9.9. DNAT を使用して HTTPS トラフィックを別のホストに転送する

手順

1. ファイアウォールポリシーを作成します。

   # firewall-cmd --permanent --new-policy ExamplePolicy

   ポリシーは、ゾーンとは対照的に、入力、出力、および転送されるトラフィックのパケットフィルタリングを許可します。ローカルで実行されている Web サーバー、コンテナー、または仮想マシン上のエンドポイントにトラフィックを転送するには、このような機能が必要になるため、これは重要です。

2. 受信トラフィックと送信トラフィックのシンボリックゾーンを設定して、ルーター自体がローカル IP アドレスに接続し、このトラフィックを転送できるようにします。

   # firewall-cmd --permanent --policy=ExamplePolicy --add-ingress-zone=HOST
   # firewall-cmd --permanent --policy=ExamplePolicy --add-egress-zone=ANY

   --add-ingress-zone=HOST オプションは、ローカルで生成され、ローカルホストから送信されるパケットを参照します。--add-egress-zone=ANY オプションは、任意のゾーン宛てのトラフィックを参照します。

3. トラフィックを Web サーバーに転送するリッチルールを追加します。

   # firewall-cmd --permanent --policy=ExamplePolicy --add-rich-rule='rule family="ipv4" destination address="192.0.2.1" forward-port port="443" protocol="tcp" to-port="443" to-addr="192.51.100.20"'

   リッチルールは、ルーターの IP アドレス 192.0.2.1 のポート 443 から Web サーバーの IP 192.51.100.20 のポート 443 に TCP トラフィックを転送します。ルールは ExamplePolicy を使用して、ルーターがローカル IP アドレスにも接続できるようにします。

4. ファイアウォール設定ファイルをリロードします。

   # firewall-cmd --reload
   success

5. カーネルで 127.0.0.0/8 のルーティングを有効にします。

   # echo "net.ipv4.conf.all.route_localnet=1" > /etc/sysctl.d/90-enable-route-localnet.conf
   # sysctl -p /etc/sysctl.d/90-enable-route-localnet.conf

検証

1. Web サーバーに転送したルーターの IP アドレスおよびポートに接続します。

   # curl https://192.0.2.1:443

2. オプション: net.ipv4.conf.all.route_localnet がアクティブであることを確認します。

   # sysctl net.ipv4.conf.all.route_localnet
   net.ipv4.conf.all.route_localnet = 1

3. ExamplePolicy がアクティブで、必要な設定が含まれていることを確認します。特に、送信元 IP アドレスとポート、使用するプロトコル、および宛先 IP アドレスとポート:

   # firewall-cmd --info-policy=ExamplePolicy
   ExamplePolicy (active)
     priority: -1
     target: CONTINUE
     ingress-zones: HOST
     egress-zones: ANY
     services:
     ports:
     protocols:
     masquerade: no
     forward-ports:
     source-ports:
     icmp-blocks:
     rich rules:
   	rule family="ipv4" destination address="192.0.2.1" forward-port port="443" protocol="tcp" to-port="443" to-addr="192.51.100.20"