ЛР 3.8 - Создание DMZ
В этой лабораторной работе мы создадим дополнительный сегмент сети с ограниченным доступом (DMZ).
- Выключите машины gwX и webX.
- В VirtualBox произведите настройку:
- машине gwX добавьте третий сетевой адаптер с внутренней сетью labdmz
- машине webX измените настройки сетевого адаптера - переключите его во внутренюю сеть labdmz
- включите машины и пропишите новые сетевые настройки:
для нового адаптера gwX - 10.20.30.1/24
для существующего адаптера webX - 10.20.30.10/24
- На gwX очистите правила проброса портов:
iptables -t nat -F PREROUTING
- Создайте правило проброса порта к веб-серверу и проверьте работоспособность с помрощью браузера:
iptables -t nat -A PREROUTING -p tcp -i enp0s3 --dport 80 -j DNAT --to-destination 10.20.30.10:80
- Заблокируйте forward-запросы из сети 172.16.0.0/24 в 10.20.30.0/24
iptables -A FORWARD -i <labnet_iface> -o <labdmz_iface> -j DROP
- Заблокируйте внешние запросы на порт dns машины gwX
iptables -A INPUT -i enp0s3 -p tcp --dport 53 -j DROP
- Импортируйте образ новой виртуальной машины в сеть labnet с адресом 172.16.0.10.
- Добавьте на gwX разрешающее правило web-соединения с 172.16.0.0/24 на 10.20.30.10.
iptables -I FORWARD 1 -p tcp -s '172.16.0.0/24' -d 10.20.30.10 --dport 80 -j ACCEPT