PDF de programación - Instalar Firewall en Linux Server con Shorewall

Instalar Firewall en Linux Server

con Shorewall



“Descubre el procedimiento que yo personalmente
utilizo para instalar un Linux Server Firewall

en tu casa u oficina ! “



Por Wilmer Huamaní Córdova


Web

: http://configurarlinuxserver.com



Linux Server Firewall con Shorewall


Actualmente, muchas empresas están solicitando servicios de implementación Firewall para la
protección de los recursos internos de su red local. Quiero compartir contigo la forma de cómo
se implementa un servidor Firewall con shorewall para tener una protección de seguridad en
los datos que ingresan desde Internet a tu red local así también los que salen desde tu segmento
interno de la Red local a internet ; ambos deben pasar necesariamente por el servidor Firewall.
La implementación puede ser con dos o tres tarjetas de red instaladas en la computadora o
ordenador que va ha cumplir la función de Firewall. En nuestro caso la implementación será
con dos tarjetas de red y es llamado Bastion home. Antes de hacer la implementación del
Firewall con Shorewall se debe conocer los conceptos de firewall y Shorewall respectivamente.

Qué es Firewall ? Un Firewall es un controlador de punto de acceso para todo el tráfico
que ingresa a la red interna. Así también, es un controlador de punto de acceso para todo el
tráfico que sale de la red interna. Un firewall sobre la red tiene un propósito de prevenir el
peligro potencial de la Internet hacia tu red interna. Un servidor firewall tiene dos funciones
principales y que a continuación se detalla:

• Te previene de usuarios no autorizados que quieren ganar acceso a la red de

datos y recursos.

• Te da la seguridad que la interacción entre la Internet y la red interna sea

conforme a las reglas de seguridad y políticas de vuestra organización.


Qué es Shorewall ? Shorewall es un software que te facilita generar las reglas de
configuración del netfilter . Es un conjunto de ficheros que se utiliza para configurar y
controlar los paquetes del núcleo Linux .

Procedimiento para habilitar tarjetas de Red:

Una vez instalado el sistema operativo Linux Slackware 12 ó 12.2 se debe configurar las dos
tarjetas de red para que cumpla la función de Bastion home. Además, tener presente la lista de
rangos de IPs de las clases A, B y C respectivamente, que tú vas ha eliges con que clase de IPs
vas a trabajar, y que a continuación se detalla:


Clase

A
B
C

Rango inicio

1.0.0.0

128.0.0.0
192.0.0.0


Direcciones Privadas disponibles:


Clase

A
B
C

Rango inicio

10.0.0.0
172.16.0.0
192.168.0.0

Rango Final

126.0.0.0
191.255.0.0
223.255.255.0

Rango Final
10.255.255.255
172.31.255.255
192.168.255.255


1.- # ifconfig Al ejecutar ese comando vas a visualizar las tarjetas instaladas en tu sistema
operativo Linux.
2.- Tener presente que Linux identifica a las tarjetas de la siguiente manera:


eth0 , eth1 etc.. eso está de acuerdo a las dos tarjetas de Red que vamos a configurar.



Web

: http://configurarlinuxserver.com


3.- # /etc/rc.d/rc.inet1.conf ir al fichero editando con
# mcedit rc.inet1.conf (Presionar enter).

Tienes que adicionar la ip en el fichero rc.inet1.conf lo siguiente:

# config information for eth1:
IPADDR[1]=”172.16.0.1 ”
NETMASK[1]=”255.255.0.0 ”
USE_DHCP[1]=””
DHCP_HOSTNAME[1]=””

4.- # ip route ls vas a visualizar las dos tarjetas de red con su respectiva scope link. Además,
te vas ha fijar quien tiene el default via , la cual te indica la red externa. En nuestro caso será
eth0
5.- # route vas a visualizar las dos tarjetas de red lista para ser un Bastion Home
6.- # ping 172.16.0.1 tiene que responder (interface interna)
7.-# ping 192.168.1.8 tiene que responder (Esta ip es configurado cuando instalas el sistema
operativo Linux según manual de instalación).
8.- Como las dos tarjetas ya están listas para ser un Firewall .Entonces se procede a instalar el
shorewall.

