まだ定義されていないインターフェースを保護するためのShorewall
私はShorewallを使用して、OpenVPNによって作成された仮想インターフェイス(tap0と呼びます)から発信されたトラフィックをフィルタリングすることを計画しています。 Shorewallが開始する前にOpenVPNがこのインターフェースを正常に作成しなかったが、インターフェースが/etc/shorewall/interfacesで定義された場合、インターフェースが後で正常に作成された場合、トラフィックはフィルタリングされますか?これはスクリプトフックに依存しますか、それとも、Shorewallは、構成で定義されているが存在しないインターフェイスのルールを事前に作成しますか?
Shorewallはiptables/netfilterファイアウォールルールを構成するためのツールであるため、netfilterのドキュメントはより効果的な場所です。 それは言う :
現在存在しないインターフェースを指定することは完全に合法です。インターフェイスが起動するまで、ルールは何にも一致しません。これは、ダイヤルアップPPPリンク(通常はインターフェイスppp0)など)に非常に役立ちます。
特別な場合として、「+」で終わるインターフェース名は、その文字列で始まるすべてのインターフェース(現在存在するかどうかに関係なく)と一致します。たとえば、すべてのPPPインターフェイスに一致するルールを指定するには、-i ppp +オプションを使用します。
ざっと調べてみると、存在しないインターフェースでShorewallを実行するとはのように見え、-iおよび-oルールが作成されます。
この設定は、routefilterなど、機能するためにIP /ルーティング情報の知識を必要とする機能で問題を引き起こします。