P o r f a v o r , a p o y e e s t e s i t i o w e b a d q u i r i e n d o p r o d u c t o s d e n u e s t r o p a t r o c i n a d o r
Cómo instalar, configurar y poner en
marcha de una red con un firewall.
Por Sergio Vergara
[email protected]
Edición y formato por Joel Barrios Dueñas
[email protected]
[ Contenido ] [ Regresar a página principal ]
Copyright.
© 2000 Sergio Vergara y Linux Para Todos. Se permite la libre distribución de este documento por cualquier medio mientras se
haga de de acuerdo con los términos de la licencia pública general G N U . Linux® es una marca registrada de Linus Torvalds,
LinuxPPP® es una marca registrada de José Neif Jury Fabre, RedHat® Linux es una marca registrada de RedHat Software,
Unix® es marca registrada de X/Open. MS-DOS® y Windows® son marcas registradas de Microsoft Corporation. La
información contenida en este documento se proporciona tal cual es y el autor no asumirá responsabilidad alguna si el usuario o
lector hace mal uso de esta.
Contenido.
1.
2.
3.
4.
Introducción
Breve historia sobre Firewall y Enmascaramiento de direcciones
El filtrado de paquetes
Cadenas IP
Cadenas de Entrada
Cadenas de Salida
Cadenas de desviación (reenvío)
5.
Reglas en el Firewall
Aceptar
Negar
Rechazar
Enmascarar
Redireccionar
Regresar
6.
7.
Enmascaramiento
Instalación del software necesario.
RPM en el disco LinuxPPP 6.2
Script para hacer funcionar el enmascaramiento
8.
El Firewall
Aspectos generales
Script para funcionar el firewall
Aspectos generales de bash2
Como funciona este script
Soporte para el servicio proxy
Configuración del firewall
Introducción.
Introducción.
Este documento pretende ayudar al administrador a instalar y configurar un firewall dentro de una maquina con Linux, así mismo, como
varias maquinas pueden salir a otras redes por medio de una sola dirección IP (Enmascaramiento).
Esta primera versión cubriría aspectos básicos de instalación y configuración, esperamos ir mejorando con el paso del tiempo este
documento y pueda ser una valiosa guía.
Este documento a sido probado en una maquina con un procesador a 400Mhz y 64Mbytes en RAM, dos tarjetas de red 3Com y un disco
duro de 4Gbytes. El equipo tiene instalado LinuxPPP 6.2 (Versión Mexicana que incluye algunos programas extras a la versión de RedHat)
y la aplicación de Firewall fue instalado del mismo disco de LinuxPPP donde se localizan la mayor parte de los RPM's. La maquina en la que ha
sido probada funciona como gatway y firewall entre dos redes (una red corporativa: secretarias, gerentes y personal en general y una red
privada: con equipos de tienen bases de datos, facturación, servidores de WEB y equipo que no puede ser visto o accesado por cualquier
persona), el cual protege a una de la otra de accesos indebidos a equipos de misión crítica.
Por otra parte, si tu deseas salir a internet desde una linea telefónica y también los equipos de la red interna primero debes de leer el manual de
configuración PPP (Point to Point) para que tu Servidor Linux pueda tener acceso a internet; Una vez configurado tu salida a internet
puedes proseguir con este documento.
Finalmente, toda colaboración, corrección y demás es bien recibido para poder mejorar este documento.
Breve historia sobre Firewall y Enmascaramiento de direcciones
No hace mucho tiempo una red de computo era algo que no muchas empresas o escuelas tenían en su centro de computo. La gran mayoría de
estas computadoras se encontraban aisladas una de la otra aunque se encontraran en el mismo cuarto o salón de computo. Únicamente
grandes empresas, Instituciones Gubernamentales o Universidades tenían este recurso. Eso a cambiado con el paso del tiempo y hoy en día
es común encontrar computadoras conectadas a una red y obtener información de ella o brindar servicios (tal es el caso de internet o una
intranet en una oficina u hogar), y es común el uso de ellas, como por ejemplo enviar y recibir correo electrónico, entre muchos servicios
más.
El gran desarrollo de estas redes no ha sido del todo positivo en varios aspectos. Uno de ellos es la disponibilidad de Direcciones IP, que
esta limitado a 4.300 millones de direcciones IP validas aproximadamente. Esta cantidad de direcciones puede ser a primera vista muchísimas
direcciones, pero direcciones validas libres en internet son actualmente muy pocas, por lo que cada vez es más difícil poder obtener una
dirección valida en internet. Con la llegada de la versión 6 del protocolo IP se espera poder extender este rango de direcciones en un par de
millones más. Pero como esta nueva versión aun no se encuentra disponible debemos de trabajar con la actual (IPv4) y por ende debemos
administrar mejor el uso de este tipo de direcciones. Una forma de administrar mejor esto, es escondiendo computadoras con direcciones no
validas dentro de una red, detrás de una dirección IP valida. A esta técnica se le conoce como enmascaramiento de direcciones.
