Configuración del shorewall - TECNOLOGÍAS DE … operativos -.- Configuración de Shorewall -.-...

Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com

Configuración del shorewall

Shorewall en un cortafuego, es decir un software que nos ayudará a mantener segura nuestra red,

controlando el tráfico entrante como saliente. Se necesita establecer una serie de zonas, las cuales

nos permitirán controlar el flujo de información, indicando que tipo de información podrá

ingresar.

Inicialmente deberá descargar los siguientes archivos de la página www.shorewall.net

shorewall-4.5.14-0base.noarch.rpm

shorewall-core-4.5.14-0base.noarch.rpm

shorewall6-4.5.14-0base.noarch.rpm

Enseguida instalar los tres archivos mediante el comando rpm

De la siguiente manera:

rpm –Uvh shorewall-core-4.5.14-=base.noarch.rpm

rpm –Uvh shorewall-4.5.14-0base.noarch.rpm

rpm –Uvh shorewall6-4-5-14-0base.noarch.rpm

NOTA: en caso de necesitar instalar otras dependencias utilizar el mismo comando rpm para

instalar los archivos indicados.


Para poder configurar el cortafuego debemos modificar los siguientes archivos:

• Shorewall.conf. Este archivo contiene las configuraciones generales del firewall.

• Zones: En este archivo se indican las zonas con las que trabajará el cortafuegos

• Interfaces: En este archivo se asignarán las interfaces de red que se utilizarán y le serán

asignados a cada una de las zonas.

• Policy: En este archivo se establecerán las políticas que deberá utilizar el cortafuegos

indicando que flujo de información recibirá y cual no.

• Rules: En este archivo se indican cuales son las reglas que controlarán que tipo de

información se dejará salir o ingresar del cortafuegos.

• Masq: Este archivo permite establecer enmascaramientos para la tarjeta de red.

Para poder trabajar con el firewall es necesario tener una tarjeta de red extra, necesita configurar

una nueva tarjeta en el caso de estar utilizando virtual box.

En este caso puede observar en la imagen superior que se está dando de alta a la segunda tarjeta

de red.


Posteriormente iniciar la configuración de los archivos, de la siguiente manera.

Nos tenemos que cambiar al directorio donde se encuentran los archivos de configuración de la

siguiente manera:

cd /etc/shorewall

Modificación del archivo shorewall.conf

Utilizando el siguiente comando:

vim shorewall.conf

y modificamos los siguientes parámetros y guardamos: STARTUP_ENABLED=Yes IP_FORWARDING=On ADD_IP_ALIASES =No CLAMPMSS=Yes


STARTUP_ENABLED Se utiliza para activar Shorewall. De modo predefinido está desactivado, solo se necesita cambiar No por Yes. IP_FORWARDING. Se encarga de la retransmisión de los paquetes que se reciben por una interfaz física y de retransmitirlos por otra interfaz hacia otro nodo. ADD_IP_ALIASES. Este parámetro determina si Shorewall agrega automáticamente la dirección externa. CLAMPMSS. Se utiliza en conexiones tipo PPP (PPTP o PPPoE) y sirve para limitar el MSS (acrónimo de Maximum Segment Size que significa Máximo Tamaño de Segmento). Cambiando el valor No por Yes, Shorewall calculará el MSS más apropiado para la conexión. Si es osado, puede también especificarse un número en paquetes SYN. La recomendación es establecer Yes si se cuenta con un enlace tipo PPP.

Modificación de archivo zones

Mediante el comando:

vim zones

Agregar las siguientes líneas:


net ipv4

loc ipv4

Cuidar que los espacios entre una palabra y otra sean dados con la tecla tabulador(tab).

Ipv4. Corresponde a la zona estándar manejada por shorewall

Firewall. Determina el firewall.

Modificar el archivo interfaces.

