Debian 11 настройки NAT + NFTABLES

NFTABLES:

• Весь трафик через брандмауэр должен быть заблокирован по умолчанию.

• Трафик, исходящий из сетей 192.168.1.0/24, 192.168.3.0/24, 10.1.1.0/30 и 172.16.1.0/24, всегда должен быть разрешен.

• Из всего трафика, исходящего от хоста (IP 192.168.2.1 hosta )dmzsrv , должен быть разрешен только трафик, требуемый службами.

nft add rule ip filter OUTPUT ip saddr 192.168.2.1 tcp dport { 80,443,53,25,143,465,161 } counter accept --- думаю это

• Из всего трафика, исходящего из общедоступной интернет-сети на хост dmzsrv , должен быть разрешен только трафик, необходимый службам.

• firewall должен иметь возможность пинговать любые хосты.


NAT (PAT с помощью nftables):

• Настройте NAT, как показано ниже, используя nftables:

• Настройте PAT для всех хостов домена wsc2022.kr.

• Настройте переадресацию портов для служб.

• Настройте статический NAT для fw.wsc2022.kr. Когда fw.wsc2022.kr связывается с общедоступной интернет-сетью, его собственный IP-адрес должен быть преобразован в 210.103.5.10.

Скрин прикрепил. Подскажите пожалуйста как работает тут маршрутизация и что куда прописать чтобы она заработала

Миниатюры

 

Вложения

WSC2022_TP39_ModuleA_pre_RU.docx (255.3 Кб, 38 просмотров)

0

Какие ваши варианты настройки данной схемы приложите?

0

Настроил BGP как указано в задании, но не могу понять почему не работает, адаптеры указал верно NAT прокинули с FW на ISP
все завелось.

BGP нужен через Frr в интернете ничего полезного не нашел кроме этой статьи - https://bgpgeek.com/installing-frr/
https://xakep.ru/2016/01/06/win-server-bgp/

BGP нужен на ISP - KR-EDGE и FR-EDGE(Windows Server 2016-19 Core)

Конфигурация BGP:
vtysh
en
conf t

KR-EDGE
router bgp 65001
bgp router-id 210.103.5.1
bgp log-neighbor-changes
neighbor 210.103.5.254 remote-as 65002
neighbor 210.103.5.62 remote-as 65002
neighbor 210.103.5.126 remote-as 65002
neighbor 210.103.5.65 remote-as 65003
network 210.103.5.0/26
timers bgp 2 6
end
write memory (wr mem, do wr mem)

Проверка:
show ip bgp summary, show ip bgp
show ip route

FR-EDGE:
Install-WindowsFeature RemoteAccess
Install-WindowsFeature RSAT-RemoteAccess-PowerShell
Install-WindowsFeature Routing
Install-RemoteAccess -MultiTenancy
Install-RemoteAccess -VpnType RoutingOnly
Get-Command BGP
Add-BgpRouter -BGPIdentifier 210.103.5.65-LocalASN 65003
Get-BgpRouter
Add-BgpPeer -PeerName FR-EDGE -PeerIPAddress 210.103.5.1 -LocalIPAddress 210.103.5.65 -PeerASN 65001
Add-BgpPeer -PeerName FR-EDGE -PeerIPAddress 210.103.5.62 -LocalIPAddress 210.103.5.65 -PeerASN 65002
Add-BgpPeer -PeerName FR-EDGE -PeerIPAddress 210.103.5.126 -LocalIPAddress 210.103.5.65 -PeerASN 65002
Add-BgpPeer -PeerName FR-EDGE -PeerIPAddress 210.103.5.254 -LocalIPAddress 210.103.5.65 -PeerASN 65002
Get-BgpPeer
Add-BgpCustomRoute -Network "210.103.5.0/26"
Add-BgpCustomRoute -Network "210.103.5.64/26"
Add-BgpCustomRoute -Network "210.103.5.128/25"
Add-BgpCustomRoute -Interface "Ethernet1" или 0 проверяется командой ipconfig
Проверка:
Get-BgpStatistics
Get-BgpRouteInformation

ISP:
vtysh – интерфейс CLI из CISCO
Используем команды такие же как на CISCO
en
conf t
ISP
router bgp 65001
bgp router-id 210.103.5.62
bgp log-neighbor-changes
neighbor 210.103.5.1 remote-as 65001
neighbor 210.103.5.65 remote-as 65003
network 210.103.5.0/26
network 210.103.5.64/26
network 210.103.5.128/25

Добавлено через 1 час 53 минуты
ISP и KR-EDGE это Debian 11

0

Документация неплохая: http://docs.frrouting.org/en/latest/
А если включить debug, что пишет в него.

0

Как вы настроили PAT ?

0