Strongswan วิธีปฏิเสธ smb บน IP เสมือน

ฉันไม่เข้าใจว่าบล็อก smb บน virtual lan อย่างไร Virtual lan 10.10.10.0/24 ฉันใช้ UFW

/etc/ipsec.conf

การตั้งค่าคอนฟิก
    charondebug="ike 1, knl 1, cfg 0"
    รหัสเฉพาะ=ไม่มี

เชื่อมต่อ ikev2-vpn
    อัตโนมัติ = เพิ่ม
    บีบอัด=ไม่
    พิมพ์=อุโมงค์
    การแลกเปลี่ยนคีย์=ikev2
    การกระจายตัว = ใช่
    ฟอร์ซเอนแคป=ใช่
    dpdaction=ชัดเจน
    dpddelay=300 วินาที
    คีย์ใหม่ = ไม่
    ซ้าย = % ใด ๆ
    leftid=@server_domain_or_IP
    leftcert=เซิร์ฟเวอร์-cert.pem
    leftsendcert=เสมอ
    leftsubnet=0.0.0.0/0
    ขวา=%ใดๆ
    rightid=%ใดๆ
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightendcert=ไม่เคย
    eap_identity=%เอกลักษณ์
    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

/etc/ufw/before.rules

#กฎ.ก่อน
#
# กฎที่ควรรันก่อนบรรทัดคำสั่ง ufw เพิ่มกฎ กำหนดเอง
ควรเพิ่ม # กฎ ให้กับหนึ่งในห่วงโซ่เหล่านี้:
# ufw-ก่อนป้อนข้อมูล
# ufw ก่อนส่งออก
# ufw-ก่อนส่งต่อ
#
*แนท
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m นโยบาย --pol ipsec --dir out -j ACC>
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
ให้สัญญา

* แหลกเหลว
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp>
ให้สัญญา
# อย่าลบบรรทัดที่จำเป็นเหล่านี้ มิฉะนั้นจะมีข้อผิดพลาด
*กรอง
:ufw-ก่อนป้อนข้อมูล - [0:0]
:ufw-ก่อนเอาท์พุท - [0:0]
:ufw-ก่อนส่งต่อ - [0:0]
:ufw-ไม่ใช่ท้องถิ่น - [0:0]
# จบบรรทัดที่ต้องการ

-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10>
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.1>

# อนุญาตทั้งหมดในการย้อนกลับ
-A ufw-before-input -i lo -j ยอมรับ
-A ufw-before-output -o lo -j ยอมรับ

# ประมวลผลแพ็กเก็ตที่เราเชื่อมต่ออยู่แล้วอย่างรวดเร็ว
-A ufw-before-input -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
-A ufw-before-output -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
-A ufw-before-forward -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ

# วางแพ็กเก็ตที่ไม่ถูกต้อง (บันทึกสิ่งเหล่านี้ในสื่อระดับบันทึกและสูงกว่า)
-A ufw-before-input -m conntrack --ctstate ไม่ถูกต้อง -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate ไม่ถูกต้อง -j DROP

# ตกลงรหัส icmp สำหรับ INPUT
-A ufw-before-input -p icmp --icmp-type ปลายทางไม่สามารถเข้าถึงได้ -j ACCEPT
-A ufw-before-input -p icmp --icmp-type เกินเวลา -j ยอมรับ
-A ufw-before-input -p icmp --icmp-type พารามิเตอร์-ปัญหา -j ยอมรับ
-A ufw-before-input -p icmp --icmp-type echo-request -j ยอมรับ

# ตกลงรหัส icmp สำหรับ FORWARD
-A ufw-before-forward -p icmp --icmp-type ปลายทางไม่สามารถเข้าถึงได้ -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type เกินเวลา -j ยอมรับ
-A ufw-before-forward -p icmp --icmp-type พารามิเตอร์-ปัญหา -j ยอมรับ
-A ufw-before-forward -p icmp --icmp-type echo-request -j ยอมรับ

# อนุญาตให้ไคลเอนต์ dhcp ทำงานได้
-A ufw-before-input -p udp --sport 67 --dport 68 -j ยอมรับ

#
# ufw-ไม่ใช่ของท้องถิ่น
#
-A ufw-before-input -j ufw-not-local

# ถ้าในพื้นที่ส่งคืน
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN

# ถ้ามัลติคาสต์ ส่งคืน
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN

#หากออกอากาศให้ส่งคืน
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

# แพ็คเก็ตที่ไม่ใช่ในเครื่องอื่น ๆ ทั้งหมดจะถูกทิ้ง
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP

# อนุญาต MULTICAST mDNS สำหรับการค้นหาบริการ (ต้องแน่ใจว่าบรรทัด MULTICAST ด้านบน
#ไม่มีความคิดเห็น)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ยอมรับ

# อนุญาต MULTICAST UPnP สำหรับการค้นหาบริการ (ต้องแน่ใจว่าบรรทัด MULTICAST ด้านบน
#ไม่มีความคิดเห็น)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ยอมรับ

# อย่าลบบรรทัด 'COMMIT' มิฉะนั้นกฎเหล่านี้จะไม่ได้รับการประมวลผล
ให้สัญญา