PDF de programación - Firewall de Libre Disponibilidad para la APN

Firewall de Libre Disponibilidad para la APN

Firewall de libre
disponibilidad
para la APN

Coordinación de Emergencias en Redes

Administración Pública Nacional – República Argentina

Teleinformáticas

[email protected]

Oficina Nacional de Tecnologías de la Información

Subsecretaría de la Gestión Pública
Jefatura de Gabinete de Ministros

página 1

2

Firewall de Libre Disponibilidad para la APN

Copyright © 2002, 2003,2004,2005,2006 ArCERT, ONTI - SGP
El software referido en el presente manual se encuentra bajo licencia
GPL. Junto con la distribución del software podrá encontrar una copia
de la licencia en doc/gpl.txt. La distribución y los paquetes originales
pueden encontrarse en http://leaf.sourceforge.net/
Contiene software desarrollado por ArCERT para la ONTI - SGP.
Este software es gratuito, y es distribuido con la intención de que sea
útil, pero sin ninguna garantía. Ni ArCERT y sus consultores, la ONTI o
la Subsecretaría de la Gestión Pública aceptan ninguna responsabilidad
por los daños de cualquier clase que su uso pudiera causar.

página 2

Firewall de Libre Disponibilidad para la APN

Índice General
1 Introducción.........................................................................................4
1.1 Cambios.........................................................................................4
2 Requerimientos....................................................................................4
3 Actualización........................................................................................5
4 Instalación............................................................................................6
4.1 Preparación....................................................................................6
4.1.1 Planificación de la red............................................................6
4.1.2 Datos para tener a mano.........................................................6
4.2 Instalación del Hardware..............................................................7
4.3 Consideraciones.............................................................................7
4.4 Inicialización..................................................................................8
4.5 Reinicio........................................................................................13
5 Configuración.....................................................................................14
5.1 Ingreso.........................................................................................14
5.2 El editor.......................................................................................14
5.3 Menús de configuración..............................................................15
5.4 Configuración de Red..................................................................16
5.5 Configuración del Firewall..........................................................16
5.5.1 Zones.....................................................................................18
5.5.2 Interfaces..............................................................................19
5.5.3 Hosts.....................................................................................20
5.5.4 Params..................................................................................21
5.5.5 Policy.....................................................................................21
5.5.6 Rules.....................................................................................23
5.5.7 Maclist..................................................................................26
5.5.8 Masq......................................................................................28
5.5.9 Blacklist................................................................................30
6 Configuración avanzada.....................................................................30
6.1 IP Aliases.....................................................................................30
6.2 Rutas estáticas.............................................................................31
7 Mantenimiento y Monitoreo...............................................................31
7.1 Backup.........................................................................................31
7.2 Actualización del firewall...........................................................31
7.3 Monitoreo de logs........................................................................31
8 Futuro.................................................................................................32
9 Licencia..............................................................................................32
Anexo1: Grabado del CD........................................................................32
Anexo2: Preguntas Frecuentes..............................................................32

página 3

Firewall de Libre Disponibilidad para la APN

1 Introducción
El Firewall de Libre Disponibilidad para la APN es un conjunto de
programas que ha compilado el grupo ArCERT para lograr una
distribución basada en LEAF (Linux Embedded Appliance Firewall,
distribución Bering http://leaf.sourceforge.net/bering-uclibc/ ) que
utiliza Kernel Linux v2.4, Netfileter/Iptables y Shorewall como soporte
base del producto.
1.1 Cambios.

17/05/2005 Actualización de paquetes y del kernel. Ampliación

01/06/2003 Versión inicial pública del Firewall.
10/09/2004 Migración a uClibc. Sincronización con Leaf

1.0
2.0
Bering uClibc 2.2.
3.0
del soporte de placas de red
4.0
2 Requerimientos
El Firewall ArCERT funciona sobre cualquier PC x86 o clon con las
siguientes características mínimas:

18/12/2006 Actualización de paquetes y del kernel.

• Procesador Pentium II o superior
• 32 Mb. RAM (64 Mb. Recomendado)
• 2 placas Ethernet PCI (recomendado 3)

Las placas Ethernet soportadas son las siguientes:

• chipset winbond 840
• chipset realtek 8139, 82596, 8390
• ne 2000 compatibles PCI
• ni 5010, 52, 65
• Compatibles Tulip (Linksys EtherFast)
•
•
(*) recomendadas por razones de rendimiento y confiabilidad.

