Instalación del FwBuilder

Transcripción

1 Instalación del FwBuilder Bertsioa / Versión: 1.0 Egilea / Autor: Luis Mandado Villanueva Data / Fecha: 4 de Mayo de 2005 Lizentzia / Licencia: CreativeCommons - ShareAlike Lizentzia laburpena: English Castellano

2 Aurkibidea / Indice Introducción... 3 Conocimientos previos... 3 Elementos necesarios... 3 Instalación del sistema operativo... 3 Preparando el entorno y consiguiendo los ficheros... 4 Instalando fwbuilder... 7 Planificando la estructura de nuestra red... 8 Empezando con el fwbuilder Carga automática de nuestrar reglas Ajustando las reglas tik, 2. Orrialdea / Página 2 de 19

3 Introducción El objetivo de este documento es facilitar a los administradores de red de los centros la capacidad de instalar y configurar una máquina que funcione como cortafuegos, usando el sistema operativo Linux, (en el ejemplo el Fedora Core 2) y el programa fwbuilder para crear las reglas sobre iptables. Conocimientos previos La intención es que no se necesite un conocimiento previo del sistema operativo Linux, por eso voy a dar muchos detalles en los pasos que se realizan sobre Linux que para alguien mínimamente familiarizado con el sistema le parecerás superfluos, pero si se necesitará experiencia en instalación de sistemas operativos en general, conocimientos de redes informáticas y conocimientos básicos del protocolo TCP/IP. Elementos necesarios Un ordenador de características medias actuales, en principio el trabajo como cortafuegos no obliga a unas características elevadas, pero al menos tiene que soportar el entorno gráfico, porque el fwbuilder no funciona en modo texto, aunque solo lo necesitaremos para crear las reglas. De todos modos conviene tener en cuenta que será un ordenador que tiene que estar encendido de modo permanente y que si este ordenador falla perderemos toda la conexión con el exterior y que además si tenemos pensado hacer correr en el un proxy o un antivirus perimetral nos consumirá mas recursos. En todo caso necesitará tener un lector de CDROM para cargar el sistema y al menos dos tarjetas de red, que es lo que mas va a trabajar, así que comprarlas de la mejor calidad posible. Instalación del sistema operativo Primero naturalmente necesitaremos los discos del sistema operativo, lo mejor es conseguir una copia de un compañero de otro centro, porque en el caso de Fedora Core 2 son 4 CDROM, tres de ellos completos y el cuarto a un tercio, así que se tarda un buen rato en bajarlos. De todos modos si tiene tiempo en tienes las instrucciones de que hay que bajarse y la lista de sitios mirror desde los que intentarlo. Una vez con los discos la instalación del sistema es bastante automática y no debe crear problemas, el tipo de instalación si de tipo escritorio personal, de servidor, etc. Depende de tus gustos, mientras tenga el entorno gráfico no necesita nada más, y si algo concreto se necesita durante la instalación del fwbuilder se puede añadir. Durante la instalación del sistema nos preguntará sobre si queremos habilitar el cortafuegos marcar ningún cortafuegos, puesto que el cortafuegos que instalaría no tiene nada que ver con el que vamos a instalar nosotros. Si nos saltamos este paso y dejamos que el sistema lo instale, que es la opción por defecto, habrá que desactivarlo luego. Durante la instalación también nos permitirá configurar las tarjetas de red, podemos hacerlo entonces o lo haremos después, de todos modos en un primer momento nos bastará con configurar una tarjeta para tener acceso a Internet y poder bajarnos los ficheros que necesitemos. 19tik, 3. Orrialdea / Página 3 de 19

