Правила брандмауэра.

     На рисунке показана предложенная топология с IP-адресами интерфейсов. Опишем словесно все пра­вила маршрутизации трафика, а потом реализуем их на IPTables:

• Пакеты, выходящие за пределы локальной сети (то есть ад­ресованные интернет-узлам), должны проходить через интерфейс eth0. Кроме этого, нужно перезаписать адрес отправителя: поскольку используем внутренние адреса, то нужно заменить внутренний адрес отправителя адресом внешнего интерфейса.
• Ответы на эти пакеты должны быть переданы на интерфейс eth1 (интерфейс внутренней сети), при этом адрес получателя должен быть корректно перезаписан. Так как ответ, полученный от интернет-узла, будет предназначен внешнему интерфейсу, то нуж­но вернуть ответ внутреннему узлу, указав его внутренний IP-адрес.
• Пакеты из локальной сети, адресованные компьютерам нейтраль­ной зоны, должны быть переданы на интерфейс eth2. Для этих пакетов NAT не нужен, поскольку DMZ-компьютеры также используют внутренние адреса.
• Пакеты из нейтральной зоны, адресованные компьютерам локаль­ной сети, должны быть переданы на интерфейс eth1. NAT также не нужен.
• Пакеты DMZ-компьютеров, адресованные интернет-узлам, должны покинуть пределы сети через интерфейс eth0. В этом случае NAT нужен: нужно перезаписать адрес отправителя ад­ресом внешнего интерфейса.
• Ответы на эти пакеты должны быть отправлены назад, при этом адрес получателя должен быть корректно перезаписан, так как пакет нужно отправить соответствующей машине нейтральной зоны.
• Входящие запросы на ТСР-соединения (SYN-пакеты) по портам 80 и 443 должны быть переданы Web-серверу (из нейтральной зоны).
• Входящие запросы на TCP/UDP-соединения по порту 53 должны быть переданы DNS-серверу (из нейтральной зоны).
• Входящие запросы на ТСР-соединения по порту 25 должны быть переданы почтовому серверу (из нейтральной зоны).

Далее...

Целью правил IPTables называется действие, которое выполняется над пакетом, если его заголовок соответствует совпадению правила. Обычно используются 15 стандар­тных целей. Также можно указать в качестве цели пользовательскую це­почку, которой передается управление. Если ни одно из правил в пользовательской цепочке не совпало, выполнение передается назад в вызывающую цепочку.

     Опция -j используется для задания цели. Стандартные цели пишутся прописными буквами.

Далее...

SNAT.

     SNAT использует такой синтаксис:

# iptables -t nat -A POSTROUTING --out-interface <интерфейс> -j MASQUERADE

     Указываем таблицу (NAT), цепочку (в SNAT используется только це­почка POSTROUTING), исходящий интерфейс (внешний интерфейс) и цель - в этом случае MASQUERADE (маскарадинг). MASQUERADE полезен для соединений с динамическими или по­лудинамическими IP-адресами. Если хватает статических адресов, SNAT может быть реализован следующим образом:

# iptables -t nat -A POSTROUTING --out-interface <интерфейс> -j SNAT --to-source <адрес>

     В этом случае мы должны указать реальный адрес нашего внешнего интер­фейса.

Далее...

Когда-то IP-адресов хватало на всех, и они стоили очень дешево. Компании выкупали сети класса С (253 узла) или даже сети класса В (около 64 000 узлов). Тогда всем машинам присваивался собс­твенный IP-адрес из адресного пространства сети Интернет.

     Но, как говорится, было и прошло. Теперь нет того огромного пространства свободных IP-адресов, следовательно все чаще и чаще организации покупают не сеть класса С (не говоря уже о сети класса В), а всего лишь один единственный реальный IP-адрес. Для адресации компьютеров внутренней сети используются так называемые внутренние IP-адреса. Такие адреса не обрабатываются маршрутизаторами Интерне­та и могут быть в разных организациях. Во всем мире есть большое количество организаций, где внутренние адреса одни и те же.

Далее...