(*)Intel Etherexpress Pro 100/1000
(*)3com 3c50x, 3c59x, 3c900 y 3c905 (3com XL)

• Disco rígido IDE de 2 Gb. o más (instalado como disco 0 de la

controladora 0)

• CDRom IDE ATAPI con capacidad de bootear CDs con norma

ElTorito. (Si puede bootear un CD de instalación de Linux,
entonces sirve).
• Diskettera 3½”
• Placa de video, monitor y teclado para la configuración inicial
• Un diskette 3½ “ donde se guardarán las configuraciones

página 4

Firewall de Libre Disponibilidad para la APN

Para la configuración Remota se deberá contar con una estación de
trabajo dentro de la red interna con un cliente SSH instalado (SSH,
putty, etc.).
Es necesario que la persona encargada de realizar esta instalación
posea conocimientos básicos de redes TCP/IP.
3 Actualización
Si usted está actualizando el software de Firewall, deberá tomar los
siguientes recaudos:
1.0 a 2.0:
• Antes de cambiar el CD del Firewall por la nueva versión deberá
editar el archivo de configuración de interfaces de red (accesible
desde el sistema de menús). Se deberán reemplazar las entradas que
contengan la palabra “masklen” por “netmask”, con el
correspondiente cambio del valor asociado. Por ejemplo, la línea:

deberá ser reemplazada por:

masklen 21
netmask 255.255.248.0

Una vez concluido este cambio, se deberá proceder a guardar la
configuración en diskette.

• Posteriormente al cambio de CD, deberá ingresar al sistema por la

consola. Automáticamente se actualizarán las claves SSH. Este
cambio le será anunciado la siguiente vez que utilice ssh para
acceder al firewall, y deberá proceder según las instrucciones del
cliente para aceptar los cambios.

página 5

Firewall de Libre Disponibilidad para la APN

4 Instalación
4.1 Preparación

4.1.1 Planificación de la red
Antes de comenzar a instalar el hardware y software debemos
planificar la topología de la red. En el caso más simple (que trataremos
en este manual), definiremos dos redes: Interna (donde se encuentran
las estaciones de trabajo y servicios internos, como un FileServer), y
DMZ (donde se ubicarán los servidores que provean servicios al
exterior).
El esquema básico del Firewall para este caso será como el que se ve
en la Figura 1
Figura 1

4.1.2 Datos para tener a mano
Será importante tener a mano los siguientes datos:

•
•
•
•

IP y Máscara de red del router.
IP asignado al Firewall para conectarse al router (eth0)
IP y Máscara de red asignado al Firewall en la red interna (eth1)
IP y Máscara de red asignado al Firewall en la DMZ (eth2)

página 6

Firewall de Libre Disponibilidad para la APN

4.2 Instalación del Hardware
Se deberán instalar las placas ethernet teniendo en cuenta que se
detectarán en el siguiente orden:

• Realtek 8390
• NE2000 PCI
• Realtek 8139
• Winbond 840
• 3Com 59x
•
• Compatibles Tulip

Intel EtherExpress Pro 100

Y si hay dos que correspondan al mismo driver, se ordenarán por slot
PCI.
El orden de detección de las placas es el que determinará el nombre de
cada interface, que a partir de ahora llamaremos eth0, eth1, etc.
Se deberá configurar el BIOS de la PC teniendo en cuenta:

• La máquina deberá bootear únicamente del CD
• Se deberá habilitar el password del BIOS para proteger las

modificaciones de la configuración

• Se deshabilitarán todos los dispositivos y puertos innecesarios

(paralelo, serial2, mouse PS2, usb).

• En caso de existir la opción, seleccionar “O/S sin soporte PnP”

Ahora ya podemos insertar el CD correspondiente a la distribución, y un
diskette que deberá estar formateado en formato vfat, 1440 kbytes.Es
conveniente chequear el diskete para asegurarse que no tenga
errores.
4.3 Consideraciones
A partir de este momento estamos listos para comenzar con la
configuración inicial del software. Deberemos tener en cuenta los
siguientes detal