Publicado el 22 de Marzo del 2018
471 visualizaciones desde el 22 de Marzo del 2018
599,6 KB
24 paginas
Creado hace 14a (24/01/2010)
Instalar Firewall en Linux Server
con Shorewall
“Descubre el procedimiento que yo personalmente
utilizo para instalar un Linux Server Firewall
en tu casa u oficina ! “
Por Wilmer Huamaní Córdova
Web
: http://configurarlinuxserver.com
Linux Server Firewall con Shorewall
Actualmente, muchas empresas están solicitando servicios de implementación Firewall para la
protección de los recursos internos de su red local. Quiero compartir contigo la forma de cómo
se implementa un servidor Firewall con shorewall para tener una protección de seguridad en
los datos que ingresan desde Internet a tu red local así también los que salen desde tu segmento
interno de la Red local a internet ; ambos deben pasar necesariamente por el servidor Firewall.
La implementación puede ser con dos o tres tarjetas de red instaladas en la computadora o
ordenador que va ha cumplir la función de Firewall. En nuestro caso la implementación será
con dos tarjetas de red y es llamado Bastion home. Antes de hacer la implementación del
Firewall con Shorewall se debe conocer los conceptos de firewall y Shorewall respectivamente.
Qué es Firewall ? Un Firewall es un controlador de punto de acceso para todo el tráfico
que ingresa a la red interna. Así también, es un controlador de punto de acceso para todo el
tráfico que sale de la red interna. Un firewall sobre la red tiene un propósito de prevenir el
peligro potencial de la Internet hacia tu red interna. Un servidor firewall tiene dos funciones
principales y que a continuación se detalla:
• Te previene de usuarios no autorizados que quieren ganar acceso a la red de
datos y recursos.
• Te da la seguridad que la interacción entre la Internet y la red interna sea
conforme a las reglas de seguridad y políticas de vuestra organización.
Qué es Shorewall ? Shorewall es un software que te facilita generar las reglas de
configuración del netfilter . Es un conjunto de ficheros que se utiliza para configurar y
controlar los paquetes del núcleo Linux .
Procedimiento para habilitar tarjetas de Red:
Una vez instalado el sistema operativo Linux Slackware 12 ó 12.2 se debe configurar las dos
tarjetas de red para que cumpla la función de Bastion home. Además, tener presente la lista de
rangos de IPs de las clases A, B y C respectivamente, que tú vas ha eliges con que clase de IPs
vas a trabajar, y que a continuación se detalla:
Clase
A
B
C
Rango inicio
1.0.0.0
128.0.0.0
192.0.0.0
Direcciones Privadas disponibles:
Clase
A
B
C
Rango inicio
10.0.0.0
172.16.0.0
192.168.0.0
Rango Final
126.0.0.0
191.255.0.0
223.255.255.0
Rango Final
10.255.255.255
172.31.255.255
192.168.255.255
1.- # ifconfig Al ejecutar ese comando vas a visualizar las tarjetas instaladas en tu sistema
operativo Linux.
2.- Tener presente que Linux identifica a las tarjetas de la siguiente manera:
eth0 , eth1 etc.. eso está de acuerdo a las dos tarjetas de Red que vamos a configurar.
Web
: http://configurarlinuxserver.com
3.- # /etc/rc.d/rc.inet1.conf ir al fichero editando con
# mcedit rc.inet1.conf (Presionar enter).
Tienes que adicionar la ip en el fichero rc.inet1.conf lo siguiente:
# config information for eth1:
IPADDR[1]=”172.16.0.1 ”
NETMASK[1]=”255.255.0.0 ”
USE_DHCP[1]=””
DHCP_HOSTNAME[1]=””
4.- # ip route ls vas a visualizar las dos tarjetas de red con su respectiva scope link. Además,
te vas ha fijar quien tiene el default via , la cual te indica la red externa. En nuestro caso será
eth0
5.- # route vas a visualizar las dos tarjetas de red lista para ser un Bastion Home
6.- # ping 172.16.0.1 tiene que responder (interface interna)
7.-# ping 192.168.1.8 tiene que responder (Esta ip es configurado cuando instalas el sistema
operativo Linux según manual de instalación).
8.- Como las dos tarjetas ya están listas para ser un Firewall .Entonces se procede a instalar el
shorewall.