4 Preparando el entorno y consiguiendo los ficheros Si todo ha ido bien al iniciar una sesión como root nos aparecerá un escritorio de este tipo En realidad el icono de Terminal que aparece en el escritorio no aparecerá, pero es una buena idea crearlo porque en bastantes casos lo más rápido será escribir ordenes que se ejecutarán en un terminal en modo texto. Para crearlo pulsaremos sobre el sombrero rojo, que haces las funciones del botón inicio en Windows, por lo que en adelante me referiré a el como Inicio, se despliega un menú, escogemos Herramientas del sistema con lo que se desplegará otro menú y abajo está Terminal pulsamos sobre el con el ratón y sin soltarlo lo arrastramos sobre el escritorio, y en una zona libre lo soltamos, y ya disponemos de un acceso más rápido a Terminal. Ahora vamos a configurar una tarjeta para tener acceso a Internet, vamos a hacerlo en modo gráfico, para ello seleccionaremos Inicio->Configuración del sistema->red, se nos tiene que desplegar una ventana de este tipo: En la lista aparecerá una entrada por cada tarjeta de red que se identificarán como eth0, eth1, etc. Si hemos montado mas tarjetas de las que vamos a necesitar por ahora podemos desactivarlas. Ahora necesitamos configurar una para poder acceder a la red, para ello la señalamos y pulsamos el botón modificar que aparece arriba, con lo que se nos abrirá una nueva ventana. 19tik, 4. Orrialdea / Página 4 de 19

5 En esta nueva ventana rellenaremos los datos que nos interesan, podemos ponerle un sobrenombre, pero en definitiva lo que nos interesa son los valores de red, dirección IP, mascara de red y puerta de enlace, una vez hecho le damos aceptar y volvemos a la ventana anterior, ahí seleccionamos la pestaña DNS y podemos colocar hasta un máximo de tres servidores DNS, una vez puesto al menos un servidor DNS seleccionamos el menú Archivo->Guardar y se guardarán los cambios, pero nos saldrá un aviso de que no tendrán efecto hasta que se reinicien los servicios de red. El modo mas rápido de hacerlo es dentro de un terminal ejecutar la orden /etc/init.d/network restart Si todo va bien tienen que aparecen unos mensajes como estos. El modo mas inmediato para saber si funciona es utilizar el comando ping, primero hacer un ping a la puerta de enlace, se supone que nuestro router, una aclaración en Linux el comando ping por defecto es indefinido así que tendremos que detenerlo pulsando <Ctrl> <C> y si responde podemos hacer otro ping a una dirección externa que sepamos que responde a un ping, yo suelo usar si funciona habremos comprobado la salida al exterior y el funcionamiento de los DNS. Si algo falla empezaremos por comprobar si la configuración de red es correcta para ello, de nuevo desde el terminal ejecutamos la orden ifconfig, no confundir con ipconfig que es como se denomina en Windows una orden similar, nos daría una salida parecida a la que se muestra mas abajo y podemos ver cada uno de los interfaces de red que están activos y cual es su configuración, y si todo parece estar bien pero no funciona nos tocará investigar, puede ser un fallo del cable de red, del punto de acceso a donde está conectado o un fallo de la tarjeta de red. 19tik, 5. Orrialdea / Página 5 de 19

6 Si ya tenemos acceso a Internet ha llegado el momento de conseguirnos los ficheros, para conseguir información sobre el fwbuilder podemos consultar su página: y para lograr los paquetes podemos seguir el enlace Download o vamos directamente a la dirección: Como vemos en la página hay distribuciones para varios sistemas operativos, pero la versión que se distribuye es la 2.0.6, la versión que se instalo en los institutos es la , esta nueva versión ha cambiado bastante en su entorno respecto a la que estamos acostumbrados los que trabajamos con las máquinas ya instaladas, pero aunque aún se pueden conseguir versiones anteriores creo que es preferible al menos para instalaciones nuevas empezar por lo mas reciente. Bajamos pues los seis ficheros del paquete para Fedora Core 2 y los almacenamos en algún sitio a mano, por ejemplo en una carpeta llamada fwbuilder bajo el directorio /root. 19tik, 6. Orrialdea / Página 6 de 19

7 Instalando fwbuilder Para instalar los paquetes lo haremos desde un terminal, primero cambiamos al directorio donde tenemos los paquetes cd fwbuilder, y después los instalamos usando el comando rpm, primero el paquete de librerías con la orden rpm iv libfwbuilder fdr2.i386.rpm y después el resto con la orden rpm iv fwbuilder*, una anotación no es necesario que escribamos los nombres de ficheros tan largos personalmente, podemos dejarle el trabajo al ordenador, si escribimos la primera parte del nombre y pulsamos el tabulador el ordenador se encargará de escribir el resto, a no ser que haya más de un fichero que empiece por la cadena que hay escrita. Si no se producen errores como pasa en el ejemplo el paquete ya está instalado, ahora vamos a crear un lanzador del programa en el escritorio, para poder llamarle con facilidad, pulsamos con el botón derecho del ratón sobre una zona libre del escritorio, y en el menú que aparece escogemos crear un lanzador, y en la ventana que se abre rellenamos los datos que se muestran. Con esto nos aparecerá un ícono en el escritorio que nos permite lanzar el programa. 19tik, 7. Orrialdea / Página 7 de 19

