投稿者: 検証やらなんやらで、vSphere Hypervisor ESXi ゴリゴリ使ってて、無線ものっかってるブロードバンドルーターのセグメントに、直付けしたくない仮想マシン用としてCentOS8でGW作ってたんだが、無印の8だったもんでリポジトリが終わってた…。
なので、セキュリティとか名前解決とか諸々まとめて、Stream 8 でGWを作り直すことに。
各GW用の仮想マシンは、2vCUP、1.5GB MEM、10GB HDD Thin、2NetworkPortで作成。パッケージグループは「最小インストール」。
全体のDefault Gatewayは、DHCP側を external Zone、内部側をtrusted Zoneとしてmasqueradeでちゃっちゃと作成。
各セグメントのGWは、IP Forwardを有効にして、Default Gatewayを全体のGWに、各セグメントへのroutesをGW Port Group のNICに設定。
IP Forwardの設定は、/etc/sysctl.conf へ”net.ipv4.ip_foward=1″の追記。
その場ですぐに有効化する場合は、sysctl net.ipv4.ip-foward=1 を実行。
ちなみに上記操作も、以下の設定も管理者権限で実行。
Zoneの設定は、nmcliでroutesと一緒にまとめて設定。
nmcli c m ens192 connection.zone trusted +ipv4.routes "192.168.128.0/24 192.168.2.128" +ipv4.route "192.168.254.0/24 192.168.2.254"これは、GW側での設定例。
Zoneをtrustedにしたのは、検証メインで使用するので、どんなApplicationがどんなポートを使うか、都度都度確認してfirewall-cmdたたくのがめんどくさいから。
実際の業務では、ダメ絶対!
各セグメントGWでの名前解決(リポジトリ接続用)をどうしようか悩んだが、「GWが内部マシンの名前解決するようなことなんてないな」と思い至り、resolve.confにブロードバンドルーターのIP Address直書きで終わらせる。どうせ検証用だし、俺しか使わないし。
これで各セグメントでUpdateできるし、ブロードバンドルーターとGWの2段構造で外部からの侵入のしにくさ保てたし。
いっそexternalのsshも外すか!って思ったが、Zoneってserviceやらportやらに何も設定されてないと、すべての通信を通すってどこかに書いてあったなぁって思いだしたんでやめとく。
後でmanページじっくり読みこまなきゃなぁ。関連ページが多すぎ!