Virtual Boxに次のネットワークを作成しました。
Linux内部PC固定IPが1つあります。10.10.10.2
Linuxゲートウェイ/ファイアウォール固定IP 2個とNAT 1個があります。10.10.10.3|11.11.11.2|NATネットワークカード
Linux DMZサーバー固定IPが1つあります。11.11.11.3
対象:
1)インターネット10.10.10.Xそして11.11.11.X Linuxゲートウェイ経由。 (ただポート80、443インターネット接続は許可されており、他のすべてはブロックされています。)
2)DMZサーバーへの接続は次のとおりです。10.10.10.Xただポート22,80,443経由(Linuxゲートウェイによってブロックされた他のすべて
iptablesは次の場所にあります。Linuxゲートウェイ私が今まで持っているのは次のとおりです。
iptables -F
#Linux Gateway to Internet from 10.10.10.X
iptables -A FORWARD -i enp0s8 -o enp0s3 -j ACCEPT
iptables -A FORWARD -i enp0s3 -o enp0s8 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
#Linux Gateway to Internet from 11.11.11.X
iptables -A FORWARD -i enp0s9 -o enp0s3 -j ACCEPT
iptables -A FORWARD -i enp0s3 -o enp0s9 -m state --state RELATED,ESTABLISHED -j ACCEPT
#Linux Gateway to DMZ
iptables -A FORWARD -i enp0s8 -o enp0s9 ACCEPT
iptables -A FORWARD -i enp0s9 -o enp0s8 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o enp0s9 -j MASQUERADE
#Allow only port 80,443 to Internet
iptables -A INPUT -p tcp -m tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT DROP
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT DROP
iptables -A FORWARD DROP
編集1
1) ip_forward を有効にしました。
2) インターフェイスは次のとおりです。enp0s8~のためLinuxコンピュータ、enp0s9~のため非武装地帯、enp0s3~のためインターネット
適合するかもしれませんが、DMZに向かうポートに制限を追加する必要があります。