8 Planificando la estructura de nuestra red Ha llegado el momento de utilizar el fwbuilder para construir las reglas de nuestro cortafuegos, pero primero tenemos que tener claro como es nuestra red y como el cortafuegos se va a insertar en ella, en principio todo esto se puede realizar sin tener la máquina conectada a la red, al menos sin hacer funciones de cortafuegos hasta que todo esté preparado. Vamos a desarrollar un supuesto, que no es el que tenemos en los centros superiores donde se montaron los primeros cortafuegos, pero que es probable que se de en mas centros, en el que la salida a Internet se hace mediante un router ADSL que presenta una o varias direcciones IP públicas hacia el exterior y una IP privada por ejemplo / hacia el interior, de modo que para tener acceso a Internet nos basta conectar el puerto de red del router a nuestra red interna y configurar nuestras máquinas con direcciones internas dentro del rango de red interna del router y poner su dirección como puerta de enlace. Con esta configuración la única protección que tenemos es la que puedan tener las máquinas individuales dentro de nuestra red y los reglas que podamos definir dentro del propio router, normalmente ninguna o muy limitadas y desde luego difíciles de modificar. Vamos a cambiar esta estructura por otra en la que el cortafuegos que estamos preparando se colocará entre el router y nuestra red, de modo que la única maquina de nuestra red que tiene acceso al router sea el cortafuegos, y por lo tanto todo el trafico entre nuestra red y el exterior tendrá que pasar por el cortafuegos o no pasará, el modo mas sencillo de conseguir esto es desconectar el cable que une el router con nuestro armario de conexiones, en el extremo del router, y conectarlo a una de las tarjetas de red de nuestro 19tik, 8. Orrialdea / Página 8 de 19

9 cortafuegos, la que llamaremos tarjeta interna, y después conectaremos la tarjeta externa del cortafuegos con el router, normalmente no se puede conectar directamente una tarjeta de red y un puerto de red de un router con un cable, así que usaremos un cable cruzado o pondremos en medio un concentrador. Pero todo esto no lo haremos ahora, solo estamos planeando. En la configuración de la tarjeta de red externa tendremos una configuración adecuada para conectarnos con el router, y en la interna tendremos una para cada red interna con las que queramos trabajar, vamos a suponer que tenemos cuatro redes de tipo C, siguiendo el reparto de direcciones de la Intranet de Educación: Red de profesores * Red de alumnos * Red de administración * Red de varios * Nuestra red tomaría una apariencia de este tipo: De este modo los ordenadores pertenecientes a la misma red pueden comunicarse entre si directamente, los de redes diferentes dependerán de que el cortafuegos haga de router y eso lo controlamos con las reglas a nuestra conveniencia y tanto para las comunicaciones entrantes como salientes tendrán que atravesar el cortafuegos y podremos ponerles reglas. 19tik, 9. Orrialdea / Página 9 de 19

10 Empezando con el fwbuilder Cuando arrancamos el fwbuilder lo primero que nos pregunta es si queremos abrir un fichero de proyecto o crear uno nuevo, esta vez como no tenemos nada creado tendremos que crear uno nuevo, que vamos a llamar cortafuegos, el le añade la extensión fwb. Finalmente se nos abre una ventana con el esquema básico y sin ningún objeto cortafuegos, que es lo primero que habrá que crear. Para ello pulsamos sobre objeto-> Nuevo objeto-> Nuevo Firewall y vamos rellenando los datos que nos pide. Si marcamos Use preconfigured template firewall objects, luego podemos escoger entre una serie de plantillas preconfiguradas que después podemos modificar pero nos ahorrará trabajo en la creación de los objetos típicos de cada caso. 19tik, 10. Orrialdea / Página 10 de 19

