Instalar Debian para Firewall

1. Preparacion

Antes de iniciar el proceso de instalación es necesario realizar ciertos preparativos para evitar errores o resultados no deseados, mientras más atención ponga en estos preparativos es más probable que todo salga bien.

2. Requerimientos

Para el documento, hemos configurado una máquina virtual de 10Gb de Disco Duro, 512 Mb de RAM y con Sistema operativo Debian 7.8.

3. Instalación

3.1. Instalación del Squid y sus dependencias

root@ProxyQA:~# apt-get install squid3 squidclient squid-cgi

3.2. Instalación del Webmin y sus dependencias

root@ProxyQA:/# apt-get install perl libnet-ssleay-perl openssl libauthen-pam-perl libpam-runtime libio-pty-perl apt-show-versions python

wget http://prdownloads.sourceforge.net/webadmin/webmin_1.730_all.deb

dpkg --install webmin_1.730_all.deb

apt-get install squidguard

El usuario y grupo proxy requieren acceso al directorio del cache en el cual se almacenarán los de objetos descargados, por default es el directorio /var/spool/squid3, asegúrese de que los permisos son correctos:

# ls -ld /var/spool/squid3drwxr-xr-x 19 proxy proxy 4096 2010-03-03 08:30 /var/spool/squid3

Si el usuario y grupo dueños no son proxy:proxy, entonces cambielos, por ejemplo:

# chown proxy:proxy /var/spool/squid3

El usuario proxy requiere acceso rw al directorio y el grupo proxy acceso ro, si los permisos no son los correctos cambielos con:

$ sudo chmod 755 /var/spool/squid3

En Debian/Ubuntu el directorio de los logs es /var/log/squid3, en otras distribuciones puede ser /var/log/squid/, el usuario y grupo proxy también deben tener acceso a dicho directorio.

# ls -ld /var/log/squid3/drwxr-xr-x 2 proxy proxy 4096 2010-10-30 20:47 /var/log/squid3/

Antes de iniciar con la configuración básica se recomienda que verifique que los permisos de archivos y directorios esten correctamente establecidos.

Webmin

Servers

Squid

Cache options:

Cache directories: Defaults -Save

Nano –c /etc/squid3/squid.conf

(Descomentar la línea:

cache_dir ufs /var/spool/squid3 100 16 256

Actualice el tamaño del directorio cache a 8 GB, por ejemplo:

cache_dir ufs /var/spool/squid3 8000 16 256

Si el nuevo cache lo va a montar en el mismo directorio, entonces debe detener el proceso de squid para montar la partición y después inicializar el nuevo directorio del cache, por ejemplo:

Detenga el proceso squid:

# /etc/init.d/squid3 stop

Elimine los archivos viejos del cache:

# rm -rf /var/spool/squid3/*

Monte la nueva partición:

# mount /var/spool/squid3

Asegúrese de que el usuario proxy tiene rxw sobre el directorio del cache:

# chown proxy:proxy /var/spool/squid3# chmod 750 /var/spool/squid3

Cree la estructura de directorios en el directorio del cache:

# squid3 -z

Recuerde que puede tener múltiples caches, es decir, puede tener varias lineas cache_dir y así distribuir la carga de acceso a disco de un solo cache en varios discos.

CONFIGURANDO!

Port and Networking

Puerto 8080

Administrative Options:

Visible HostName: XXX

apt-get install apache2

Lo primero que verá del sistema de instalación es el menú "Choose The Language" el cual nos presenta varios idiomas a elegir. Antes de continuar asegúrese de elegir la

opción en - Elija esta opción y pulse enter para continuar en ingles

3.2. Elegir el país donde nos encontramos

Aparecerá el sistema de instalación es el menú "Choose The Language" pero nos preguntara dependiendo del lenguaje en que país nos encontramos, y marcamos

UNITED STATE

Ahora se desplegará el menú principal del sistema de instalación, donde se presentan todos los pasos ordenados para instalar Debian. Cada vez que Usted cumpla con un paso el sistema comprobará lo que se ha hecho y ofrecerá como primera opción la más recomendable con el título "Siguiente", después dos alternativas y abajo todas las opciones posibles. Esto quiere decir que generalmente lo que tendrá que hacer es elegir

la primera opción y presionar la tecla enter.