De la siguiente manera:

vim interfaces

Obtendrá una pantalla como la siguiente

Deberá editar este archivo para tener una configuración como la siguiente:

#ZONE INTERFACE BROADCAST OPTIONS net eth0 detect dhcp loc eth1 detect

En el ejemplo anterior se está considerando la existencia de 2 tarjetas de red eth0 y eth1, en el

ejemplo se determinó que eth0 es la tarjeta de red que se encontrará conectada a internet y se

encuentra utilizando eth1 para conectar a la red local.


Descripción de las opciones de configuración:

Dhcp.

Se utiliza bajo las siguientes situaciones son ciertas:

• La interfaz obtiene una dirección IP vía DHCP

• La interfaz es utilizada por un servidor DHCP corriendo en el firewall.

• La interfaz tiene una IP estática pero se encuentra en una LAN segmentada con muchos

clientes DHCP.

• La interfaz es un puente simple con un servidor DHCP en un puerto y clientes DHCP en

otro puerto.

Blacklist.

Implementa listas negras de IP que no queremos que pasen por la interfaz.

En este archivo se le asignarán que tarjeta de red se encargará de controlar las distintas zonas del

firewall.

Editar las opciones del archivo policy, mediante en comando:

vim policy


Inicialmente el archivo se verá de la siguiente manera:

Este archivo se modificará para indicar cuales son las políticas que empleará el firewall.

Deberá modificar con los siguiente parámetros

#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: loc net ACCEPT net all DROP info all all REJECT info


Aquí hemos definido 3 políticas, • Acepta todas las conexiones desde la zona loc a la zona net la cual es el Internet.

• Deniega todas las conexiones desde la net hacia cualquiera.

• Niega cualquier conexión a cualquier lugar.

Con esto ya tendremos nuestro pequeña red bien segura, pero no podremos hacer nada, ya que solamente tenemos acceso a la red desde el firewall, todo está bloqueado, por eso necesitaremos editar el archivo rules(reglas),

Modificación del archivo rules.

La modificación de este archivo nos permitirá establecer las reglas de restricciones por parte del firewall. En este caso editaremos el archivo rules, de la siguiente manera:

vim rules

El archivo inicialmente se mira de la siguiente manera.


Estableceremos las siguientes modificaciones.

Agregaremos debajo de la línea SECTION NEW las reglas que queramos por ejemplo las siguiente permitirá la conexión al puerto 22 (SSH), 80, 8080, desde Internet (net) a nuestro firewall.

#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE #SECTION ESTABLISHED #SECTION RELATED SECTION NEW ACCEPT net fw icmp 8 ACCEPT net fw tcp 22 ACCEPT net fw tcp 53 ACCEPT net fw udp 53 ************************************************************************************************


Enseguida podemos enmarcarar la tarjeta de red para indicar cual nos proporcionará la salida.

Modificación del archivo masq

Este archivo de modificará de la siguiente manera:

vim masq

El archivo tiene el siguiente aspecto


Por lo que deberá realizar las siguientes modificaciones:

#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC eth0 eth1 ************************************************************************************************ en este definiremos el enmascaramiento para la red local (Interfaz eth1, zona loc) , la cual sale por medio de la interfaz eth0 (Zona net).

Nota: esto se haría en caso de que tuviéramos por e jemplo 2 tarjetas de red para trabajar.

Solo basta reiniciar el servicio de shorewall con el comando service shorewall restart, pero antes debemos detener el servicio IPTABLES para que funcione en forma correcta

Teclear service iptables stop

Para eliminar completamente el servicio iptables deberá teclear:

chkconfig --del iptables

Nota: cuidar establecer las reglas tanto para entrada como para salida,

Ejemplo:

Loc fw son de salida

Fw loc Son de entrada

Configuración del shorewall - TECNOLOGÍAS DE … operativos -.- Configuración de Shorewall -.-...

Documents

Transcript of Configuración del shorewall - TECNOLOGÍAS DE … operativos -.- Configuración de Shorewall -.-...