LINUX.ORG.RU

История изменений

Исправление AVL2, (текущая версия) :

Тебе нужен shorewall

yum install epel-release
yum install shorewall
systemctl disable firewalld
systemctl enable shorewall

Конфиги shorewall лежат в /etc/shorewall

По минимуму надо отредактировать файлы

zones - здесь определяются зоны

fw      firewall

net     ipv4  # интернеты
vpn     ipv4  # зона удаленных подключений 
loc     ipv4  # локальная сеть

interfaces - здесь интерфейсы привязываются к зонам

net      eth0   #интерфейс к провайдеру инета
loc       eth1  dhcp  # локальная сеть, разрешен dhcp

policy - здесь назначаются самые общие правила (политики)

# с самого сервера и на него можно все
$FW      all    ACCEPT
all         $FW ACCEPT

#  все остальное нет
all      all    REJECT

rules - здесь конкретные правила

Ping(ACCEPT)   all             all
DNS(ACCEPT)    all             all
ACCEPT         all              $FW                  udp  10303

masq или snat - маскарадинг пользователей, но если они через прокси ходят, то не надо.

shorewall.conf - настройки самого шоревола

Там по сути надо поменять только autostart yes чтобы он загружался.

проверить конфигурацию, лучше это делать после каждого редактирования конфигов во избежание опечаток

shorewall check 

systemctl restart shorewall

Исходная версия AVL2, :

Тебе нужен shorewall

yum install epel-release
yum install shorewall
systemctl disable firewalld
systemctl enable shorewall

Конфиги shorewall лежат в /etc/shorewall

По минимуму надо отредактировать файлы

zones - здесь определяются зоны

fw      firewall

net     ipv4  # интернеты
vpn     ipv4  # зона удаленных подключений 
loc     ipv4  # локальная сеть

interfaces - здесь интерфейсы привязываются к зонам

net      eth0   #интерфейс к провайдеру инета
loc       eth1  dhcp  # локальная сеть, разрешен dhcp

policy - здесь назначаются самые общие правила (политики)

# с самого сервера и на него можно все
$FW      all    ACCEPT
all         $FW ACCEPT

#  все остальное нет
all      all    REJECT

rules - здесь конкретные правила

Ping(ACCEPT)   all             all
DNS(ACCEPT)    all             all
ACCEPT         all              $FW                  udp  10303

shorewall.conf - настройки самого шоревола

Там по сути надо поменять только autostart yes чтобы он загружался.

проверить конфигурацию, лучше это делать после каждого редактирования конфигов во избежание опечаток

shorewall check 

systemctl restart shorewall