administracion de servidores linux enterprise – firewall shorewall iptables administracion de...

ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE – FIREWALL SHOREWALL ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE – FIREWALL SHOREWALL IPTABLESIPTABLES

ADMINISTRACION DE SERVIDORES LINUX

ENTERPRISE

Dictado por: Dictado por: Ing. Carlos Alcalá HelgueroIng. Carlos Alcalá HelgueroConsultas: Consultas: [email protected]@ucbcba.edu.bo

SERVIDOR DE MURO CORTAFUEGOS(FIREWALL) SHOREWALL IPTABLES


SERVIDOR DE FIREWALL TOPICOS CLASE 8: TOPICOS CLASE 8: SERVIDOR DE FIREWALL SHOREWALL IPTABLESSERVIDOR DE FIREWALL SHOREWALL IPTABLES

Introducción a Shorewall y conceptos de Introducción a Shorewall y conceptos de Firewall. Firewall.

Instalación de paquetes necesarios.Instalación de paquetes necesarios. Administración de las zonas restringidas e Administración de las zonas restringidas e

interfaces de red.interfaces de red. Generación de reglas y politicas por defecto Generación de reglas y politicas por defecto

del Firewall.del Firewall. Inicio del servicio de firewall.Inicio del servicio de firewall. Comprobación del servicio de Firewall - Comprobación del servicio de Firewall -

Shorewall.Shorewall. Solución de problemas frecuentes.Solución de problemas frecuentes.


SERVIDOR DE FIREWALL INTRODUCCIONINTRODUCCION ¿Qué es Servidor de Firewall Muro Cortafuegos?¿Qué es Servidor de Firewall Muro Cortafuegos? Un cortafuegos (o firewall en inglés), es un elemento de Un cortafuegos (o firewall en inglés), es un elemento de

hardware o software utilizado en una red de computadoras hardware o software utilizado en una red de computadoras para prevenir algunos tipos de comunicaciones prohibidos para prevenir algunos tipos de comunicaciones prohibidos según las políticas de red que se hayan definido en función de según las políticas de red que se hayan definido en función de las necesidades de la organización responsable de la red. Su las necesidades de la organización responsable de la red. Su modo de funcionar es definido por la recomendación modo de funcionar es definido por la recomendación RFC 2979RFC 2979, la cual define las características de comportamiento y , la cual define las características de comportamiento y requerimientos de interoperabilidad.requerimientos de interoperabilidad.

La idea principal de un cortafuegos es crear un punto de La idea principal de un cortafuegos es crear un punto de control de la entrada y salida de tráfico de una red. Un control de la entrada y salida de tráfico de una red. Un cortafuegos correctamente configurado es un sistema cortafuegos correctamente configurado es un sistema adecuado para añadir protección a una instalación informática, adecuado para añadir protección a una instalación informática, pero en ningún caso debe considerarse como suficiente. La pero en ningún caso debe considerarse como suficiente. La Seguridad informática abarca más ámbitos y más niveles de Seguridad informática abarca más ámbitos y más niveles de trabajo y protección.trabajo y protección.


SERVIDOR DE FIREWALL INTRODUCCIONINTRODUCCION Tipos de cortafuegosTipos de cortafuegos Cortafuegos de capa de red o de filtrado de paquetesCortafuegos de capa de red o de filtrado de paquetes Funciona a nivel de red (nivel 3) de la pila de protocolos Funciona a nivel de red (nivel 3) de la pila de protocolos

(TCP/IP) como filtro de paquetes IP. A este nivel se pueden (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (nivel 4) como el puerto origen y destino, o nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la dirección MAC.a nivel de enlace de datos (nivel 2) como la dirección MAC.

Cortafuegos de capa de aplicaciónCortafuegos de capa de aplicación Trabaja en el nivel de aplicación (nivel 7) de manera que los Trabaja en el nivel de aplicación (nivel 7) de manera que los

filtrados se pueden adaptar a características propias de los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP se pueden realizar filtrados según la URL a la que se HTTP se pueden realizar filtrados según la URL a la que se está intentando acceder. Un cortafuegos a nivel 7 de tráfico está intentando acceder. Un cortafuegos a nivel 7 de tráfico HTTP es normalmente denominado Proxy y permite que los HTTP es normalmente denominado Proxy y permite que los computadores de una organización entren a internet de una computadores de una organización entren a internet de una forma controlada.forma controlada.


