于 API 网关和云存储。由于我们的预算很少，所以我们不想启用和禁用所有服务。理想情况下，我们希望所有服务也只接受来自同一 IP 范围的请求。有没有可以实现这一目标的谷歌云服务？

我的防火墙遇到了与max states per rule.

#  pfctl -vvsi
Status: Enabled for 0 days 13:05:38           Debug: Urgent

Hostid:   0x6556c6a9
Checksum: 0xe80368af9b3c0a876218cd2af59fbed5

State Table                          Total             Rate
  current entries                     7614
  searches                       323053106         6853.3/s
  inserts                          6650716          141.1/s
  removals                         6643102          140.9/s
Source Tracking Table
  current entries                        0
  searches                               0            0.0/s
  inserts                                0            0.0/s
  removals                               0            0.0/s
Counters
  match                           31988315          678.6/s
  bad-offset                             0            0.0/s
  fragment                               0            0.0/s
  short                                  0            0.0/s
  normalize                              0            0.0/s
  memory                                 0            0.0/s
  bad-timestamp                          0            0.0/s
  congestion                             0            0.0/s
  ip-option                             12            0.0/s
  proto-cksum                            0            0.0/s
  state-mismatch                      4702            0.1/s
  state-insert                       45381            1.0/s
  state-limit                        13837            0.3/s
  src-limit                              0            0.0/s
  synproxy                               0            0.0/s
Limit Counters
  max states per rule                13837            0.3/s
  max-src-states                         0            0.0/s
  max-src-nodes                          0            0.0/s
  max-src-conn                           0            0.0/s
  max-src-conn-rate                      0            0.0/s
  overload table insertion               0            0.0/s
  overload flush states                  0            0.0/s

正如我们在上面看到的那样，state-limits由于max states per rule

我的 maxes 很大：

# pfctl -sm
states        hard limit   550000
src-nodes     hard limit    50000
frags         hard limit     5000
tables        hard limit     5000
table-entries hard limit   400000

但是我怎样才能增加max states per rule呢？

我需要通过 Cloudflare 允许一些 IP 范围来接收 webhook。

通过 WAF -> 工具一一设置它们是可行的，但是我有一些/28不允许的子网掩码，因为：

IP 访问规则只允许使用 IPv4 范围 (CIDR) 值 /16 或 /24。请改用防火墙自定义规则和 IP 列表。

我创建了一个列表并尝试将其添加到防火墙规则中，即。(ip.src in $allowlist)，但它似乎不起作用。我还尝试使用一堆“IP 源地址在”“或”中添加不同的规则，但这似乎也不起作用，例如：(ip.src in {x.x.x.x}) or (ip.src in {y.y.y.y}) [...] or (ip.src in {z.z.z.z/28})

规则中的规则与 IP 访问规则中的Allow规则不同Allow，还是我做错了什么？