我有一个防火墙脚本,允许我基本上将流量转移到suricata引擎进行内联处理。看起来像这样。它不是我的,它是由第三方建造的。
我正在尝试在那里插入一些语句,允许从一个子网到另一个子网的流量,而不会被suricata nfqueue引擎检查。 这是脚本:
case "$MODE" in
start)
iptables -P FORWARD DROP
(iptables -L FORWARD | grep NFQUEUE >/dev/null) || iptables -A FORWARD -j NFQUEUE
iptables -P INPUT DROP
(iptables -L INPUT -v | grep ACCEPT | grep lo >/dev/null) || iptables -I INPUT -i lo -j ACCEPT
(iptables -L INPUT -v | grep ACCEPT | grep eth0 >/dev/null) || iptables -I INPUT -i eth0 -j ACCEPT
(iptables -L INPUT | grep NFQUEUE >/dev/null) || iptables -A INPUT -j NFQUEUE
;;
stop)
iptables -P FORWARD ACCEPT
(iptables -L FORWARD | grep NFQUEUE >/dev/null) && iptables -D FORWARD -j NFQUEUE
iptables -P INPUT ACCEPT
(iptables -L INPUT -v | grep ACCEPT | grep lo >/dev/null) && iptables -D INPUT -i lo -j ACCEPT
(iptables -L INPUT -v | grep ACCEPT | grep eth0 >/dev/null) && iptables -D INPUT -i eth0 -j ACCEPT
(iptables -L INPUT | grep NFQUEUE >/dev/null) && iptables -D INPUT -j NFQUEUE
;;
*)
die unknown MODE: "$MODE"
;;
esac
我希望在将其余的规则推入suricata的引擎之前插入看起来像这样的逻辑,但我不知道该怎么做,或者即使我正确地写了我的iptables规则..
Vlan1到vlan2,vlan2到vlan1。
iptables -I FORWARD -s 10.250.104.0/25 -d 10.250.104.192/28 -j ACCEPT
iptables -I FORWARD -s 10.250.104.192/28 -d 10.250.104.0/25 -j ACCEPT
vlan 1 to vlan 20 and vlan20 to vlan1。
iptables -I FORWARD -s 10.250.104.0/25 -d 10.0.104.0/28 -j ACCEPT
iptables -I FORWARD -s 10.0.104.0/28 -d 10.250.104.0/25 -j ACCEPT