11 Seleccionamos la plantilla fw template 1, que nos creará un cortafuegos con dos interfaces de red, y una serie de reglas que permiten acceso sin restricciones hacia el exterior, permite el acceso al cortafuegos solo desde la red interna y usando SSH y cuenta con un servidor DNS dentro de la red. Seleccionamos la plantilla y pulsamos Finish, con lo que se nos creará el objeto cortafuegos y otra serie de objetos complementarios, adaptados a una red inventada, que ahora tendremos que ir modificando para que se adapte a nuestra red. Veremos lo que se muestra en la imagen de abajo, cerramos la ventana de propiedades de cortafuegos y vamos a ir modificando la configuración para adaptarla a nuestra red. Empezamos por la configuración de los interfaces del cortafuegos, vemos que aparecen 3, uno llamado loopback, es el bucle local, con IP que siempre debe existir, y los otros dos que llama inside y outside, podemos cambiarle el nombre, pero parece bastante claro, lo que si hay que cambiar son sus características, empezamos por outside, le marcamos, pulsamos el botón derecho del ratón y seleccionamos Edit, nos aparece la ventana de caracteristicas y vemos que está marcado como dirección 19tik, 11. Orrialdea / Página 11 de 19

12 asignada dinamicamente, si el router tiene un servidor DHCP capaz de asignarle dirección puede ser válido, pero como no es nuestro caso tenemos que cambiarlo, así que lo marcamos como Regular interface, hay otra marca abajo que le indica al sistema que este es el interface externo y que hay que considerarlo inseguro. Además hay otras dos zonas donde podemos hacer cambios, en el campo Name y en el campo Label, el campo label es la etiqueta que usa el programa para mostrar los objetos y podemos poner los nombres a nuestro gusto, sin embargo el campo Name, en el caso de los interfaces, se usarán después en las reglas para el iptables, y deben ser exactamente como el sistema reconoce a los interfaces de red, de lo contrario se produciría un error al cargar las reglas y seguramente nos quedaríamos sin ninguna protección. Una vez hechos los cambios se pulsa Apply Changes, y pasamos al siguiente paso que es añadirle la IP al interface outside, para ello pulsamos con el botón derecho sobre outside y seleccionamos Add IP Address, y rellenamos los valores correspondientes. Ahora hay que hacer lo mismo para el interface interno, solo que en este interface no tenemos una sola IP, si no 4, una por cada red, empezamos por editar la existente y vamos añadiendo las otras tres una a una. Ahora vamos a crear una serie de objetos que luego necesitaremos para crear nuestras reglas, primero vamos a crear nuestras redes locales, para ello pulsamos con el botón derecho sobre Network y seleccionamos New Network, y rellenamos los datos de una red, y hacemos lo mismo con el resto de las redes. Después creamos un grupo para referirnos a las redes internas de un modo mas sencillo que tener que enumerarlas, para ello pulsamos sobre Groups con el botón derecho y seleccionamos New Group, le ponemos nombre y pulsamos aceptar, y a continuación vamos arrastrando con el ratón cada una de las redes que queremos que forman parte del grupo desde el árbol de la izquierda y soltándolas sobre el cuadro de contenidos del grupo. A continuación vamos a empezar a revisar las reglas, durante todo este tiempo en la mitad derecha del fwbuilder ha permanecido una ventana con una serie de pestañas, vamos a ir revisándolas, empezando por la mas sencilla, pulsamos sobre la pestaña outside y vemos una sola regla, que en este caso solo se aplica a aquello que aparezca en el interface outside, y dice en palabras normales que aquello cuya fuente sean el objeto cortafuegos o la red , (esta era la red interna cuando se creo el cortafuegos partiendo de la plantilla), con cualquier destino, usando cualquier servicio y cuya dirección sea entrante, se deniega, a cualquier hora, y se anota en el 19tik, 12. Orrialdea / Página 12 de 19

