1. Activació del Forwarding
Perquè el nucli de Debian permeti el pas de paquets entre interfícies, cal habilitar el reencaminament de l’IP.
Edita el fitxer /etc/sysctl.conf:
#Cerca i descomenta la següent línia
net.ipv4.ip_forward=1
#Aplica els canvis al sistema:
sysctl -p2. Configuració del Firewall
2.1. NAT
#Permetem que la DMZ surti a Internet a través de la interfície externa (enp0s9):
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE2.2. Regles d’Aïllament (Cadena FORWARD)
Establim les regles per permetre el trànsit de tornada però bloquejar l’accés a la xarxa privada:
#Permetre trànsit de connexions ja establertes:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Impedir que la DMZ iniciï connexions cap a la LAN (192.168.1.0/24):
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
#Permetre que la DMZ surti a l'exterior:
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT4. Persistència i Verificació
Les regles d’iptables són volàtils i s’esborren en reiniciar. Cal fer-les permanents:
apt update && apt install iptables-persistent
netfilter-persistent saveComprovacions finals:
- Des de la DMZ, fes ping 8.8.8.8 (Ha de funcionar).
- Des de la DMZ, fes ping 192.168.100.XX (Ha de fallar per la regla de DROP).
vagrant@router:~$ ping 8.8.8.8 -c3
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=118 time=14.6 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=118 time=14.6 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=118 time=14.7 ms
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 14.559/14.614/14.711/0.068 ms
vagrant@router:~$ ping 192.168.100.3 -c3
PING 192.168.100.3 (192.168.100.3) 56(84) bytes of data.
--- 192.168.100.3 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2054ms