Servidor Debian Router Proxy Firewall DHCP

Click here to load reader

  • date post

    30-Nov-2015
  • Category

    Documents

  • view

    86
  • download

    4

Embed Size (px)

Transcript of Servidor Debian Router Proxy Firewall DHCP

  • Servidor Debian Router FW

    Objetivos:Administrar las conexiones de 2 redes lan,

    una de alumnos y otra de profesores.Ambas redes deben acceder a internet y respetar ciertas politicas de seguridad.

  • Desde Cero Nuestro servidor puede ser una Pentiun I

    con 128 de ram y 3 placas de red. Para por ejemplo un Mximo de 10 PC.

    En nuestro caso usamos virtualbox para crear el escenario y mostrar la practica.

    Servidor = Debian PC Alumno = Windows Xp PC Profesor = Windows 2000

  • Primeros pasos Instalamos Debian estable, solo el sistema

    base, nada extra. Instalamos algunas herramientas que nos

    pueden ser de utilidad, ud. instalen sus preferidas.#aptgetinstallmcnmaphtopiftopssh

  • Configurando las placas de red Ahora debemos configurar las 3 placas de

    red. Para ello editaremos el archivo interfaces

    #mcedit/etc/network/interfaces

  • #Theloopbacknetworkinterfaceautoloifaceloinetloopback

    #Theprimarynetworkinterface#laplacaETH0ladejoenautomaticoallowhotplugeth0ifaceeth0inetdhcp

    #Configurolaplacaderedprofesoresautoeth1ifaceeth1inetstaticaddress10.10.10.1netmask255.255.255.0broadcast10.10.10.255network10.10.10.0#configurolaplacaderedalumnosywifiautoeth2ifaceeth2inetstaticaddress10.10.20.1netmask255.255.255.0broadcast10.10.20.255network10.10.20.0

  • Interfaces comentarios#TheloopbacknetworkinterfaceautoloifaceloinetloopbackEslaconfiguracionquevienedefabricadelainterfazvirtualespecial,deloopback,parahacerpruebasdeconexinconnosotrosmismos.

    #Theprimarynetworkinterface#laplacaETH0ladejoenautomaticoallowhotplugeth0ifaceeth0inetdhcpEstaeslaconfiguracionadecuadaparaqueestaplacaderedseautoconfigure,oseadeberiaestarconectadaalmodem/routerdenuestroISP(arnet,fibertel,cablexpress,etc.)

  • Interfaces - comentarios#Configurolaplacaderedprofesoresautoeth1Placadereddeprofesoresifaceeth1inetstaticAddress10.10.10.1IndicalaipdelaplacaNetmask255.255.255.0IndicalamascaraderedBroadcast10.10.10.255IndicaelbroadcastNetwork10.10.10.0Indicaeliniciodelared#configurolaplacaderedalumnosywifiautoeth2ifaceeth2inetstaticaddress10.10.20.1netmask255.255.255.0broadcast10.10.20.255Network10.10.20.0IdemalsegmentodereddeprofesoresParamasdetallesleer#maninterfaces

  • DHCP - Instalacin Ahora instalamos y configuramos el

    servidor de DHCP para que las computadoras de profesores y alumnos se configuren automticamente al conectarse a nuestras redes.

    #apt-get install dhcp3-server

  • DHCP - Configuracin

    # A slightly different configuration for an internal subnet.

    # dhcp para red de alumnos

    subnet 10.10.10.0 netmask 255.255.255.0 { range 10.10.10.101 10.10.10.199; option domain-name-servers 170.210.200.3; option domain-name "alumnos.mired.lan"; option routers 10.10.10.1; option broadcast-address 10.10.10.255; default-lease-time 600; max-lease-time 7200;}

    # mcedit /etc/dhcp/dhcpd.confEditamoselarchivodeconfiguracin

    Editamoslassiguienteslineasquedandoas,luegorepetimoslomismoparalareddealumnos.