13 registro, (eso significa la libreta), en resumen es una regla que corta el paso a cualquiera que intente llegar desde fuera con una dirección de las de la red interna, o del propio cortafuegos, naturalmente el objeto red no nos sirve con esa intención, puesto que ahora lo que representa a las direcciones internas es el grupo Redes internas que acabamos de crear, así que primero lo eliminamos, botón derecho sobre el y Delete, y después buscamos en el árbol de la izquierda el grupo Redes Internas y lo arrastramos hasta donde estaba el objeto que acabamos de eliminar y ya está. Revisamos ahora la pestaña y vemos que no tiene nada, lo dejamos así, paramos a la siguiente pestaña loopback, y vemos una regla, que dice en palabras normales que todo lo que ocurra dentro del loopback se acepte, lo dejamos también, pasamos a la pestaña NAT, aquí se escriben las reglas que hacen conversión de direcciones de red, normalmente entre direcciones públicas y privadas, en nuestro caso lo que permitirá en que todas las máquinas de nuestra red aparezcan ante el router con la dirección del interface externo del cortafuegos, después el router a su vez hará otra NAT y lo convertira a la IP pública que utiliza para conectarse a Internet. Aquí hay una regla que dice que aquello que tenga como fuente original el objeto net , (de nuevo la antigua red interna), cuyo destino original sea cualquiera, cuyo servicio original sea cualquiera, el origen se transforma en el objeto interface outside, y el destino y el servicio se deje el original, aquí hay que hacer el mismo cambio que hicimos antes, esto es cambiar el objeto que representa a las redes internas. Pasamos ahora a la pestaña Policy, aquí tenemos varias reglas, vamos a revisarlas, teniendo en cuenta que se revisan de arriba abajo y en cuanto una regla se cumple se ejecuta y no se revisan mas, así que el orden es importante. Regla 0, permite a net conectarse a cortafuegos usando SSH, bien en principio net ya no representa las redes internas, pero tampoco parece una buena idea permitirle conectarse a cualquiera de nuestra red interna, podemos sustituir eso por la Red de Administracion, la Red de Profesores, o mejor si solo hay uno o unos pocos que se encarguen de la administración de la red, autorizar solo a estos a acceder al cortafuegos, el modo mas sencillo puede ser crear objetos Addresses, uno por cada dirección que pertenezca a un administrador de red desde la que se quiera permitir la administración, incluso direcciones públicas, después crear un grupo llamado Administradores de Red y asignarle todas estas direcciones, y autorizar a ese grupo en esta regla. La regla 1 permite al cortafuegos conectarse a net usando el servicio DNS, en caso de que tengamos un servidor DNS dentro del centro, si tenemos un administrador de dominio de Windows 2000 lo tenemos que tener, esto permitiría al cortafuegos conectarse a el para resolver nombres de dominio, vamos a cambiar esta regla vamos a dejarla de modo que no solo el cortafuegos si no todas las redes internas puedan acceder usando DNS a la máquina donde está el servidor DNS, para ello primero añadimos el grupo Redes internas a la casilla Source y borrammos el objeto cortafuegos de ella, después creamos un objeto Address con la IP del DNS, lo arrastramos a la casilla destino y eliminamos el objeto net que contenía. La regla 2, dice que cualquiera que se conecte al cortafuegos con cualquier servicio se rechaza, esto quiere decir que cualquiera que se conecte al cortafuegos y no haya sido autorizado por la regla 0 va a verse rechazado. Lo dejamos así. La regla 3 permite al objeto net (la antigua red interna) conectarse a cualquier destino usando cualquier servicio, esta regla permite todo el trafico que se origine en la red interna, en principio permite demasiadas cosas con el exterior, además de que en nuestro caso con varias redes permitiría todo el trafico entre las diferentes redes, así que vamos a sustituirla, primero por una regla que impida a la red de alumnos conectarse con las demás redes internas, luego habrá que añadir mas reglas, porque la única que nos queda ahora es la de cierre, que siempre debe estar, de modo que se niego todo si antes una 19tik, 13. Orrialdea / Página 13 de 19