Existe otro problema que no es técnico sino social. Cada día existen más computadoras y personas que accesan a internet. La necesidad de
proteger los sistemas conectados a una red de usuarios no deseados es cada vez más común y se vuelve más importante día a día.
Instalar un firewall es en buena medida una buena solución para protegerse de ataques a una red interna o de usuarios no deseados.
Actualmente, el Kernel de Linux (Por ejemplo LinuxPPP 6.2, RedHat 6.2) soporta filtrado de paquetes, que pueden se utilizados para
implementar un sencillo firewall.
Dentro de este documento se hablara del mecanismo para el filtrado de paquetes, como puede ser utilizado para el enmascaramiento de
paquetes y construcción de un Firewall. El RPM que se encuentra dentro del disco de Linux contiene el software necesario para que el firewall
y el enmascaramiento funcionen correctamente.
El filtrado de paquetes
Actualmente linux soporta el el filtrado de paquetes. La versión de Kernel 2.2 de Linux contiene cambios significativos en su estructura para
brindar este servicio.
Existen cadenas o reglas que los paquetes IP deben de igualar para que este pueda ser aceptado. Si llega algún paquete al equipo una regla
decide que hacer con el. Este paquete puede ser aceptad, negado, rechazado, enmascarado o enviado a otra regla.
Con este mecanismo es fácil construir reglas sencillas para el filtrado de paquetes con un firewall. Esto quiere decir que todos lo paquetes
que lleguen a la maquina, independientemente si son TCP o UDP, serán primero filtrados antes de ser enviados a si destino.
Linux soporta una gran número de características para las reglas de un firewall y el enmascaramineto de paquetes.
que lleguen a la maquina, independientemente si son TCP o UDP, serán primero filtrados antes de ser enviados a si destino.
Linux soporta una gran número de características para las reglas de un firewall y el enmascaramineto de paquetes.
Cadenas IP
Las cadenas de un firewall no son mas que reglas que se utilizan para que el paquete cumpla con alguna de ellas y en un cierto orden. Esto
quiere decir que el paquete debe de cumplir con alguna regla. La regla determina que es lo que va a suceder con el paquete que ha sido
recibido. Si el paquete no coincide la próxima regla determinara que hacer con el. Si llega al final de esta regla se utilizara la política que se
encuentra por omisión.
Existen tres tipos de reglas por omisión que se utilizan:
INPUT
OUTPUT
FORWARD
Aceptación de paquetes de entrada. Todos los paquetes que vienen de una de las interfaces
de la red local son revisadas por la regla de entrada. Si el paquete no coincide con alguna de
las reglas de entrada este los rechaza.
Esta regla define los permisos para enviar paquetes IP. Todos los paquetes se encuentran
listos para ser enviados a una de las interfaces de la red local y son revisados por la regla de
salida. Si el paquete no coincide con alguna de las reglas el paquete es rechazado.
Esta regla define los permisos para el envío del paquete a otro sitio. Todos los paquetes se
envían a un equipo remoto. Nuevamente, si el paquete no coincide con alguna de las reglas
este paquete es rechazado.
Si observamos como la maquina puede funcionar como ruteador, observaremos que existen tres tipos de trafico. Los paquetes enviados a
esta maquina, los paquetes originados por la maquina y los paquetes ruteados atravez de la maquina. La tabla 2.1 muestra como estos
paquetes son ruteados atravez de las reglas.
Tabla 2.1: Paquetes y cadenas IP
To local host
To remote host
From local host
Output
From remote host
Input
Input -> froward ->
Ouput
Como se muestra en la tabla 2.1 solo aquellos paquetes que provienen de un host y se dirigen a otros host tienen todo el acceso de las tres
cadenas, los paquetes de entrada a la red local podrán solo entrar atravez de la cadena o regla de entrada y los paquetes originados desde
una maquina local solo podrán salir atravez de la cadena o regla de salida. Con este esquema de niveles podemos tener una gran flexibilidad
para instalar reglas para diferente tipo de trafico.
En la versión del kernel 2.2 hay un grupo de reglas predefinidas. Estas estan integradas dentro de las reglas de entrada y salida y no son
necesarias separar una de otra para que estas funcionen correctamente.
Reglas en el Firewall
Como se ha comentado, el kernel contiene cadenas de reglas para realizar el filtrado de paquetes. Se mostró también como una cadena filtra
un tipo especifico de trafico (entrada o salida). Ahora mostraremos cuales son estas reglas.
Las reglas en un Firewall se crean de igual forma como se a mencionado con anterioridad, tenemos una condición que debe de cumplirse para
que el paquete de entrada o salida tenga los permisos para poder llegar a su destino. Los valores que debemos de utilizar para crear una regla
se muestran a continuación:
ACCEPT
Este valor quiere decir que permite
Comentarios de: Cómo instalar, configurar y poner en marcha de una red con un firewall (0)
No hay comentarios