SERVIDOR DE FIREWALL INTRODUCCIONINTRODUCCION Qué es un firewallQué es un firewall Un firewall es un dispositivo que filtra el tráfico entre Un firewall es un dispositivo que filtra el tráfico entre

redes, como mínimo dos. El firewall puede ser un redes, como mínimo dos. El firewall puede ser un dispositivo físico o un software sobre un sistema dispositivo físico o un software sobre un sistema operativo. En general debemos verlo como una caja operativo. En general debemos verlo como una caja con DOS o mas interfaces de red en la que se con DOS o mas interfaces de red en la que se establecen una reglas de filtrado con las que se decide establecen una reglas de filtrado con las que se decide si una conexión determinada puede establecerse o no. si una conexión determinada puede establecerse o no. Incluso puede ir más allá y realizar modificaciones Incluso puede ir más allá y realizar modificaciones sobre las comunicaciones, como el NAT.sobre las comunicaciones, como el NAT.

Esa sería la definición genérica, hoy en dia un firewall Esa sería la definición genérica, hoy en dia un firewall es un hardware especifico con un sistema operativo o es un hardware especifico con un sistema operativo o una IOS que filtra el tráfico TCP/UDP/ICMP/../IP y una IOS que filtra el tráfico TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o decide si un paquete pasa, se modifica, se convierte o se descarta. Para que un firewall entre redes funcione se descarta. Para que un firewall entre redes funcione como tal debe tener al menos dos tarjetas de red. Esta como tal debe tener al menos dos tarjetas de red. Esta sería la tipología clásica de un firewall:sería la tipología clásica de un firewall:


SERVIDOR DE FIREWALL INTRODUCCIONINTRODUCCION Topologia basica de FirewallTopologia basica de Firewall Esquema típico de firewall para proteger una red local conectada Esquema típico de firewall para proteger una red local conectada

a internet a través de un router. El firewall debe colocarse entre a internet a través de un router. El firewall debe colocarse entre el router (con un único cable) y la red local (conectado al switch el router (con un único cable) y la red local (conectado al switch o al hub de la LAN) o al hub de la LAN)


SERVIDOR DE FIREWALL INTRODUCCIONINTRODUCCION Topologia de Firewall con DMZTopologia de Firewall con DMZ Dependiendo de las necesidades de cada red, puede ponerse uno o Dependiendo de las necesidades de cada red, puede ponerse uno o

más firewalls para establecer distintos perímetros de seguridad en más firewalls para establecer distintos perímetros de seguridad en torno a un sistema. Es frecuente también que se necesite exponer torno a un sistema. Es frecuente también que se necesite exponer algún servidor a internet (como es el caso de un servidor web, un algún servidor a internet (como es el caso de un servidor web, un servidor de correo, etc..), y en esos casos obviamente en principio se servidor de correo, etc..), y en esos casos obviamente en principio se debe aceptar cualquier conexión a ellos. Lo que se recomienda en debe aceptar cualquier conexión a ellos. Lo que se recomienda en esa situación es situar ese servidor en lugar aparte de la red, el que esa situación es situar ese servidor en lugar aparte de la red, el que denominamos DMZ o zona desmilitarizada. El firewall tiene entonces denominamos DMZ o zona desmilitarizada. El firewall tiene entonces tres entradas: tres entradas:


SERVIDOR DE FIREWALL INTRODUCCIONINTRODUCCION Topologia de Firewall con DMZ complejoTopologia de Firewall con DMZ complejo En la zona desmilitarizada se pueden poner tantos servidores En la zona desmilitarizada se pueden poner tantos servidores

como se necesiten. Con esta arquitectura, permitimos que el como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde internet de tal forma que si es servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso a él, la red local sigue protegida por el atacado y se gana acceso a él, la red local sigue protegida por el firewall. Esta estructura de DMZ puede hacerse también con un firewall. Esta estructura de DMZ puede hacerse también con un doble firewall (aunque como se ve se puede usar un único doble firewall (aunque como se ve se puede usar un único dispositivo con al menos tres interfaces de red). Sería un dispositivo con al menos tres interfaces de red). Sería un esquema como este: esquema como este:


SERVIDOR DE FIREWALL INTRODUCCIONINTRODUCCION Los firewalls se pueden usar en cualquier red. Es habitual Los firewalls se pueden usar en cualquier red. Es habitual

tenerlos como protección de internet en las empresas, tenerlos como protección de internet en las empresas, aunque ahí también suelen tener una doble función: aunque ahí también suelen tener una doble función: controlar los accesos externos hacia dentro y también los controlar los accesos externos hacia dentro y también los internos hacia el exterior; esto último se hace con el internos hacia el exterior; esto último se hace con el firewall o frecuentemente con un proxy (que también firewall o frecuentemente con un proxy (que también utilizan reglas, aunque de más alto nivel).utilizan reglas, aunque de más alto nivel).

