Firewall

Routing und Masquerading

• Damit die Firewall als Internet-Router fungieren kann, muss die Quell-IP der Pakete umgeschrieben werden
• Dazu müssen Firewall-Regeln unter [nftables Masquerade|nftables]] erstellt werden, das machen wir weiter unten.

Netzkonfiguration Firewall

• Wir klonen das Debian Template

Parameter	Wert	Erläuterung
Netzwerk (NIC)	br0	bridge
IP	172.22.0.2XX	Statische IP
CIDR	16	Classless Inter-Domain Routing Präfixlänge
GW	172.22.1.1	GATEWAY
NS	172.22.0.88	Resolver
FQDN	fw.it2XX.int	Fully Qualified Domain Name
SHORT	fw	Short Name
DOM	it2XX.int	Domain Name

Anpassen des Templates

• Anpassen des Debian Templates

oder

Mit Skript

• debian-setup.sh -f fw.it2XX.int -a 172.22.0.2XX/16 -g 172.22.1.1 -n 172.22.0.88

Erklärung

• XX = Platznummer
• Y = Klassensaal

Halt

• systemctl halt

Danach passen wir die fw an

Folgendes stellen wir ein

Attribut	Wert	Netzwerk / Typ
Name	fw	-
RAM	4 GB	-
CPU	4 Kerne	-
1. NIC	WAN	Bridge br0
2. NIC	DMZ	Internes Netzwerk (Demilitarized Zone)
3. NIC	LAN	Internes Netzwerk (Client-Netz)
4. NIC	SERVER	Internes Netzwerk (Server-Netz)

Auf unserem Host eine kleine Anpassung

Als kit user

• nano ~/.ssh/config

Host fw
 HostName <FIREWALLIP>
 User kit

Auf dem Management Rechner

Schlüsselpaar anlegen mit Passphrase

• ssh-keygen

Konfig erstellen

• nano ~/.ssh/config

Host fw
 HostName <FIREWALLIP>
 User kit

Wenn noch nicht geschehen Öffentlicher Schlüssel übertragen

• ssh-copy-id fw

Danach könnt ihr euch so einloggen

• ssh fw

Interfaces

• vi /etc/network/interfaces

source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
#WAN
auto enp0s3
iface enp0s3 inet static
 address 172.22.0.2XX/16
 gateway 172.22.1.1
 dns-nameservers 172.22.0.88
 dns-search it2XX.int
 post-up ip route add 10.88.0.0/16 via 172.22.0.88
#DMZ
auto enp0s8
iface enp0s8 inet static
 address 10.88.2XX.1/24
#LAN
auto enp0s9
iface enp0s9 inet static
 address 172.26.2XX.1/24
#SERVER
auto enp0s10
iface enp0s10 inet static
 address 10.2XX.1.1/24

Reboot

• ifup -va

oder

• systemctl reboot

SSH Keys hinterlegen

• SSH Keys hinterlegen fw

NAT mit nftables

Datei erstellen, alles was drin ist kann raus

• cat /etc/nftables.conf

#!/usr/sbin/nft -f

# Variablen
define WANIP = <WANIP der Firewall>
define LAN = 172.26.2XX.0/24
define MGMT = 172.27.2XX.0/24
define SERVER = 10.2XX.1.0/24
define DMZ = 10.88.2XX.0/24
define KIT = 172.22.0.0/16
define WANDEV = enp0s3
# Alte Regeln löschen (flush)
flush ruleset

 table inet nat {
  chain postrouting {
   type nat hook postrouting priority 100; policy accept;
        ip saddr $DMZ ip daddr $KIT return
        ip saddr $DMZ ip daddr 10.88.0.0/16 return
        ip saddr $DMZ oif $WANDEV snat to $WANIP
        ip saddr $LAN oif $WANDEV snat to $WANIP
        ip saddr $SERVER oif $WANDEV snat to $WANIP
        ip saddr $MGMT oif $WANDEV snat to $WANIP
     }
  }

Firewall aktivieren

• systemctl enable nftables --now

Kontrolle

• nft list ruleset

Alternatives Laden

• nft -f /etc/nftables.conf

Löschen der Regeln

• nft flush ruleset

Forward

• echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/99-ipforward.conf
• sysctl -p /etc/sysctl.d/99-ipforward.conf

Reboot

• systemctl reboot

Allgemeine Tests

Kontrolle der IPs

• ip a s

Kontrolle der Routen

• ip r s

Kontrolle Nameserver

• cat /etc/resolv.conf

Kontrolle NFTables

• nft list ruleset

Kontrolle IPFORWARD

• cat /proc/sys/net/ipv4/ip_forward

oder

• sysctl net.ipv4.ip_forward