Aquesta configuració permet que la passarel·la faci d’intermediari entre les VLAN internes i Internet.

  • El forwarding habilita el trànsit entre interfícies internes.

  • El NAT (masquerade) substitueix les IP internes per la IP pública de la passarel·la en sortir a Internet.

  • Les regles de filtratge limiten el trànsit només al necessari, millorant la seguretat.

  • La persistència assegura que la configuració s’apliqui automàticament cada vegada que el sistema s’inicia.

 

Activació del Forwarding IPv4

Per defecte, el trànsit entre interfícies de xarxa està desactivat al nucli del sistema.
Per habilitar l’enrutament, hem activat el IP forwarding tant de forma temporal com permanent.

Editem el fitxer /etc/sysctl.conf i descomentem o afegim:
📄
/etc/sysctl.conf 
net.ipv4.ip_forward=1
📄 
root@illa4:~# sysctl -p
Configuració de NAT amb nftables

Perquè les VLANs puguin accedir a Internet, cal aplicar NAT (Network Address Translation) a la interfície de sortida enp2s0.

Configuració del tauler NAT:
📄 
nft add table ip nat
nft add chain ip nat postrouting { type nat hook postrouting priority srcnat; policy accept; }
nft add rule ip nat postrouting oifname "enp2s0" masquerade
📄 
nft add table ip filter
nft add chain ip filter forward { type filter hook forward priority filter; policy drop; }
nft add rule ip filter forward iifname { "enp3s0.10", "enp3s0.20", "enp3s0.30", "enp3s0.40" } oifname "enp2s0" accept
nft add rule ip filter forward iifname "enp2s0" oifname { "enp3s0.10", "enp3s0.20", "enp3s0.30", "enp3s0.40" } ct state established,related accept
📄 
nft list ruleset > /etc/nftables.conf
Verificació del funcionament
Comandes de comprovació:
📄 
sysctl net.ipv4.ip_forward
nft list ruleset

  • El ip_forward ha de mostrar net.ipv4.ip_forward = 1

  • Les regles de masquerade i forward han d’aparèixer correctament configurades.

  • Les màquines de les VLAN poden obtenir IP via DHCP i accedir a Internet.