También, en empresas de hosting con muchos servidores También, en empresas de hosting con muchos servidores alojados lo normal es encontrarnos uno o más firewalls ya alojados lo normal es encontrarnos uno o más firewalls ya sea filtrando toda la instalación o parte de ella: sea filtrando toda la instalación o parte de ella:

(Figura a continuación)(Figura a continuación)


SERVIDOR DE FIREWALL


SERVIDOR DE FIREWALL INTRODUCCIONINTRODUCCION Sea el tipo de firewall que sea, generalmente no tendrá mas que un Sea el tipo de firewall que sea, generalmente no tendrá mas que un

conjunto de reglas en las que se examina el origen y destino de los conjunto de reglas en las que se examina el origen y destino de los paquetes del protocolo tcp/ip. En cuanto a protocolos es probable paquetes del protocolo tcp/ip. En cuanto a protocolos es probable que sean capaces de filtrar muchos tipos de ellos, no solo los tcp, que sean capaces de filtrar muchos tipos de ellos, no solo los tcp, también los udp, los icmp, los gre y otros protocolos vinculados a también los udp, los icmp, los gre y otros protocolos vinculados a vpns. vpns.

Este podría ser (en pseudo-lenguaje) un el conjunto de reglas de un Este podría ser (en pseudo-lenguaje) un el conjunto de reglas de un firewall del primer gráfico:firewall del primer gráfico:

Ejemplo de políticas de redEjemplo de políticas de red Política por defecto ACEPTAR.Política por defecto ACEPTAR.

Todo lo que venga de la red local al firewall ACEPTARTodo lo que venga de la red local al firewall ACEPTARTodo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTARTodo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTARTodo lo que venga de la ip de casa del jefe al puerto tcp 1723 Todo lo que venga de la ip de casa del jefe al puerto tcp 1723 ACEPTARACEPTARTodo lo que venga de hora.rediris.es al puerto udo 123 ACEPTARTodo lo que venga de hora.rediris.es al puerto udo 123 ACEPTARTodo lo que venga de la red local y vaya al exterior ENMASCARARTodo lo que venga de la red local y vaya al exterior ENMASCARARTodo lo que venga del exterior al puerto tcp 1 al 1024 DENEGARTodo lo que venga del exterior al puerto tcp 1 al 1024 DENEGARTodo lo que venga del exterior al puerto tcp 3389 DENEGARTodo lo que venga del exterior al puerto tcp 3389 DENEGARTodo lo que venga del exterior al puerto udp 1 al 1024 DENEGARTodo lo que venga del exterior al puerto udp 1 al 1024 DENEGAR


SERVIDOR DE FIREWALL INTRODUCCIONINTRODUCCION En definitiva lo que se hace es:En definitiva lo que se hace es:

Habilita el acceso a puertos de administración a determinadas IPs privilegiadasHabilita el acceso a puertos de administración a determinadas IPs privilegiadas Enmascara el trafico de la red local hacia el exterior (NAT, una petición de un Enmascara el trafico de la red local hacia el exterior (NAT, una petición de un

pc de la LAN sale al exterior con la ip pública), para poder salir a internetpc de la LAN sale al exterior con la ip pública), para poder salir a internet Deniega el acceso desde el exterior a puertos de administración y a todo lo que Deniega el acceso desde el exterior a puertos de administración y a todo lo que

este entre 1 y 1024.este entre 1 y 1024. Hay dos maneras de implementar un firewall:Hay dos maneras de implementar un firewall:

1.1. Política por defecto ACEPTAR: en principio todo lo que entra y sale por el Política por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall se acepta y solo se denegará lo que se diga explícitamente.firewall se acepta y solo se denegará lo que se diga explícitamente.

2.2. 2) Política por defecto DENEGAR: todo esta denegado, y solo se permitirá 2) Política por defecto DENEGAR: todo esta denegado, y solo se permitirá pasar por el firewall aquellos que se permita explícitamente.pasar por el firewall aquellos que se permita explícitamente.

IMPORTANTEIMPORTANTE El orden en el que se ponen las reglas de firewall es determinante. El orden en el que se ponen las reglas de firewall es determinante.

Normalmente cuando hay que decidir que se hace con un paquete se va Normalmente cuando hay que decidir que se hace con un paquete se va comparando con cada regla del firewall hasta que se encuentra una que le comparando con cada regla del firewall hasta que se encuentra una que le afecta (match), y se hace lo que dicte esta regla (aceptar o denegar); afecta (match), y se hace lo que dicte esta regla (aceptar o denegar); después de eso NO SE MIRARÁN MÁS REGLAS para ese paquete. ¿Cuál después de eso NO SE MIRARÁN MÁS REGLAS para ese paquete. ¿Cuál es el peligro? Si ponemos reglas muy permisivas entre las primeras del es el peligro? Si ponemos reglas muy permisivas entre las primeras del firewall, puede que las siguientes no se apliquen y no sirvan de nada. firewall, puede que las siguientes no se apliquen y no sirvan de nada.


