Router Firewall - Vertiefung UNIX-/Linux Netzwerke: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 6: | Zeile 6: | ||
=== Netzkonfiguration Firewall === | === Netzkonfiguration Firewall === | ||
| − | + | *Wir klonen das Debian Template | |
{{fw-maschine | {{fw-maschine | ||
| ip = 172.22.0.2XX | | ip = 172.22.0.2XX | ||
| cidr = 16 | | cidr = 16 | ||
| − | | gw = 172.22. | + | | gw = 172.22.1.1 |
| ns = 172.22.0.88 | | ns = 172.22.0.88 | ||
| fqdn = fw.it2XX.int | | fqdn = fw.it2XX.int | ||
| Zeile 36: | Zeile 36: | ||
| '''1. NIC''' || WAN || Bridge br0 | | '''1. NIC''' || WAN || Bridge br0 | ||
|- | |- | ||
| − | | '''2. NIC''' || DMZ || Internes Netzwerk ( | + | | '''2. NIC''' || DMZ || Internes Netzwerk (Demilitarized Zone) |
|- | |- | ||
| − | | '''3. NIC''' || LAN || Internes Netzwerk ( | + | | '''3. NIC''' || LAN || Internes Netzwerk (Client-Netz) |
|- | |- | ||
| '''4. NIC''' || SERVER || Internes Netzwerk (Server-Netz) | | '''4. NIC''' || SERVER || Internes Netzwerk (Server-Netz) | ||
| Zeile 49: | Zeile 49: | ||
HostName <FIREWALLIP> | HostName <FIREWALLIP> | ||
User kit | User kit | ||
| + | =Auf dem Management Rechner= | ||
| + | ;Schlüsselpaar anlegen mit Passphrase | ||
| + | *ssh-keygen | ||
| + | ;Konfig erstellen | ||
| + | *nano ~/.ssh/config | ||
| + | Host fw | ||
| + | HostName <FIREWALLIP> | ||
| + | User kit | ||
| + | ;Wenn noch nicht geschehen Öffentlicher Schlüssel übertragen | ||
| + | *ssh-copy-id fw | ||
;Danach könnt ihr euch so einloggen | ;Danach könnt ihr euch so einloggen | ||
*ssh fw | *ssh fw | ||
| Zeile 70: | Zeile 80: | ||
=NAT mit nftables= | =NAT mit nftables= | ||
| − | ; | + | ;Datei erstellen, alles was drin ist kann raus |
{{nftabels-var1 | {{nftabels-var1 | ||
| kit = 172.22.0.0/16 | | kit = 172.22.0.0/16 | ||
| Zeile 76: | Zeile 86: | ||
# Alte Regeln löschen (flush) | # Alte Regeln löschen (flush) | ||
flush ruleset | flush ruleset | ||
| − | {{vorlage: | + | {{vorlage:nat2}} |
;Firewall aktivieren | ;Firewall aktivieren | ||
Aktuelle Version vom 19. Mai 2026, 12:20 Uhr
Firewall
Routing und Masquerading
![Bearbeiten](javascript:editDrawio("1280990263", "5102-masquerade.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
- Damit die Firewall als Internet-Router fungieren kann, muss die Quell-IP der Pakete umgeschrieben werden
- Dazu müssen Firewall-Regeln unter [nftables Masquerade|nftables]] erstellt werden, das machen wir weiter unten.