Una vez que elegimos nuestro mapa de caracteres del teclado que usará Debian, va a empezar la detección de hardware que el tiempo de duración va a ser proporcional a cuanto poder tengamos en nuestra máquina, es decir, cuanta memoria, tamaño del procesador, etc. Una vez que detecta el hardware (no debe durar mucho este paso) que poseemos va a empezar a analizar los componentes del CD. Seguidamente nos vamos a

encontrar en una pantalla como esta:

En donde utilizamos la nomenclatura FW-CIUDAD. En donde FW significa Firewall, seguida de un (-) y luego colocamos el nombre de la ciudad. Para este ejemplo usamos fw-puerto (para Puerto Cabello). Todo lo debemos escribir en minusculas.

La siguiente pantalla tiene como objetivo preguntarnos el nombre de dominio al cual pertenecemos, La pantalla tiene el aspecto siguiente:

Nosotros le colocaquremos NET-UNO.NET.VE (todo en minuscula).

La siguiente pantalla nos indicará que zona horaria nos encontramos, en este punto podemos darle enter y seguir con la que viene por defecto (Eastern).

Luego viene la parte de la instalacion mas delicada, y es la parte en que nos indica como queremos particionar el disco duro

Nosotros escogeremos particionar el disco de manera manual.

Luego nos preguntara que partición del disco utilizaremos, y le diremos que la trabajaremos con la primaria.

En la siguiente pantalla nos advierte que en todas las pariticiones que hagamos, eliminará definitivamente todos los datos que allí se encuentren.

Le indicaremos YES, para continuar con la particion

Luego debemos crear una nueva partición.

Particiones del disco.La primera partición que crearemos es la /boot y le colocaremos que sea de 200 MB.

Que sea una partición primariaY le indicamos que la partición estará al principio (Beginnings)

Luego le damos enter en Mount Point para indicarle que será el sector /boot

Es importante marca la opcion de BOOTABLE FLAG, y colocarla en ON

Quedando de esta manera, e indicandole que esa es la opcion que deseamos (Done setting up partition)

Luego seguimos particionando el espacio libre (FREE SPACE)

Las siguientes particiones la hacemos de un tamaño considerable ya que va a contener la carpeta “/”, “/var”

Las siguiente partición también debe contener un tamaño parecido al anterior y la ultima partición debe tener una partición SWAP

Luego debemos indicar que esa es la configuración que deseamos y damos ENTER en “Finish partitioning and……”

Luego comenzara a formatear y crear las nuevas particiones según el tamaño que nosotros les indicamos

Si deseamos ver el proceso de instalacion en modo “consola” debemos presionar las teclas CTRL+ALT+F4 y veremos algo parecido a esto

Ahora llegamos a uno de los puntos más importantes de todos, es el punto de los usuarios. Nos vamos a encontrar con una pantalla como la siguiente:

Como pueden ver se nos esta pidiendo la contraseña del superusuario, es decir, la contraseña de root o administrador del sistema, este es el usuario que se encarga de tareas administrativas del sistema, por ejemplo si nosotros tenemos que instalar un programa, no lo vamos a poder hacer como usuario normal porque el sistema no lo permitiría, por lo cual lo debemos hacer como Usuario administrador, o usuario root. Como pueden ver en la imagen se nos está pidiendo que introduzcamos la contraseña del usuario root, se nos va a pedir dos veces. La primera vez que es la imagen que pueden observar, y una segunda para que el sistema pueda confirmar que las dos la clave que introducimos sean iguales y por lo tanto válidas. Esta contraseña será dada por las normas y politicas de la coordinación de WAN/LAN IT.