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL Shorewall es una robusta y extensible herramienta de alto nivel Shorewall es una robusta y extensible herramienta de alto nivel

para la configuración de muros cortafuego. Shorewall solo para la configuración de muros cortafuego. Shorewall solo necesita se le proporcionen algunos datos en algunos ficheros de necesita se le proporcionen algunos datos en algunos ficheros de texto simple y éste creará las reglas de cortafuegos texto simple y éste creará las reglas de cortafuegos correspondientes a través de iptables. correspondientes a través de iptables.

Shorewall puede permitir utilizar un sistema como muro Shorewall puede permitir utilizar un sistema como muro cortafuegos dedicado, sistema multifunciones puerta de cortafuegos dedicado, sistema multifunciones puerta de enlace/ruteador/servidor.enlace/ruteador/servidor.

REQUISITOS.REQUISITOS. Un sistema Linux con todos los parches de seguridad Un sistema Linux con todos los parches de seguridad

correspondientes aplicados.correspondientes aplicados. Shorewall 3.0.4 o versiones posteriores.Shorewall 3.0.4 o versiones posteriores. Tres interfaces de red. Tres interfaces de red.

Interfaz para acceso hacia InternetInterfaz para acceso hacia Internet Interfaz para acceso hacia una DMZ, tras la cual se podrán Interfaz para acceso hacia una DMZ, tras la cual se podrán

colocar servidorescolocar servidores Interfaz para acceso hacia la LANInterfaz para acceso hacia la LAN


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL ¿Qué es una zona des-militarizada?¿Qué es una zona des-militarizada? Una zona des-militarizada (DMZ), es parte de una red que no Una zona des-militarizada (DMZ), es parte de una red que no

está dentro de la red interna (LAN) pero tampoco está está dentro de la red interna (LAN) pero tampoco está directamente conectada hacia Internet. Podría resumirse como directamente conectada hacia Internet. Podría resumirse como una red que se localiza entre dos redes. En términos más una red que se localiza entre dos redes. En términos más técnicos se refiere a un área dentro del cortafuegos donde los técnicos se refiere a un área dentro del cortafuegos donde los sistemas que la componen tienen acceso hacia las redes interna y sistemas que la componen tienen acceso hacia las redes interna y externa, sin embargo no tienen acceso completo hacia la red externa, sin embargo no tienen acceso completo hacia la red interna y tampoco acceso completamente abierto hacia la red interna y tampoco acceso completamente abierto hacia la red externa. Los cortafuegos y ruteadores protegen esta zona con externa. Los cortafuegos y ruteadores protegen esta zona con funcionalidades de filtrado de tráfico de red.funcionalidades de filtrado de tráfico de red.


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL ¿Que es una Red Privada?¿Que es una Red Privada? Una Red Privada es aquella que utiliza direcciones IP establecidas en el Una Red Privada es aquella que utiliza direcciones IP establecidas en el

RFC 1918RFC 1918. Es decir, direcciones IP reservadas para Redes Privadas dentro de . Es decir, direcciones IP reservadas para Redes Privadas dentro de los rangos 10.0.0.0/8 (desde 10.0.0.0 hasta 10.255.255.255), 172.16.0.0/12 los rangos 10.0.0.0/8 (desde 10.0.0.0 hasta 10.255.255.255), 172.16.0.0/12 (desde 172.16.0.0 hasta 172.31.255.255) y 192.168.0.0/16 (desde 192.168.0.0 (desde 172.16.0.0 hasta 172.31.255.255) y 192.168.0.0/16 (desde 192.168.0.0 hasta 192.168.255.255).hasta 192.168.255.255).

¿Qué es un NAT?¿Qué es un NAT? NAT (Network Address Translation o Traducción de dirección de red), también NAT (Network Address Translation o Traducción de dirección de red), también

conocido como enmascaramiento de IP, es una técnica mediante la cual las conocido como enmascaramiento de IP, es una técnica mediante la cual las direcciones de origen y/o destino de paquetes IP son reescritas mientras pasan direcciones de origen y/o destino de paquetes IP son reescritas mientras pasan a través de un ruteador o muro cortafuegos. Se utiliza para permitir a a través de un ruteador o muro cortafuegos. Se utiliza para permitir a múltiples anfitriones en una Red Privada con direcciones IP para Red Privada múltiples anfitriones en una Red Privada con direcciones IP para Red Privada para acceder hacia una Internet utilizando una sola dirección IP pública.para acceder hacia una Internet utilizando una sola dirección IP pública.