Netzkonfiguration Firewall
- Wir klonen das Debian Template
| Parameter | Wert | Erläuterung |
|---|---|---|
| Netzwerk (NIC) | br0 | bridge |
| IP | 172.22.0.2XX | Statische IP |
| CIDR | 16 | Classless Inter-Domain Routing Präfixlänge |
| GW | 172.22.1.1 | GATEWAY |
| NS | 172.22.0.88 | Resolver |
| FQDN | fw.it2XX.int | Fully Qualified Domain Name |
| SHORT | fw | Short Name |
| DOM | it2XX.int | Domain Name |
- Anpassen des Templates
oder
- Mit Skript
- debian-setup.sh -f fw.it2XX.int -a 172.22.0.2XX/16 -g 172.22.1.1 -n 172.22.0.88
Erklärung
- XX = Platznummer
- Y = Klassensaal
Halt
- systemctl halt
Danach passen wir die fw an
Folgendes stellen wir ein
| Attribut | Wert | Netzwerk / Typ |
|---|---|---|
| Name | fw | - |
| RAM | 4 GB | - |
| CPU | 4 Kerne | - |
| 1. NIC | WAN | Bridge br0 |
| 2. NIC | DMZ | Internes Netzwerk (Demilitarized Zone) |
| 3. NIC | LAN | Internes Netzwerk (Client-Netz) |
| 4. NIC | SERVER | Internes Netzwerk (Server-Netz) |
Auf unserem Host eine kleine Anpassung
- Als kit user
- nano ~/.ssh/config
Host fw HostName <FIREWALLIP> User kit
Auf dem Management Rechner
- Schlüsselpaar anlegen mit Passphrase
- ssh-keygen
- Konfig erstellen
- nano ~/.ssh/config
Host fw HostName <FIREWALLIP> User kit
- Wenn noch nicht geschehen Öffentlicher Schlüssel übertragen
- ssh-copy-id fw
- Danach könnt ihr euch so einloggen
- ssh fw
Interfaces
- vi /etc/network/interfaces
source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface #WAN auto enp0s3 iface enp0s3 inet static address 172.22.0.2XX/16 gateway 172.22.1.1 dns-nameservers 172.22.0.88 dns-search it2XX.int post-up ip route add 10.88.0.0/16 via 172.22.0.88 #DMZ auto enp0s8 iface enp0s8 inet static address 10.88.2XX.1/24 #LAN auto enp0s9 iface enp0s9 inet static address 172.26.2XX.1/24 #SERVER auto enp0s10 iface enp0s10 inet static address 10.2XX.1.1/24
Reboot
- ifup -va
oder
- systemctl reboot
SSH Keys hinterlegen
NAT mit nftables
- Datei erstellen, alles was drin ist kann raus
- cat /etc/nftables.conf
#!/usr/sbin/nft -f # Variablen define WANIP = <WANIP der Firewall> define LAN = 172.26.2XX.0/24 define MGMT = 172.27.2XX.0/24 define SERVER = 10.2XX.1.0/24 define DMZ = 10.88.2XX.0/24 define KIT = 172.22.0.0/16 define WANDEV = enp0s3 # Alte Regeln löschen (flush) flush ruleset
table inet nat {
chain postrouting {
type nat hook postrouting priority 100; policy accept;
ip saddr $DMZ ip daddr $KIT return
ip saddr $DMZ ip daddr 10.88.0.0/16 return
ip saddr $DMZ oif $WANDEV snat to $WANIP
ip saddr $LAN oif $WANDEV snat to $WANIP
ip saddr $SERVER oif $WANDEV snat to $WANIP
ip saddr $MGMT oif $WANDEV snat to $WANIP
}
}
- Firewall aktivieren
- systemctl enable nftables --now
- Kontrolle
- nft list ruleset
Alternatives Laden
- nft -f /etc/nftables.conf
Löschen der Regeln
- nft flush ruleset
Forward
- echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/99-ipforward.conf
- sysctl -p /etc/sysctl.d/99-ipforward.conf
Reboot
- systemctl reboot
Allgemeine Tests
- Kontrolle der IPs
- ip a s
- Kontrolle der Routen
- ip r s
- Kontrolle Nameserver
- cat /etc/resolv.conf
- Kontrolle NFTables
- nft list ruleset
- Kontrolle IPFORWARD
- cat /proc/sys/net/ipv4/ip_forward
oder
- sysctl net.ipv4.ip_forward