  • DHCP - Explicacinsubnet 10.10.10.0 netmask 255.255.255.0 {--- define la subred, igual que en interfaces range 10.10.10.101 10.10.10.199;--- define el rango de nros ipes que entregar option domain-name-servers 170.210.200.3;--- define el DNS que utilizar nuestra red option domain-name "alumnos.mired.lan";-- define el nomre del dominio para nuestra red option routers 10.10.10.1;--- Indica el gw o puerta de enlace para nuestra red option broadcast-address 10.10.10.255;--- Indica la direccion de broadcast default-lease-time 600; max-lease-time 7200;}--- Son parametros que indican el tiempo por el cual se entregaUna direccion IP

  • DHCP ultimo pasoConfiguramosDEFAULTSparaquetodofuncionedesdeelarranquedelsistema,paraelloeditamoselsiguientearchivo/etc/default/iscdhcpserver,quedebequedaras

    #OnwhatinterfacesshouldtheDHCPserver(dhcpd)#Separatemultipleinterfaceswithspaces,INTERFACES="eth1eth2"

    AquisolosesealanlasinterfacesendondeelservidorDebetrabajar.

    AhorapodemosreiniciarelservidorparacomprobarqueTodofunciona.ParaellotambienprendemosunapcdeAlumnosyotradeprofesoresydeberianautoconfigurarce.

  • Probando el DHCP en alumnos

  • Probando el DHCP en profesores

  • Siguiente paso compartir internetParacompartirinternetvamosainstalarSHOREWALLqueesunainterfazdescriptsqueNospermitiraadministrardeunaformaordenada,elfirewalldenuestroservidor.

    #aptgetinstallshorewall

    #cpr/usr/share/doc/shorewall/examples/threeinterface/*/etc/shorewall/

    Despuesdelainstalacion,vamosacopiarlosarchivosdeconfiguraciondeejemploquevienenConshorewall.

  • Configurando ShorewallActivamoselforwarddepaquetes,estoesmuyimportantesipretendemoscompartirinternet.Paraelloeditamoselarchivo/etc/shorewall/shorewall.confYeditamoslasiguientelineadejandoasi:

    IP_FORWARDING=Yes

    Luegoeditamoselarchivo/etc/shorewall/interfacesylodejamosasi.DeestaformaAsociamoslaszonasdelfirewallalasplacasderedcorrespondientes

    #ZONE INTERFACE BROADCAST OPTIONSnet eth0 detect tcpflags,dhcp,nosmurfs,routefilter,logmartiansalu eth1 detect tcpflags,nosmurfs,routefilter,logmartiansdoc eth2 detect tcpflags,nosmurfs,routefilter,logmartians

    Notarquenet=internet,alu=redalumnosydoc=reddocentes

  • Configurando ShorewallAhoraeditamoselarchivo/etc/shorewall/zonesparadefinirlaszonasconlasquetrabajaelFirewall,ydeberiaquedarasi

    ##########################ZONETYPEOPTIONS#fwfirewallnetipv4aluipv4docipv4

  • Configurando ShorewallAhoraeditamoselarchivo/etc/shorewall/policyparadefinirlaspoliticasconlasquetrabajarElfirewall

    ###########################################################################SOURCEDESTPOLICYLOGLEVELLIMIT:BURST

    #aceptaqmoslasconexionesdesdelasredeslocalesalinternetalunetACCEPTdocnetACCEPT#negamoslacomunicaciondesdealumnoshaciadocentesaludocDROP#aceptamoslacomunicacindesdelosdocentesalosalumnosdocaluACCEPT#aceptamoslasconexionesdesdelasredesalFWoGWenestecasoalu$FWACCEPTdoc$FWACCEPT#negamoscualquierconexiondesdelainetnetallDROPinfo

    #THEFOLLOWINGPOLICYMUSTBELASTallallREJECTinfo

  • Configurando ShorewallAhoraeditamoselarchivo/etc/shorewall/rulesparadefinirlasreglasdelfirewall,quetambienSesonciderancomolasexcepcionesalaspolticasquesedefinieronateriormente

