Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com

Transcripción

1 Configuración del shorewall Shorewall en un cortafuego, es decir un software que nos ayudará a mantener segura nuestra red, controlando el tráfico entrante como saliente. Se necesita establecer una serie de zonas, las cuales nos permitirán controlar el flujo de información, indicando que tipo de información podrá ingresar. Inicialmente deberá descargar los siguientes archivos de la página shorewall base.noarch.rpm shorewall-core base.noarch.rpm shorewall base.noarch.rpm Enseguida instalar los tres archivos mediante el comando rpm De la siguiente manera: rpm Uvh shorewall-core =base.noarch.rpm rpm Uvh shorewall base.noarch.rpm rpm Uvh shorewall base.noarch.rpm NOTA: en caso de necesitar instalar otras dependencias utilizar el mismo comando rpm para instalar los archivos indicados.

2 Para poder configurar el cortafuego debemos modificar los siguientes archivos: Shorewall.conf. Este archivo contiene las configuraciones generales del firewall. Zones: En este archivo se indican las zonas con las que trabajará el cortafuegos Interfaces: En este archivo se asignarán las interfaces de red que se utilizarán y le serán asignados a cada una de las zonas. Policy: En este archivo se establecerán las políticas que deberá utilizar el cortafuegos indicando que flujo de información recibirá y cual no. Rules: En este archivo se indican cuales son las reglas que controlarán que tipo de información se dejará salir o ingresar del cortafuegos. Masq: Este archivo permite establecer enmascaramientos para la tarjeta de red. Para poder trabajar con el firewall es necesario tener una tarjeta de red extra, necesita configurar una nueva tarjeta en el caso de estar utilizando virtual box. En este caso puede observar en la imagen superior que se está dando de alta a la segunda tarjeta de red.

3 Posteriormente iniciar la configuración de los archivos, de la siguiente manera. Nos tenemos que cambiar al directorio donde se encuentran los archivos de configuración de la siguiente manera: cd /etc/shorewall Modificación del archivo shorewall.conf Utilizando el siguiente comando: vim shorewall.conf y modificamos los siguientes parámetros y guardamos: STARTUP_ENABLED=Yes IP_FORWARDING=On ADD_IP_ALIASES =No CLAMPMSS=Yes

4 STARTUP_ENABLED Se utiliza para activar Shorewall. De modo predefinido está desactivado, solo se necesita cambiar No por Yes. IP_FORWARDING. Se encarga de la retransmisión de los paquetes que se reciben por una interfaz física y de retransmitirlos por otra interfaz hacia otro nodo. ADD_IP_ALIASES. Este parámetro determina si Shorewall agrega automáticamente la dirección externa. CLAMPMSS. Se utiliza en conexiones tipo PPP (PPTP o PPPoE) y sirve para limitar el MSS (acrónimo de Maximum Segment Size que significa Máximo Tamaño de Segmento). Cambiando el valor No por Yes, Shorewall calculará el MSS más apropiado para la conexión. Si es osado, puede también especificarse un número en paquetes SYN. La recomendación es establecer Yes si se cuenta con un enlace tipo PPP. Modificación de archivo zones Mediante el comando: vim zones Agregar las siguientes líneas:

5 net loc ipv4 ipv4 Cuidar que los espacios entre una palabra y otra sean dados con la tecla tabulador(tab). Ipv4. Corresponde a la zona estándar manejada por shorewall Firewall. Determina el firewall. Modificar el archivo interfaces. De la siguiente manera: vim interfaces Obtendrá una pantalla como la siguiente Deberá editar este archivo para tener una configuración como la siguiente: #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect dhcp loc eth1 detect En el ejemplo anterior se está considerando la existencia de 2 tarjetas de red eth0 y eth1, en el ejemplo se determinó que eth0 es la tarjeta de red que se encontrará conectada a internet y se encuentra utilizando eth1 para conectar a la red local.

6 Descripción de las opciones de configuración: Dhcp. Se utiliza bajo las siguientes situaciones son ciertas: La interfaz obtiene una dirección IP vía DHCP La interfaz es utilizada por un servidor DHCP corriendo en el firewall. La interfaz tiene una IP estática pero se encuentra en una LAN segmentada con muchos clientes DHCP. La interfaz es un puente simple con un servidor DHCP en un puerto y clientes DHCP en otro puerto. Blacklist. Implementa listas negras de IP que no queremos que pasen por la interfaz. En este archivo se le asignarán que tarjeta de red se encargará de controlar las distintas zonas del firewall. Editar las opciones del archivo policy, mediante en comando: vim policy

7 Inicialmente el archivo se verá de la siguiente manera: Este archivo se modificará para indicar cuales son las políticas que empleará el firewall. Deberá modificar con los siguiente parámetros #SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: loc net ACCEPT net all DROP info all all REJECT info

8 Aquí hemos definido 3 políticas, Acepta todas las conexiones desde la zona loc a la zona net la cual es el Internet. Deniega todas las conexiones desde la net hacia cualquiera. Niega cualquier conexión a cualquier lugar. Con esto ya tendremos nuestro pequeña red bien segura, pero no podremos hacer nada, ya que solamente tenemos acceso a la red desde el firewall, todo está bloqueado, por eso necesitaremos editar el archivo rules(reglas), Modificación del archivo rules. La modificación de este archivo nos permitirá establecer las reglas de restricciones por parte del firewall. En este caso editaremos el archivo rules, de la siguiente manera: vim rules El archivo inicialmente se mira de la siguiente manera.

9 Estableceremos las siguientes modificaciones. Agregaremos debajo de la línea SECTION NEW las reglas que queramos por ejemplo las siguiente permitirá la conexión al puerto 22 (SSH), 80, 8080, desde Internet (net) a nuestro firewall. #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE #SECTION ESTABLISHED #SECTION RELATED SECTION NEW ACCEPT net fw icmp 8 ACCEPT net fw tcp 22 ACCEPT net fw tcp 53 ACCEPT net fw udp 53 ************************************************************************************************

10 Enseguida podemos enmarcarar la tarjeta de red para indicar cual nos proporcionará la salida. Modificación del archivo masq Este archivo de modificará de la siguiente manera: vim masq El archivo tiene el siguiente aspecto

11 Por lo que deberá realizar las siguientes modificaciones: #INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC eth0 eth1 ************************************************************************************************ en este definiremos el enmascaramiento para la red local (Interfaz eth1, zona loc), la cual sale por medio de la interfaz eth0 (Zona net). Nota: esto se haría en caso de que tuviéramos por ejemplo 2 tarjetas de red para trabajar. Solo basta reiniciar el servicio de shorewall con el comando service shorewall restart, pero antes debemos detener el servicio IPTABLES para que funcione en forma correcta Teclear service iptables stop Para eliminar completamente el servicio iptables deberá teclear: chkconfig --del iptables Nota: cuidar establecer las reglas tanto para entrada como para salida, Ejemplo: Loc Fw fw son de salida loc Son de entrada