14 regla anterior no lo ha autorizado. La dejamos así: A continuación podemos poner reglas que definan como permitimos conectarse entre las diferentes redes, teniendo en cuenta de que hay que poner delante los casos particulares sobre los generales, por ejemplo si el servidor DNS usa una IP de la red de varios, si la regla número 1 que autoriza a todas las redes internas acceder a el se hubiese colocado después de esta, los profesores no habrían tenido problemas, pero los alumnos si, puesto que sus intentos de acceso se rechazarían antes de llegar o otra regla que los habría permitido. Ahora vamos a crear una regla que a la red de profesores y conectarse con la de alumnos, pulsamos con el botón derecho sobre el número 3 de la regla anterior y seleccionamos Add Rule Below, con lo que se nos crea una regla que lo deniega todo, la modificamos para que quede así: Acordarse de desactivar el login de las reglas que permiten, porque el logín ya se hace bastante grande anotando solo los rechazos. Ahora vamos a crear otra regla que permita el tráfico normal de internet, colocándola a continuación de la anterior. Los objetos que colocamos en la casilla de servicios se sacan del árbol de la izquierda, pero en vez de la librería User, que es la que hemos estado usando ahora, y donde se coloca todos lo que nosotros creamos, de la librería Standard donde hay muchos objetos predefinidos que podemos usar, pero no modificar. En principio ya tenemos configurado nuestro cortafuegos, le damos grabar, y vamos a compilar las reglas, para ello pulsamos el icono de Compile Rules, y nos saldrá una ventana como la que se indica abajo. 19tik, 14. Orrialdea / Página 14 de 19

15 Si no se nos informa de ningún error la compilación ha tenido éxito y se ha creado un nuevo fichero llamado cortafuegos.fw, este fichero es un scrip que al ser ejecutado se encarga de crear las reglas necesarias para que el iptables las use sobre el tráfico de red que llegue a la máquina. Para ejecutarlo basta abrir un terminal y llamar al fichero, recordar que en Linux no se buscan los ficheros en el directorio actual, de modo que si nos limitamos a escribir el nombre y pulsar return, normalmente nos dará un error de fichero no encontrado, para referirnos al directorio actual escribir./ delante del nombre del fichero. Como se ve en esta máquina no ha tenido éxito, esto es debido a que el cortafuegos que hemos estado desarrollando no se corresponde al de la máquina donde hemos intentado ponerlo en funciones, es una máquina con una sola tarjeta de red y por lo tanto en interface eth1 no existe, pero de lo contrario se habrían cargado las reglas y estaría en marcha. 19tik, 15. Orrialdea / Página 15 de 19

16 Carga automática de nuestrar reglas Ahora tenemos un fichero que se encarga de crear las reglas de nuestro cortafuegos, pero tenemos que llamarlo para que se ejecute, y si el ordenador se reinicia, o se queda sin corriente y se apaga, tenemos que volver a llamarlo. Para evitar esto hay varias formas, pero tal vez la mas sencilla sea modificar el script que maneja el iptables de modo que cada vez que las iptables se arranquen se ejecute nuestro fichero también. Para ello vamos a modificar el fichero /etc/init.d/iptables, bien desde el modo gráfico usando uno de los editores que podamos haber instalado, o desde un terminal usando por ejemplo el nano. Buscamos un procedimiento llamado start() y le añadimos la siguiente línea al comienzo /root/cortafuegos.fw. Con esto cada vez que se ejecute el procedimiento start, que será cada vez que se inicie, o reinicie las iptables se cargarán nuestras reglas. Así que a partir de ahora cada vez que cambiemos las reglas y creemos un nuevo fichero cortafuegos.fw lo que haremos es reiniciar las iptables con la orden /etc/init.d/iptables restart. Después no es mala idea ejecutar la orden iptables L more, para asegurarnos de que todo ha ido bien y se han cargado las reglas. El filtro more nos permitirá ir pasando página a página las reglas, puede ser una lista bastante larga, a continuación tenemos la salida normal que nos daría una ejecución con éxito de la recarga de nuestras reglas. 19tik, 16. Orrialdea / Página 16 de 19

17 Y esta otra es la salida que veríamos en un caso en que a pesar de que no hay mensajes de error vemos que iptables no tiene cargadas ninguna regla. 19tik, 17. Orrialdea / Página 17 de 19