¿Qué es un DNAT?¿Qué es un DNAT? DNAT, (Destination Network Address Translation o traducción de dirección de DNAT, (Destination Network Address Translation o traducción de dirección de

red de destino) es una técnica mediante la cual se hace público un servicio red de destino) es una técnica mediante la cual se hace público un servicio desde una Red Privada. Es decir permite redirigir puertos hacia direcciones IP desde una Red Privada. Es decir permite redirigir puertos hacia direcciones IP de Red Privada. El uso de esta técnica puede permitir a un usuario en Internet de Red Privada. El uso de esta técnica puede permitir a un usuario en Internet alcanzar un puerto en una Red Privada (dentro de una LAN) desde el exterior a alcanzar un puerto en una Red Privada (dentro de una LAN) desde el exterior a través de un ruteador o cortafuegos donde ha sido habilitado un NAT.través de un ruteador o cortafuegos donde ha sido habilitado un NAT.


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL PROCEDIMIENTOS.PROCEDIMIENTOS. Instalación del software necesario.Instalación del software necesario.

iptablesiptables shorewallshorewall

Shorewall puede descargarse en formato RPM desde Shorewall puede descargarse en formato RPM desde httphttp://www.shorewall.net/://www.shorewall.net/ y puede ser instalado a través de yum si se tiene y puede ser instalado a través de yum si se tiene configurados los repositorios.configurados los repositorios.

yum -y install shorewallyum -y install shorewall Instalacion mediante rpmInstalacion mediante rpmrpm –ivh shorewall-3.2.3-1.noarch.rpmrpm –ivh shorewall-3.2.3-1.noarch.rpm Fichero de configuración /etc/shorewall/shorewall.confFichero de configuración /etc/shorewall/shorewall.conf En éste se definen, principalmente, dos parámetros. STARTUP_ENABLED y En éste se definen, principalmente, dos parámetros. STARTUP_ENABLED y

CLAMPMSS.CLAMPMSS. STARTUP_ENABLED se utiliza para activar shorewall. De modo predefinido STARTUP_ENABLED se utiliza para activar shorewall. De modo predefinido

está desactivado, solo basta cambiar No por Yes.está desactivado, solo basta cambiar No por Yes. STARTUP_ENABLED=YesSTARTUP_ENABLED=Yes CLAMPMSS se utiliza en conexiones tipo PPP (PPTP o PPPoE) y sirve para CLAMPMSS se utiliza en conexiones tipo PPP (PPTP o PPPoE) y sirve para

limitar el MSS o Máximo Tamaño de Segmento. Cambiando el valor No por limitar el MSS o Máximo Tamaño de Segmento. Cambiando el valor No por Yes, Shorewall calculará el MSS más apropiado para la conexión. Si se es Yes, Shorewall calculará el MSS más apropiado para la conexión. Si se es osado, puede también especificarse un número en paquetes SYN. La osado, puede también especificarse un número en paquetes SYN. La recomendación es establecer Yes si se cuenta con un enlace tipo PPP.recomendación es establecer Yes si se cuenta con un enlace tipo PPP.

CLAMPMSS=YesCLAMPMSS=Yes


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL PROCEDIMIENTOS.PROCEDIMIENTOS. Fichero de configuración /etc/shorewall/zonesFichero de configuración /etc/shorewall/zones Este fichero se utiliza para definir las zonas que se administrarán Este fichero se utiliza para definir las zonas que se administrarán

con Shorewall y el tipo de zona (firewall, ipv4 o ipsec). La zona con Shorewall y el tipo de zona (firewall, ipv4 o ipsec). La zona fw ya está implicitá como una variable en shorewall.conf. En el fw ya está implicitá como una variable en shorewall.conf. En el siguiente ejemplo se registrarán las zonas de Internet (net), Red siguiente ejemplo se registrarán las zonas de Internet (net), Red Local (loc) y Zona Des-militarizada (dmz):Local (loc) y Zona Des-militarizada (dmz):

#ZONE DISPLAY COMMENTS#ZONE DISPLAY COMMENTSnetnet ipv4ipv4locloc ipv4ipv4dmzdmz ipv4ipv4


