Продолжение предыдущей статьи о настройке роутера под управлением CentOS Stream 8.3. В ней описаны команды службы FirewallD для проброса портов по IP-адресам в локальной сети.
Задача такая:
В нашей локальной сети имеется несколько серверов, выполняющих различные функции, к которым также должен быть доступ через Интернет. Например:
- SSH, который будет использоваться для администрирования самого файрволла
- СУБД PostgreSQL с веб-сервером Apache для phpPgAdmin
- СУБД MySQL или MariaDB
- FTP-сервер
- доступ по протоколу RDP к Windows Server (терминальное соединение)
- защищённый веб-сервер (к примеру — с облачным хранилищем OwnCloud или NextCloud на борту)
- и т.д., может быть всё, что угодно…
Для удалённой работы (удалённые офисы, командировки, отпуск, больничный, карантин или неблагополучная эпидемиологическая ситуация) необходимо настроить файрволл так, чтобы все эти машины можно было использовать из дома или любой точки, где есть доступ в Интернет.
В первую очередь разворачиваем роутер, как это описано в предыдущей статье.
Затем выясним зону по умолчанию
# firewall-cmd --get-default-zone
как правило — это public.
Затем настроим перенаправление портов:
для SSH — IP-адрес 192.168.52.1 (сам роутер)
ничего запускать не нужно
для сервера с СУБД PostgreSQL и phpPgAdmin — IP-адрес 192.168.52.10
# firewall-cmd --permanent --zone=public --add-forward-port=port=5432:proto=tcp:toport=5432:toaddr=192.168.52.10 # firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:toport=80:toaddr=192.168.52.10 # firewall-cmd --permanent --zone=public --add-forward-port=port=443:proto=tcp:toport=443:toaddr=192.168.52.10
для FTP-сервера — IP-адрес 192.168.52.11
# firewall-cmd --permanent --zone=public --add-forward-port=port=21:proto=tcp:toport=21:toaddr=192.168.52.11
для Windows-терминала RDP — IP-адрес 192.168.52.12
# firewall-cmd --permanent --zone=public --add-forward-port=port=3389:proto=tcp:toport=3389:toaddr=192.168.52.12
для защищённого веб-сервера — IP-адрес 192.168.52.13
# firewall-cmd --permanent --zone=public --add-forward-port=port=8443:proto=tcp:toport=8443:toaddr=192.168.52.13
Перезапускаем файрволл
# firewall-cmd --reload
Теперь все правила FirewallD активны.