18 Ajustando las reglas Lo ideal en un cortafuegos es que permita el tráfico que necesitamos para nuestro trabajo y prohiba todo lo demás, el problema como siempre está en saber que se necesita, lo mas sencillo para un administrador es crear una regla como la número 3 que se creo al usar la plantilla en nuestro ejemplo de cortafuegos que permita a las direcciones internas conectarse con cualquiera usando cualquier servicio, pero eso deja un agujero demasiado grande, entonces hemos autorizado solo unos cuantos servicios que nos parecen suficientes, pero podemos estar equivocados, o pueden surgir necesidades nuevas, es muy fácil pasar algo por alto, por ejemplo en la regla que creamos autorizamos a todo el mundo usar el servicio DNS, cuando tenemos un servidor interno, el asunto es que sin esa regla nuestro servidor interno no podría resolver los nombres de dominio que no pertenezcan a nuestro dominio, lo que hace consultando a un DNS público y funcionando como una caché para esos nombres de dominio. También podíamos haber creado una regla aparte para autorizar solo al servidor DNS ha hacer consultas DNS con cualquiera, pero no parece que ganemos demasiada seguridad en ese caso. En definitiva lo que parece mas equilibrado es autorizar lo que nos parece necesario solamente, y si después algo no funciona revisar el registro para ver si es el cortafuegos que está cortando la comunicación y en este caso si debemos modificar o añadir alguna regla para permitir el trafico. Los registros del cortafuegos se almacenan en el archivo /var/log/messages, y se puede revisar de varios modos, el mas inmediato es hacer que aparezcan en pantalla las últimas entradas y que se sigan mostrando las nuevas, con lo que estaremos viendo lo que pasa en directo, esto se haría con la orden tail f /var/log/messages, esto funciona perfectamente en un cortafuegos con una red pequeña, pero en nuestros centros, normalmente con más de un centenar de ordenadores no nos daría tiempo a leer los mensajes según pasan. Otro sistema más manejable es leer el fichero usando el comando less, escribimos less /var/log/messages, y nos mostrará las primeras líneas del fichero y espera comandos, ahora podemos movernos arriba y abajo del fichero, buscar cadenas, etc. 19tik, 18. Orrialdea / Página 18 de 19

19 Si escribimos h, nos da una lista de comandos que admite, merece la pena familiarizarse con el. Normalmente lo que buscamos estará al final del fichero así que nos vamos al final pulsando la tecla escape y la marcada con >, e iniciamos una búsqueda hacia atrás de una cadena que esperamos encontrar, en la mayoría de los casos la IP de la máquina donde hemos intentado hacer algo que no ha funcionado y queremos comprobar si ha sido el cortafuegos que ha denegado el tráfico. Hay que tener en cuenta que el fichero messages no es el fichero de registro del cortafuegos, si no que es uno de los ficheros de registro del sistema y aparecerán cosas que no tienen que ver con el cortafuegos, los registros que nos interesan tendrán esta apariencia. A primera vista un galimatías, pero si nos fijamos entre cosa que no entendemos aparecen otras que no son tan extrañas, vamos a ver el primer registro, empieza por la fecha, la hora, el nombre de la máquina, el tipo de registro, en el caso del cortafuegos el kernel, la regla que se aplico, la acción, DENY, el interface de entrada IN, el de salida OUT, la IP origen SRC, la IP destino, y mas tarde el protocolo empleado UDP, puerta origen SPT y puerta destino DPT, si analizamos este grupo uno puede alarmarse, porque ve que una máquina interna la está intentando establecer una conexión desde el puerto 80 de nuestra máquina con una máquina externa y probando con un grupo de ellas, en realidad es el Skipe, intentando establecer conexiones salientes al arrancar, cuando fracasa debido al cortafuegos se conforma con las que le permite el cortafuegos, normalmente una conexión usando un puerto alto y dirigida al puerto 80 del que hace de enlace en el exterior. Un ejemplo mas real sería por ejemplo si intentamos, con la configuración del cortafuegos del ejemplo, acceder a nuestro correo en Irakasle usando una página WEB, en principio debe funcionar, hemos autorizado el protocolo http saliente, pero en el caso de Irakasle cuando hacemos el login cambia del puerto 80 al 81, y como el cortafuegos no tiene eso permitido lo deniega y no accedemos al correo, si buscamos en el registro veremos que a la hora que hicimos el intento y en con origen en la máquina que nos interesa se denegó una conexión con una máquina remota usando el protocolo TCP y con DPT=81. Ahora que sabemos lo que paso podemos crear una regla para permitirlo si nos interesa. 19tik, 19. Orrialdea / Página 19 de 19