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL PROCEDIMIENTOS.PROCEDIMIENTOS. Fichero de configuración /etc/shorewall/interfacesFichero de configuración /etc/shorewall/interfaces En éste se establecen cuales serán las interfaces para las tres diferentes En éste se establecen cuales serán las interfaces para las tres diferentes

zonas. Se establecen las interfaces que corresponden a la Internet, Zona zonas. Se establecen las interfaces que corresponden a la Internet, Zona Des-militarizada DMZ y Red Local. En el siguiente ejemplo, se cuenta con Des-militarizada DMZ y Red Local. En el siguiente ejemplo, se cuenta con una interfaz ppp0 para acceder hacia Internet, una interfaz eth0 para una interfaz ppp0 para acceder hacia Internet, una interfaz eth0 para acceder hacia la LAN y una interfaz eth1 para acceder hacia la DMZ, y en acceder hacia la LAN y una interfaz eth1 para acceder hacia la DMZ, y en todas se solicita se calcule automáticamente la dirección de transmisión todas se solicita se calcule automáticamente la dirección de transmisión (Broadcast):(Broadcast):

#ZONE#ZONE INTERFACEINTERFACE BROADCASTBROADCAST OPTIONSOPTIONS GATEWAYGATEWAYnetnet ppp0ppp0 detectdetectlocloc eth0eth0 detectdetectdmzdmz eth1eth1 detectdetect En el siguiente ejemplo, se cuenta con una interfaz eth0 para acceder hacia En el siguiente ejemplo, se cuenta con una interfaz eth0 para acceder hacia

Internet, una interfaz eth1 para acceder hacia la LAN y una interfaz eth2 Internet, una interfaz eth1 para acceder hacia la LAN y una interfaz eth2 para acceder hacia la DMZ, y en todas se solicita se calcule para acceder hacia la DMZ, y en todas se solicita se calcule automáticamente la dirección de transmisión (Broadcast): automáticamente la dirección de transmisión (Broadcast):

#ZONE#ZONE INTERFACEINTERFACE BROADCASTBROADCAST OPTIONSOPTIONS GATEWAYGATEWAYnetnet eth0eth0 detectdetectlocloc eth1eth1 detectdetectdmzdmz eth2eth2 detectdetect Hay una cuarta zona implícita que corresponde al cortafuegos mismo y que Hay una cuarta zona implícita que corresponde al cortafuegos mismo y que

se denomina fw.se denomina fw.


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL PROCEDIMIENTOS.PROCEDIMIENTOS. Fichero de configuración /etc/shorewall/policyFichero de configuración /etc/shorewall/policy En este fichero se establece como se accederá desde una zona En este fichero se establece como se accederá desde una zona

hacia otra y hacia la zona de Internet.hacia otra y hacia la zona de Internet.

#SOURCE#SOURCE DESTDEST POLICYPOLICY LOGLOG LIMIT:BURSTLIMIT:BURSTlocloc netnet ACCEPTACCEPTdmzdmz netnet ACCEPTACCEPTfwfw netnet ACCEPTACCEPTnetnet allall DROPDROP infoinfoallall allall REJECTREJECT infoinfo

Lo anterior hace lo siguiente:Lo anterior hace lo siguiente: La zona de la red local puede acceder hacia la zona de Internet.La zona de la red local puede acceder hacia la zona de Internet. La zona de la DMZ puede acceder hacia la zona de Internet.La zona de la DMZ puede acceder hacia la zona de Internet. El cortafuegos mismo puede acceder hacia la zona de Internet.El cortafuegos mismo puede acceder hacia la zona de Internet. Se impiden conexiones desde Internet hacia el resto de las zonas.Se impiden conexiones desde Internet hacia el resto de las zonas. Se establece una política de rechazar conexiones para todo lo que Se establece una política de rechazar conexiones para todo lo que

se haya omitido.se haya omitido.


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL PROCEDIMIENTOS.PROCEDIMIENTOS. Fichero de configuración /etc/shorewall/masqFichero de configuración /etc/shorewall/masq Se utiliza para definir que a través de que interfaz o interfaces se Se utiliza para definir que a través de que interfaz o interfaces se

habilitará enmascaramiento, o NAT, y para que interfaz o habilitará enmascaramiento, o NAT, y para que interfaz o interfaces o redes se aplicará dicho enmascaramiento. En el interfaces o redes se aplicará dicho enmascaramiento. En el siguiente ejemplo, se realizará enmascaramiento a través de la siguiente ejemplo, se realizará enmascaramiento a través de la interfaz ppp0 para las redes que acceden desde las interfaces interfaz ppp0 para las redes que acceden desde las interfaces eth0 y eth1:eth0 y eth1:

#INTERFACE#INTERFACE SUBNETSUBNET ADDRESSADDRESS PROTOPROTO PORT(S)PORT(S) IPSECIPSECppp0ppp0 eth0eth0ppp0ppp0 eth1eth1

En el siguiente ejemplo, se realizará enmascaramiento a través de En el siguiente ejemplo, se realizará enmascaramiento a través de la interfaz eth0 para las redes 192.168.0.0/24 y 192.168.1.0/24:la interfaz eth0 para las redes 192.168.0.0/24 y 192.168.1.0/24:

#INTERFACE#INTERFACE SUBNETSUBNET ADDRESSADDRESS PROTOPROTO PORT(S)PORT(S) IPSECIPSECeth0eth0 192.168.0.0/24192.168.0.0/24eth0eth0 192.168.1.0/24192.168.1.0/24


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL PROCEDIMIENTOS.PROCEDIMIENTOS. También es posible hacer NAT solamente hacia una IP en particular y para También es posible hacer NAT solamente hacia una IP en particular y para

un solo protocolo en particular. En el siguiente ejemplo se hace NAT a través un solo protocolo en particular. En el siguiente ejemplo se hace NAT a través de la interfaz ppp0 para la dirección 192.168.3.25 que accede desde la de la interfaz ppp0 para la dirección 192.168.3.25 que accede desde la interfaz eth1 y solo se le permitirá hacer NAT de los protocolos smtp y pop3. interfaz eth1 y solo se le permitirá hacer NAT de los protocolos smtp y pop3. Los nombres de los servicios se asignan de acuerdo a como estén listados en Los nombres de los servicios se asignan de acuerdo a como estén listados en el fichero /etc/services.el fichero /etc/services.

#INTERFACE#INTERFACE SUBNETSUBNET ADDRESSADDRESS PROTOPROTO PORT(S)PORT(S) IPSECIPSECppp0ppp0 eth1eth1 192.168.3.25192.168.3.25 tcptcp 25,11025,110

Fichero de configuración /etc/shorewall/rulesFichero de configuración /etc/shorewall/rules Todos los puertos están cerrados de modo predefinido, y es en este fichero Todos los puertos están cerrados de modo predefinido, y es en este fichero

donde se habilitan los puertos necesarios. Hay diversas funciones que donde se habilitan los puertos necesarios. Hay diversas funciones que pueden realizarse.pueden realizarse.

ACCEPTACCEPT La acción ACCEPT se hace para especificar si se permiten conexiones desde La acción ACCEPT se hace para especificar si se permiten conexiones desde

o hacia una(s) zona (s) un protocolo(s) y puerto(s) en particular. En el o hacia una(s) zona (s) un protocolo(s) y puerto(s) en particular. En el siguiente ejemplo se permiten conexiones desde Internet hacia el puerto 80 siguiente ejemplo se permiten conexiones desde Internet hacia el puerto 80 (www), 25 (smtp) y 110 (pop3). Los nombres de los servicios se asignan de (www), 25 (smtp) y 110 (pop3). Los nombres de los servicios se asignan de acuerdo a como estén listados en el fichero /etc/services.acuerdo a como estén listados en el fichero /etc/services.

#ACTION#ACTION SOURCESOURCE DESTDEST PROTOPROTO DESTDEST## PORTPORTACCEPTACCEPT netnet fwfw tcp tcp 80,25,11080,25,110


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL PROCEDIMIENTOS.PROCEDIMIENTOS. REDIRECTREDIRECT La acción REDIRECT permite redirigir peticiones hacia un puerto en La acción REDIRECT permite redirigir peticiones hacia un puerto en

particular. Muy útil cuando se quieren redirigir peticiones para puerto particular. Muy útil cuando se quieren redirigir peticiones para puerto 80 (www) y se quiere que estas pasen a través de un proxy-cache como 80 (www) y se quiere que estas pasen a través de un proxy-cache como Squid. En el siguiente ejemplo las peticiones hechas desde la red local y Squid. En el siguiente ejemplo las peticiones hechas desde la red local y desde la DMZ serán redirigidas hacia el puerto 8080 del cortafuegos, desde la DMZ serán redirigidas hacia el puerto 8080 del cortafuegos, en donde hay un proxy-cache configurado como proxy transparente. en donde hay un proxy-cache configurado como proxy transparente.

#ACTION#ACTION SOURCESOURCE DESTDEST PROTOPROTO DESTDESTREDIRECTREDIRECT locloc 80808080 tcptcp 8080REDIRECTREDIRECT dmzdmz 80808080 tcptcp 8080

DNATDNAT La acción DNAT se utiliza para reenviar peticiones desde un puerto del La acción DNAT se utiliza para reenviar peticiones desde un puerto del

cortafuegos hacia una IP y puerto en particular tanto en la red local cortafuegos hacia una IP y puerto en particular tanto en la red local como en la DMZ. Cabe destacar que para que el DNAT funcioné se como en la DMZ. Cabe destacar que para que el DNAT funcioné se necesita que: necesita que:

Esté habilitado el reenvío de paquetes en /etc/sysconfig/sysctl.cfg y Esté habilitado el reenvío de paquetes en /etc/sysconfig/sysctl.cfg y /etc/shorewall/shorewall.conf/etc/shorewall/shorewall.conf

Los equipos hacia los que se esté haciendo DNAT utilicen como puerta Los equipos hacia los que se esté haciendo DNAT utilicen como puerta de enlace al cortafuegos desde sus correspondientes zonas.de enlace al cortafuegos desde sus correspondientes zonas.