Procedimiento Shorewall :
•
•
fw: Propio firewall
net: Internet
loc: La red local
Shorewall tiene el archivo principal # /etc/shorewall/shorewall.conf
Shorewall usa el término de zona
1.- Para hacer el firewall con shorewall necesitas dos paquetes que es la siguiente:
Shorewall-common
Shorewal-perl ( the newer and master compiler written in perl)
•
•
No obstante, la vas a encontrar en http://www.shorewall.net cuya opción es el siguiente:
• Download
• Download sites
• Buscar Seatle,Washington, USA FTP (Browse)
• Buscar dentro del ftp la carpeta 4.2
• Elegir shorewall-4.2.6
Bajar shorewall-common-4.2.6.tar.bz2
Bajar shorewall-perl-4.2.6.2.tar.bz2
# tar –jxf shorewall-common-4.2.6.tar.bz2
# tar –jxf shorewall-perl-4.2.6.2.tar.bz2
2.- Desempaquetas los archivos con el siguiente comando:
3.- Ir al directorio desempaquetado de shorewall-perl-4.2.6.2
4.- Dentro del directorio shorewall-perl-4.2.6.2
Escriba . /install.sh (presionar enter para instalar)
Web
: http://configurarlinuxserver.com
5.- Ahora entrar al directorio desempaquetado shorewall-common-4.2.6
6.- Dentro del directorio shorewall-common-4.2.6
Escriba ./install.sh (presionar enter para instalar)
7.- Hay que editar # / etc/ shorewall/shorewall.conf
# mcedit shorewall.conf
######################
Dentro del fichero shorewall.conf tienes que buscar ESTARTUP ENABLED
##################
ESTARTUP_ ENABLED=No
• La vas a encontrar como
• La tienes que cambiar a ESTARTUP_ ENABLED=Yes
Así también buscar en el mismo fichero shorewall.conf
#################
FIREWALL OPTIONS
#################
• La vas a encontrar como CLAMPMSS=No
• La tienes que cambiar a CLAMPMSS=Yes
Web
: http://configurarlinuxserver.com
8.- Se tiene que configurar los siguientes ficheros :
# /etc/shorewall/zones
#/etc/shorewall/interfaces
#/etc/shorewall/policy
#/etc/shorewall/rules
#/etc/shorewall/masq
#/etc/shorewall/routestopped
9.- editar #/etc/shorewall/zones para declarar las zonas de red.
#mcedit zones
Web
: http://configurarlinuxserver.com
10.- Editar #/etc/shorewall/interfaces para declarar las interfaces
#mcedit interfaces
Las interfaces archivan servicios para definir el firewall. Es decir, las zonas que van a ser
tomadas en cuenta por el firewall.
Web
: http://configurarlinuxserver.com
Tcpflag: Paquetes o datos que ingresan a la interfaz eth0 se comprueban para saber si hay
ciertas combinaciones ilegales de TCP flags.
Routefilter: Indica al núcleo que debe rechazar los paquetes de la interfaz cuya dirección de
origen se haya encaminada de fuera .Es decir , con otra interfaz distinta.
Nosmurfs: Filtra paquetes que viene de un broadcast.
Blacklist: Es usado cuando en los registros log del sistema se observe alguna dirección IP del
intruso que esté intentando ingresar a la red ; en ese momento tienes que ponerlo en la lista
negra cuya dirección de fichero es #/etc/shorewall/blacklist .
Norfc1918: Le dice al núcleo de no enrutar direcciones especificas como las privadas.
Logmartians: Le indica al shorewall que registre paquetes y que va con la
habilitación del routefilter.
Web
: http://configurarlinuxserver.com
11.- Para visualizar la dirección IP de las interfaces o tarjetas de red efectuar los siguientes
comandos :
# ip route ls
# ip addr ls dev eth0
# ip addr ls dev eth1
Web
: http://configurarlinuxserver.com
12.- Hay que verificar con el comando # shorewall check la configuración o compilación.
13.- Al hacer la complilación sale un error ya que falta la configuración de policy
14.- editar #/etc/shorewall/policy para dar políticas de acceso de una zona a otra.
#mcedit policy
Web
: http://configurarlinuxserver.com
Tener presente en lo siguiente:
• ACCEPT: Indica aceptar la conexión.
• DROP: Escucha la conexión pero la ignora. Es decir, no le remite ningún mensaje al
solicitante.
• REJECT: Rechaza la conexión pero le envía un mensaje al solicitante que ha sido
rechazada.
Web
: http://configurarlinuxserver.com
15.- Usar para verificar los comandos siguientes:
# shorewall check
# shorewall show capabilities
Web
: http://configurarlinuxserver.com
16.- editar #/etc/shorewall/rules para declarar la rules de red.
#mcedit rules
En el fichero rules se definen las reglas que permitirán o denegarán el acceso a servicios y
puertos desde , y hacia zonas del firewall.
El script permite SMTP, HTTPS, NTP, POP3, ICMP(8) desde la Internet para el firewall.
Tener presente de lo siguiente:
SSH es el puerto 22
WWW es el puerto 80
HTTPS es el puerto 443
Web
: http://configurarlinuxserver.com
17.- editar #/etc/shorewall/masq para declarar dinámicamente los NAT y el origen NAT.
#mcedit masq
Web
: http://configurarlinuxserver.com
18.- editar #/etc/shorewall/routestopped para definir a los anfitriones que son accesibles
cuando se detiene o se está parando el firewall.
#mcedit routestopped
Web
: http://configur
Comentarios de: Instalar Firewall en Linux Server con Shorewall (0)
No hay comentarios