DMZ i LAN

🔹 Secció de Filtrat (filter)
Aquesta part gestiona les regles de control de trànsit en les cadenes INPUT, FORWARD i OUTPUT, que regulen quins paquets poden entrar, sortir o ser reexpedits a través del firewall.


1️⃣ Polítiques per Defecte
: INPUT ACCEPT → Accepta tot el trànsit entrant. Això significa que qualsevol paquet que no coincideixi amb una regla específica serà acceptat.
: FORWARD ACCEPT→ Accepta tot el trànsit de reexpedició entre interfícies de xarxa.
: OUTPUT ACCEPT → Permet tot el trànsit sortint sense restriccions.



2️⃣ Regles d’Entrada (INPUT)
Aquestes regles controlen el trànsit entrant cap al dispositiu (encaminador). Vegem algunes específiques:

-A INPUT -i ho -j ACCEPT→ Permet tot el trànsit en la interfície de loopback (el), necessària per al funcionament local del sistema.
-A INPUT -p tcp -m tcp –dport 21 -j ACCEPT → Permet trànsit FTP en el port 21.
-A INPUT -p tcp -m tcp –dport 20 -j ACCEPT→ Permet trànsit FTP-DATA en el port 20.
-A INPUT -p tcp -m tcp –dport 1024:1048 -j ACCEPT → Permet connexions en els ports dinàmics 1024-1048.



3️⃣ Regles de Reexpedició (FORWARD)
Aquí es configura el trànsit que passa a través de l’encaminador, és a dir, els paquets que s’envien entre interfícies de xarxa:


-A FORWARD -i enp1s0.10 -o enp1s0.20 -j ACCEPT → Permet trànsit entre les subxarxes enp1s0.10 i enp1s0.20.
-A FORWARD -i enp1s0 -o enp2s0 -j ACCEPT → Permet trànsit des de enp1s0 a enp2s0 (probablement la interfície de sortida a Internet).
-A FORWARD -i enp2s0 -o enp1s0 -m state –state RELATED,ESTABLISHED -j ACCEPT → Permet paquets de resposta des d’Internet cap a la xarxa interna, assegurant que només siguin connexions iniciades des de dins.
-A FORWARD -i enp2s0 -o enp1s0 -j REJECT –reject-*with icmp-*port-*unreachable → Bloqueja tot trànsit no autoritzat des d’Internet cap a la xarxa interna.


📌 L’important aquí:  
✔ Es protegeix la xarxa interna en permetre sol trànsit de retorn.  
✔ Les regles permeten comunicació entre les VLANs (enp1s0.10, enp1s0.20, enp1s0.30).  
✔ Es bloqueja accés directe des d’Internet a la xarxa interna, la qual cosa és una bona pràctica de seguretat.


4️⃣ Regles de Sortida (OUTPUT)
-A OUTPUT -o ho -j ACCEPT → Permet trànsit en la interfície el, que és important per a processos interns del sistema.

 

 🔹 Secció de NAT (nat)
Aquesta part configura la traducció d’adreces de xarxa, necessària perquè els dispositius interns accedeixin a Internet.


1️⃣ Regla de MASQUERADE
-A POSTROUTING -o enp2s0 -j MASQUERADE


💡 Què fa aquesta regla?  
Aquesta regla oculta les adreces IP privades dels dispositius interns i les reemplaça amb la IP pública de l’encaminador quan salin per enp2s0. És essencial per a permetre la navegació en ¡nternet.


 🔹 Resum de Funcionament
✅ Filtrat de trànsit: Es permet trànsit essencial en la xarxa interna i es bloquegen accessos directes des d’Internet.  
✅ Comunicació entre VLANs: Es permet el trànsit entre les diferents subxarxes internes (enp1s0.10, enp1s0.20, enp1s0.30).  
✅ Protecció de l’encaminador: Es permet sol trànsit de retorn des d’Internet i es bloqueja accés directe a la xarxa interna.  
✅ Traducció de direccions (NAT): S’usa MASQUERADE per a permetre que els dispositius interns naveguin per Internet.

 

Leave a Comment

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos.
Privacidad