Ahora Debian nos pide nuestros datos para crear un usuario común, es decir, un usuario con el cual estaremos trabajando y haciendo las tareas cotidianas, ya que es muy peligroso trabajar como usuario administrador o usuario root. Primero se nos pregunta

el nombre completo de usuario al cual se le va a crear la cuenta:

Y luego n os pedira el nombre de la cuenta

Ahora llegamos al punto de configurar APT. APT es el manejador de paquetes de Debian, es decir, el que nos permitirá instalar programas automáticamente desde los repositorios de Debian, el lo que hace es descargarse el programa, instalarlo, y configurarl Se nos está pidiendo un servidor mirrow cerca de nuestra red y que por favor elijamos un servidor de Debian del cual el manejador de paquetes de Debian, APT, se descargará los programas que nosotros queremos instalar, por supuesto con el requisito de que tenemos que tener conexión a Internet. La pantalla es similar a esta:

Una vez que elegimos ese servidor se nos pide que demos tenemos un Proxy HTTP para acceder a la Internet, ya que el manejador de paquetes se descarga los paquetes del servidor a través de la Internet. Lo común es que no tengamos un Proxy HTTP por lo

cual dejamos el campo en blanco y presionamos enter, si tenemos un Proxy HTTP introducimos los datos del servidor Proxy de la manera que nos indica Debian y listo. La pantalla tiene el siguiente aspecto:

Luego nos preguntará si deseamos participar en una encuesta para el distribuidor para saber cuantas veces se ha descargado su paquete y para nosotros no nos sirve por tal motivo le indicamos que no deseamos participar

Como a nosotros nos interesa por ahora solo instalar el SIO de los Firewall no necesitamos que este equipo tenga entorno gráfico, ni que sea servidor de correo, ni de DNS, etc. Por eso es que solo seleccionamos STANDARD SYSTEM

Cuando ya estamos en la consola el manejador de paquetes APT se empezará a bajar muchísimos programas (paquetes) de Internet, por lo cual hay que tener paciencia, puede durar mucho pero mucho tiempo. Pero la velocidad de descarga va a ser proporcional a la velocidad de conexión que tengamos. Cuando se terminen de descargar, desempaquetar, instalar y configurar todos los paquetes ya vamos a tener el equipo listo para ser utilizado.

Al finalizar la instalacion nos preguntaran si deseamos instalar el paquete GRUB BOOT que no es mas que la posibilidad de escoger de un menú de opciones con cual SIO deseamos iniciar el PC. Nosotros por defecto le decimos que si deseamos instalar el

paquete:

Al finalizar la instalacion no indicará que se reiniciara el equipo y que nos aseguremos que no haya CD en la unidad.

Este es el paquete GRUB BOOT

Como no instalamos el Entorno Gráfico el SIO se cargará de la siguiente manera

TIPS:Para que no nos pida más el CD de instalación cuando queremos instalar un paquete debemos edita el archivo que se encuentra en /etc/apt/source.list y alli podemos quitar o comentar (#) las primeras 2 lineas en donde indica que cualquier

nuevo paquete sea buscado en el CDROM

Para que el Firewall pueda funcionar se le debe instalar 3 paquetes escensiales que son el:

SSH (para acceso remoto) IPROUTE (para administrar interface de red y conexiones) VLAN (Paquete para soportar Vlans)

o 8021q (protocolo para manejar Vlans)

Todo lo que se necesitas es el modulo del kernel 8021q y el paquete vlan.

Para empezar se puede ver la información del paquete conapt-cache show vlansi esta todo ok se intalasapt-get install vlan (o aptitude install vlan)

# El comando modprobe sirve para dar la orden de activación de algún dispositivo, en este caso el 8021q que es con el que funcionan todas las VLAN.

modprobe 8021q