我需要允許 ipsec 的協定 50 (esp) 流量。
我可以:
iptables -A INPUT -p esp
iptables -A OUTPUT -p esp
我該如何用firewalld來做到這一點呢?
答案1
為此,您需要使用(相當簡單的)豐富規則。
例如:
firewall-cmd --zone=vpnendpoint --add-rich-rule="rule protocol value=esp accept"
答案2
對於較新版本的 Firewalld,這篇文章已過時。
如果有人在我查看這篇文章時(2023-01-21)看到這篇文章,firewalld 有 esp 的定義,所以你不需要再執行這些更複雜的規則...
firewall-cmd --add-protocol=esp
答案3
我絕不是 iptables 或 firewalld 專家,但在我看來,這樣的事情會起作用:
firewall-cmd --permanent --direct --add-rule filter INPUT -p esp -j ACCEPT
firewall-cmd --permanent --direct --add-rule filter OUTPUT -p esp -j ACCEPT
如果您有區域和此類所有設置,您也可以使用--zone和--add-rich-rule選項而不是 來完成--direct。