やりたいこと
Vyattaにてvifに既にFW定義が存在する場合に特定のIPアドレスに対する通信を許可したい。
環境情報
- Debian 4.9.124-0vyatta2
やり方
Vyattaにログイン後はOperation ModeなのでconfigureコマンドでConfigure Modeに遷移させます。
$ configure #
プロンプトが変化したことを確認すると以下にてIPアドレスのセグメント情報を投入します。尚、今回通信可能にするIPレンジをhoge、既存のFW名をfugaとします。
# set resources group address-group hoge address X.X.X.X/Y # set security firewall name fuga rule xx action accept # set security firewall name fuga rule xx destination address hoge # set security firewall name fuga rule xx state disable
上記で設定を⼊れたので、compareコマンドを実施することで反映される設定が確認できます。
# compare
+address-group hoge {
+ address X.X.X.X/Y
+}
+security firewall name fuga]
+rule xx {
+ action accept
+ destination {
+ address hoge
+ }
+ state disable
+}問題なければcommitにて設定を実機に反映できます。
以下、補足です。
補足
FWにて以下のように通信がブロックされた旨のメッセージが出た場合、同通信を通すためには新たなdstの宛先を追加する必要があります。
hostname_X dataplane[xxx]: fw rule fuga block tcp(6) src=.. dst=.. len=60 ttl=64 window=.. res=0x00 SYN urgp=0
ブロックしているFWruleを確認し(今回はfuga)、上記で記載したようにIPアドレスの範囲をサブネット形式で与えれば疎通ができるようになります。
以上、ご参考になれば幸いです。
