1.14. Permettre le transfert de trafic entre différentes interfaces ou sources à l'intérieur d'une zone firewalld
Le transfert intra-zone est une fonctionnalité de firewalld
qui permet de transférer le trafic entre des interfaces ou des sources à l'intérieur d'une zone firewalld
.
1.14.1. La différence entre le transfert à l'intérieur d'une zone et les zones dont la cible par défaut est ACCEPT
Lorsque le transfert intra-zone est activé, le trafic à l'intérieur d'une seule zone firewalld
peut circuler d'une interface ou d'une source à une autre interface ou à une autre source. La zone spécifie le niveau de confiance des interfaces et des sources. Si le niveau de confiance est identique, la communication entre les interfaces ou les sources est possible.
Notez que si vous activez le transfert intra-zone dans la zone par défaut de firewalld
, il ne s'applique qu'aux interfaces et aux sources ajoutées à la zone par défaut actuelle.
La zone trusted
de firewalld
utilise une cible par défaut définie sur ACCEPT
. Cette zone accepte tout le trafic transféré et le transfert intra-zone n'est pas applicable pour elle.
Comme pour les autres valeurs cibles par défaut, le trafic transféré est abandonné par défaut, ce qui s'applique à toutes les zones standard à l'exception de la zone de confiance.
1.14.2. Utilisation du transfert intra-zone pour transférer le trafic entre un réseau Ethernet et un réseau Wi-Fi
Vous pouvez utiliser le transfert intra-zone pour transférer le trafic entre des interfaces et des sources situées dans la même zone firewalld
. Par exemple, utilisez cette fonctionnalité pour transférer le trafic entre un réseau Ethernet connecté à enp1s0
et un réseau Wi-Fi connecté à wlp0s20
.
Procédure
Activer le transfert de paquets dans le noyau :
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
Assurez-vous que les interfaces entre lesquelles vous voulez activer le transfert intra-zone ne sont pas assignées à une zone différente de la zone
internal
:# firewall-cmd --get-active-zones
Si l'interface est actuellement affectée à une zone autre que
internal
, réaffectez-la :# firewall-cmd --zone=internal --change-interface=interface_name --permanent
Ajouter les interfaces
enp1s0
etwlp0s20
à la zoneinternal
:# firewall-cmd --zone=internal --add-interface=enp1s0 --add-interface=wlp0s20
Activer le transfert intra-zone :
# firewall-cmd --zone=internal --add-forward
Vérification
Les étapes de vérification suivantes requièrent que le paquetage nmap-ncat
soit installé sur les deux hôtes.
-
Connectez-vous à un hôte qui se trouve dans le même réseau que l'interface
enp1s0
de l'hôte sur lequel vous avez activé le transfert de zone. Démarrez un service d'écho avec
ncat
pour tester la connectivité :# ncat -e /usr/bin/cat -l 12345
-
Connectez-vous à un hôte qui se trouve dans le même réseau que l'interface
wlp0s20
. Se connecter au serveur d'écho fonctionnant sur l'hôte qui se trouve dans le même réseau que
enp1s0
:# ncat <other_host> 12345
- Tapez quelque chose et appuyez sur , puis vérifiez que le texte est renvoyé.
Ressources supplémentaires
-
firewalld.zones(5)
page de manuel