Rechercher

1.14. Permettre le transfert de trafic entre différentes interfaces ou sources à l'intérieur d'une zone firewalld

download PDF

Le transfert intra-zone est une fonctionnalité de firewalld qui permet de transférer le trafic entre des interfaces ou des sources à l'intérieur d'une zone firewalld.

1.14.1. La différence entre le transfert à l'intérieur d'une zone et les zones dont la cible par défaut est ACCEPT

Lorsque le transfert intra-zone est activé, le trafic à l'intérieur d'une seule zone firewalld peut circuler d'une interface ou d'une source à une autre interface ou à une autre source. La zone spécifie le niveau de confiance des interfaces et des sources. Si le niveau de confiance est identique, la communication entre les interfaces ou les sources est possible.

Notez que si vous activez le transfert intra-zone dans la zone par défaut de firewalld, il ne s'applique qu'aux interfaces et aux sources ajoutées à la zone par défaut actuelle.

La zone trusted de firewalld utilise une cible par défaut définie sur ACCEPT. Cette zone accepte tout le trafic transféré et le transfert intra-zone n'est pas applicable pour elle.

Comme pour les autres valeurs cibles par défaut, le trafic transféré est abandonné par défaut, ce qui s'applique à toutes les zones standard à l'exception de la zone de confiance.

1.14.2. Utilisation du transfert intra-zone pour transférer le trafic entre un réseau Ethernet et un réseau Wi-Fi

Vous pouvez utiliser le transfert intra-zone pour transférer le trafic entre des interfaces et des sources situées dans la même zone firewalld. Par exemple, utilisez cette fonctionnalité pour transférer le trafic entre un réseau Ethernet connecté à enp1s0 et un réseau Wi-Fi connecté à wlp0s20.

Procédure

  1. Activer le transfert de paquets dans le noyau :

    # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
    # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
  2. Assurez-vous que les interfaces entre lesquelles vous voulez activer le transfert intra-zone ne sont pas assignées à une zone différente de la zone internal:

    # firewall-cmd --get-active-zones
  3. Si l'interface est actuellement affectée à une zone autre que internal, réaffectez-la :

    # firewall-cmd --zone=internal --change-interface=interface_name --permanent
  4. Ajouter les interfaces enp1s0 et wlp0s20 à la zone internal:

    # firewall-cmd --zone=internal --add-interface=enp1s0 --add-interface=wlp0s20
  5. Activer le transfert intra-zone :

    # firewall-cmd --zone=internal --add-forward

Vérification

Les étapes de vérification suivantes requièrent que le paquetage nmap-ncat soit installé sur les deux hôtes.

  1. Connectez-vous à un hôte qui se trouve dans le même réseau que l'interface enp1s0 de l'hôte sur lequel vous avez activé le transfert de zone.
  2. Démarrez un service d'écho avec ncat pour tester la connectivité :

    # ncat -e /usr/bin/cat -l 12345
  3. Connectez-vous à un hôte qui se trouve dans le même réseau que l'interface wlp0s20.
  4. Se connecter au serveur d'écho fonctionnant sur l'hôte qui se trouve dans le même réseau que enp1s0:

    # ncat <other_host> 12345
  5. Tapez quelque chose et appuyez sur Entrée, puis vérifiez que le texte est renvoyé.

Ressources supplémentaires

  • firewalld.zones(5) page de manuel
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.