    # AcceptDNSconnectionsfromthefirewalltotheInternetDNS(ACCEPT) alu $FWDNS(ACCEPT) doc $FWDNS(ACCEPT) $FW net# AcceptSSHconnectionsfromthelocalnetworktothefirewallandDMZSSH(ACCEPT) net $FWSSH(ACCEPT)doc$FWSSH(ACCEPT)doc aluSSH(DROP) alu docSSH(DROP) alu $FW#Reglasparabloquearelpingentrelaszonas.Ping(ACCEPT)net$FWPing(ACCEPT) doc $FWPing(DROP) alu docPing(DROP) alu $FWPing(ACCEPT) doc alu#reglasparaservicios,comodns,dhcp,http,https,squid,ssh,ftpACCEPT doc $FW tcp 21,22,53,80,443,3128,8080ACCEPT alu $FW tcp 21,22,53,80,443,3128,8080ACCEPT $FW net tcp 21,22,53,80,444,3128,8080

  • Configurando ShorewallPorultimoperonomenosimportante,esactivarenenmascaramientodedirecciones,paraCompartirinternet.Paraellomodificamoselarchivo/etc/shorewall/masq

    ############################################################################INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARKeth0 10.10.10.0/24eth0 10.10.20.0/24

    Reiniciamos todo el equipo, aun que no hace falta realmente, es solocon el fin de comprobar que al iniciar el servidor, ya queda todofuncionando.

    Caso contrario solo reiniciamos los servicios necesarios

    shorewallrestart

    AhoraSIlosalumnosydocentesdebentenerinternet.

  • SQUID Proxy cacheAhora,comotodofunciona,vamosainstalarunproxycachetransparenteParaaprobecharmejorelanchodebandadisponible.Paraelloinstalamossquid

    #aptgetinstallsquid

    ConfiguramosSquid,editandolassiguienteslineasdelarchivo/etc/squid/squid.conf

    #Squidnormallylistenstoport3128http_port3128transparent

    #shouldbeallowedaclredalusrc10.10.10.0/24#RFC1918possibleinternalnetworkaclreddocsrc10.10.20.0/24#RFC1918possibleinternalnetwork

    #fromwherebrowsingshouldbeallowedhttp_accessallowlocalhosthttp_accessallowredaluhttp_accessallowreddoc

    PorultimonosquedanodificarelfirewallparaqueenvielaspeticionesDelpuerto80delasredesal3128queesdondeescuchaSQUID

  • SQUID Proxy cacheELultimopasoparaquesquidquedefuncionandodeformatransparenteAlusuario,eshacerunaredireccion.Paraesoeditamoselarchivorulesdeshorewall,agregandoestaslineasAliniciodetodaslasreglas

    #redireccionparasquid

    REDIRECTalu3128tcpwwwREDIRECTdoc3128tcpwww

    Paraterminarreiniciamosshorewallysquid.Ytodofunciona

    #shorewallrestart

    #/etc/init.d/squidrestart

    ListotododeberiafuncionarOK

  • Bloqueando pginas con SQUIDPodemosllegarabloquearpaginaswebconsquid,paraellohacefaltaCrearunarchivoconlaspalabrasprohibidasositiosprohividos.YSQUIDseencargadebloquearesaspaginasElarchivopuedellamarcesitionegadosydebeestaren/etc/squid

    Elcontenidodelarchivopuedeserelsiguiente

    #sitiosbloqueadoswww.facebook.cowWww.ventasdedrogascom.ar

    Paraterminarenelsquid.conf,agregamoslassiguienteslineas

    Aclurlnegadasurl_regexi/etc/squid/sitionegados

    http_accessallowredalu!sitionegados

    DeestaformareiniciamossquidyyanoseprodrentraralosSitiosqueseencuentranenelarchivo

    Saludosatodosyfelicesfiestas

  • Bloqueando pginas con SQUIDELultimopasoparaquesquidquedefuncionandodeformatransparenteAlusuario,eshacerunaredireccion.Paraesoeditamoselarchivorulesdeshorewall,agregandoestaslineasAliniciodetodaslasreglas

    #redireccionparasquid

    REDIRECTalu3128tcpwwwREDIRECTdoc3128tcpwww

    Reiniciamosshorewallysquid,paraquenuestrasredestenga

    Pgina 1Pgina 2Pgina 3Pgina 4Pgina 5Pgina 6Pgina 7Pgina 8Pgina 9Pgina 10Pgina 11Pgina 12Pgina 13Pgina 14Pgina 15Pgina 16Pgina 17Pgina 18Pgina 19Pgina 20Pgina 21Pgina 22Pgina 23