Firewall

Пример настройки правил в firewall на системе Debian 11, чтобы устройства в сети DMZ-* не могли инициировать соединения к клиентам в приватных сетях организации, при этом входящие соединения из всех локальных сетей в сети DMZ-* должны быть разрешены и машины в сети DMZ-* должны иметь доступ в интернет:

1. Создать правило для разрешения входящих соединений из локальных сетей в сети DMZ-*:

```
sudo iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT
```

2. Создать правило для разрешения входящих соединений из других сетей DMZ-*:

```
sudo iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
```

3. Создать правило для разрешения исходящего трафика из сети DMZ-* в интернет:

```
sudo iptables -A OUTPUT -o eth1 -d 0/0 -j ACCEPT
```

4. Создать правило для блокирования исходящих соединений из сети DMZ-* в приватные сети организации:

```
sudo iptables -A OUTPUT -i eth0 -d 192.168.0.0/16 -j DROP
```

5. Сохранить правила в файле /etc/iptables/rules.v4:

```
sudo iptables-save > /etc/iptables/rules.v4
```

6. Активировать правила для использования при загрузке системы:

```
sudo systemctl enable netfilter-persistent
```

7. Перезагрузить систему:

```
sudo reboot
``` 

Эти правила запретят любые исходящие соединения из сетей DMZ-* в приватные сети организации, однако, если есть необходимость открыть дополнительные порты, можно использовать команду `iptables -A INPUT -i eth0 -p tcp --dport {номер порта} -j ACCEPT`, где {номер порта} - нужный номер порта. Например, если нужно открыть порт 80 для доступа к веб-серверу, соответствующая команда будет выглядеть так:

```
sudo iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
```