Thomas.will: Die Seite wurde neu angelegt: „= Firewall = = Routing und Masquerading = {{#drawio:5102-masquerade}} * Damit die Firewall als Internet-Router fungieren kann, muss die Quell-IP der Pakete umg…“

2026-05-03T10:22:57Z

Die Seite wurde neu angelegt: „= Firewall = = Routing und Masquerading = {{#drawio:5102-masquerade}} * Damit die Firewall als Internet-Router fungieren kann, muss die Quell-IP der Pakete umg…“

Neue Seite

= Firewall =
= Routing und Masquerading =
{{#drawio:5102-masquerade}}
* Damit die Firewall als Internet-Router fungieren kann, muss die Quell-IP der Pakete umgeschrieben werden
* Dazu müssen Firewall-Regeln unter [nftables Masquerade|nftables]] erstellt werden, das machen wir weiter unten.

=Wir klonen das debian-template=
Folgendes stellen wir ein
{| class="wikitable"
! Attribut !! Wert !! Netzwerk / Typ
|-
| '''Name''' || fw || -
|-
| '''RAM''' || 4 GB || -
|-
| '''CPU''' || 4 Kerne || -
|-
| '''1. NIC''' || WAN || Bridge br0
|-
| '''2. NIC''' || DMZ || Internes Netzwerk (Client-Netz)
|-
| '''3. NIC''' || LAN || Internes Netzwerk (Demilitarized Zone)
|-
| '''4. NIC''' || SERVER || Internes Netzwerk (Server-Netz)
|}

=Erklärung=
*XX = Platznummer
*Y = Klassensaal
=Hostname=
*hostnamectl set-hostname fw.it2XX.int

=Interfaces=
*cat /etc/network/interfaces
<pre>
source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#WAN
auto enp0s3
iface enp0s3 inet static
address 192.168.Y.2XX/24
gateway 192.168.Y.254
dns-nameservers 192.168.Y.88
dns-search it2XX.int
post-up ip route add 10.88.0.0/16 via 192.168.Y.88

#DMZ
auto enp0s8
iface enp0s8 inet static
address 10.88.2XX.1/24

#LAN
auto enp0s9
iface enp0s9 inet static
address 172.26.2XX.1/24

#SERVER
auto enp0s10
iface enp0s10 inet static
address 10.2XX.1.1/24
</pre>

=Reboot=
*systemctl reboot

=SSH Keys hinterlegen=
*[[SSH Keys hinterlegen fw]]

=NAT mit nftables=
;Datei erstellen, alles was drin ist kann raus
*cat /etc/nftables.conf
<pre>
#!/usr/sbin/nft -f

# Variablen
define LAN = 172.26.2XX.0/24
define SERVER = 10.2XX.1.0/24
define DMZ = 10.88.2XX.0/24

# Alte Regeln löschen (flush)
flush ruleset

# NAT-Tabelle erstellen/verwenden
table ip nat {
chain postrouting {
type nat hook postrouting priority 100; policy accept;

# DMZ nach 192.168.Y.0/24 - kein NAT (RETURN)
ip saddr $DMZ ip daddr 192.168.Y.0/24 return

# DMZ nach 10.88.0.0/16 - kein NAT (RETURN)
ip saddr $DMZ ip daddr 10.88.0.0/16 return

# DMZ nach außen (enp0s3) - Masquerade
ip saddr $DMZ oif enp0s3 masquerade

# LAN nach außen - Masquerade
ip saddr $LAN oif enp0s3 masquerade

# SERVER nach außen - Masquerade
ip saddr $SERVER oif enp0s3 masquerade
}
}
</pre>
;Firewall aktivieren
*systemctl enable nftables --now
;Kontrolle
*nft list ruleset

=Forward=
*echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/99-ipforward.conf
*sysctl -p /etc/sysctl.d/99-ipforward.conf

=Reboot=
*systemctl reboot
=Allgemeine Tests=
;Kontrolle der IPs
*ip a s
;Kontrolle der Routen
*ip r s
;Kontrolle Nameserver
*cat /etc/resolv.conf
;Kontrolle NFTables
*nft list ruleset
;Kontrolle IPFORWARD
*cat /proc/sys/net/ipv4/ip_forward

Linux - Netzwerk und Serveradminstration Firewall Debian - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „= Firewall = = Routing und Masquerading = {{#drawio:5102-masquerade}} * Damit die Firewall als Internet-Router fungieren kann, muss die Quell-IP der Pakete umg…“