Procedimiento Shorewall :

•

•

fw: Propio firewall
net: Internet
loc: La red local

Shorewall tiene el archivo principal # /etc/shorewall/shorewall.conf
Shorewall usa el término de zona



1.- Para hacer el firewall con shorewall necesitas dos paquetes que es la siguiente:

Shorewall-common
Shorewal-perl ( the newer and master compiler written in perl)

•

•



No obstante, la vas a encontrar en http://www.shorewall.net cuya opción es el siguiente:

• Download
• Download sites
• Buscar Seatle,Washington, USA FTP (Browse)
• Buscar dentro del ftp la carpeta 4.2
• Elegir shorewall-4.2.6

Bajar shorewall-common-4.2.6.tar.bz2
Bajar shorewall-perl-4.2.6.2.tar.bz2



# tar –jxf shorewall-common-4.2.6.tar.bz2
# tar –jxf shorewall-perl-4.2.6.2.tar.bz2


2.- Desempaquetas los archivos con el siguiente comando:



3.- Ir al directorio desempaquetado de shorewall-perl-4.2.6.2
4.- Dentro del directorio shorewall-perl-4.2.6.2

Escriba . /install.sh (presionar enter para instalar)


Web

: http://configurarlinuxserver.com




5.- Ahora entrar al directorio desempaquetado shorewall-common-4.2.6
6.- Dentro del directorio shorewall-common-4.2.6

Escriba ./install.sh (presionar enter para instalar)



7.- Hay que editar # / etc/ shorewall/shorewall.conf


# mcedit shorewall.conf







######################
Dentro del fichero shorewall.conf tienes que buscar ESTARTUP ENABLED



##################



ESTARTUP_ ENABLED=No
• La vas a encontrar como
• La tienes que cambiar a ESTARTUP_ ENABLED=Yes



Así también buscar en el mismo fichero shorewall.conf



#################
FIREWALL OPTIONS
#################

• La vas a encontrar como CLAMPMSS=No
• La tienes que cambiar a CLAMPMSS=Yes



Web

: http://configurarlinuxserver.com







8.- Se tiene que configurar los siguientes ficheros :



# /etc/shorewall/zones
#/etc/shorewall/interfaces
#/etc/shorewall/policy
#/etc/shorewall/rules
#/etc/shorewall/masq
#/etc/shorewall/routestopped



9.- editar #/etc/shorewall/zones para declarar las zonas de red.



#mcedit zones



Web

: http://configurarlinuxserver.com







10.- Editar #/etc/shorewall/interfaces para declarar las interfaces


#mcedit interfaces



Las interfaces archivan servicios para definir el firewall. Es decir, las zonas que van a ser
tomadas en cuenta por el firewall.

Web

: http://configurarlinuxserver.com



Tcpflag: Paquetes o datos que ingresan a la interfaz eth0 se comprueban para saber si hay
ciertas combinaciones ilegales de TCP flags.
Routefilter: Indica al núcleo que debe rechazar los paquetes de la interfaz cuya dirección de
origen se haya encaminada de fuera .Es decir , con otra interfaz distinta.

Nosmurfs: Filtra paquetes que viene de un broadcast.
Blacklist: Es usado cuando en los registros log del sistema se observe alguna dirección IP del
intruso que esté intentando ingresar a la red ; en ese momento tienes que ponerlo en la lista
negra cuya dirección de fichero es #/etc/shorewall/blacklist .
Norfc1918: Le dice al núcleo de no enrutar direcciones especificas como las privadas.
Logmartians: Le indica al shorewall que registre paquetes y que va con la
habilitación del routefilter.



Web

: http://configurarlinuxserver.com






11.- Para visualizar la dirección IP de las interfaces o tarjetas de red efectuar los siguientes
comandos :



# ip route ls



# ip addr ls dev eth0

# ip addr ls dev eth1



Web

: http://configurarlinuxserver.com





12.- Hay que verificar con el comando # shorewall check la configuración o compilación.



13.- Al hacer la complilación sale un error ya que falta la configuración de policy



14.- editar #/etc/shorewall/policy para dar políticas de acceso de una zona a otra.



#mcedit policy



Web

: http://configurarlinuxserver.com




Tener presente en lo siguiente:

• ACCEPT: Indica aceptar la conexión.
• DROP: Escucha la conexión pero la ignora. Es decir, no le remite ningún mensaje al

solicitante.

• REJECT: Rechaza la conexión pero le envía un mensaje al solicitante que ha sido

rechazada.



Web

: http://configurarlinuxserver.com



15.- Usar para verificar los comandos siguientes:

# shorewall check


# shorewall show capabilities



Web

: http://configurarlinuxserver.com





16.- editar #/etc/shorewall/rules para declarar la rules de red.



#mcedit rules


En el fichero rules se definen las reglas que permitirán o denegarán el acceso a servicios y
puertos desde , y hacia zonas del firewall.
El script permite SMTP, HTTPS, NTP, POP3, ICMP(8) desde la Internet para el firewall.
Tener presente de lo siguiente:



SSH es el puerto 22
WWW es el puerto 80
HTTPS es el puerto 443

Web

: http://configurarlinuxserver.com







17.- editar #/etc/shorewall/masq para declarar dinámicamente los NAT y el origen NAT.



#mcedit masq



Web

: http://configurarlinuxserver.com




18.- editar #/etc/shorewall/routestopped para definir a los anfitriones que son accesibles

cuando se detiene o se está parando el firewall.
#mcedit routestopped



Web

: http://configur