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL PROCEDIMIENTOS.PROCEDIMIENTOS.

En el siguiente ejemplo, se hace DNAT desde la zona de Internet para En el siguiente ejemplo, se hace DNAT desde la zona de Internet para los puertos 25 (smtp), 110 (pop3), 80 (www) y 53 (dns) por tcp hacia la los puertos 25 (smtp), 110 (pop3), 80 (www) y 53 (dns) por tcp hacia la IP 10.10.10.28 localizada en la zona de la Red Local. IP 10.10.10.28 localizada en la zona de la Red Local.

#ACTION#ACTION SOURCESOURCE DESTDEST PROTO PROTO DEST DESTDNATDNAT netnet dmz:10.10.10.28 tcpdmz:10.10.10.28 tcp 80,25,110,53 80,25,110,53

Ejemplos diversos de reglas.Ejemplos diversos de reglas. Permitir a la zona de Red Local el acceso hacia el puerto 22 (ssh) de Permitir a la zona de Red Local el acceso hacia el puerto 22 (ssh) de

cualquier equipo dentro de la DMZ:cualquier equipo dentro de la DMZ:

#ACTION#ACTION SOURCESOURCE DESTDEST PROTOPROTO DESTDESTACCEPTACCEPT locloc dmzdmz tcptcp 2222 Permitir solo a la dirección 192.168.2.34 de zona de Red Local el Permitir solo a la dirección 192.168.2.34 de zona de Red Local el

acceso hacia el puerto 22 (ssh) de cualquier equipo dentro de la DMZ:acceso hacia el puerto 22 (ssh) de cualquier equipo dentro de la DMZ:

#ACTION#ACTION SOURCESOURCE DEST DEST PROTOPROTO DESTDESTACCEPTACCEPT loc:192.168.2.34 dmzloc:192.168.2.34 dmz tcptcp 2222


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL PROCEDIMIENTOS.PROCEDIMIENTOS.

Permitir solo a la dirección 192.168.2.34 de zona de Red Local el Permitir solo a la dirección 192.168.2.34 de zona de Red Local el acceso hacia el puerto 22 (ssh) de la dirección 10.10.10.5 que acceso hacia el puerto 22 (ssh) de la dirección 10.10.10.5 que está dentro de la DMZ:está dentro de la DMZ:

#ACTION#ACTION SOURCESOURCE DEST DEST PROTO PROTODESTDEST

ACCEPTACCEPT loc:192.168.2.34 dmz:10.10.10.5 tcploc:192.168.2.34 dmz:10.10.10.5 tcp 2222 Hacer DNAT desde la zona de Internet para los servicios de Hacer DNAT desde la zona de Internet para los servicios de

HTTP (puerto 80), SMTP (puerto 25), POP3 (puerto 110) y DNS HTTP (puerto 80), SMTP (puerto 25), POP3 (puerto 110) y DNS (puerto 53) hacia diversos servidores localizados DMZ:(puerto 53) hacia diversos servidores localizados DMZ:

#ACTION#ACTION SOURCESOURCE DESTDEST PROTOPROTO DESTDESTDNATDNAT netnet dmz:10.10.10.1dmz:10.10.10.1 tcptcp 8080DNATDNAT netnet dmz:10.10.10.2dmz:10.10.10.2 tcptcp 25,11025,110DNATDNAT netnet dmz:10.10.10.3dmz:10.10.10.3 tcptcp 5353


SERVIDOR DE FIREWALL CONFIGURACION SHOREWALLCONFIGURACION SHOREWALL PROCEDIMIENTOS.PROCEDIMIENTOS. Hacer DNAT desde la zona de la Red Local para los servicios de HTTP Hacer DNAT desde la zona de la Red Local para los servicios de HTTP

(puerto 80), SMTP (puerto 25), POP3 (puerto 110) y DNS (puerto 53) hacia (puerto 80), SMTP (puerto 25), POP3 (puerto 110) y DNS (puerto 53) hacia diversos servidores localizados DMZ:diversos servidores localizados DMZ:

#ACTION#ACTION SOURCESOURCE DESTDEST PROTOPROTO DESTDESTDNATDNAT locloc dmz:10.10.10.1dmz:10.10.10.1 tcptcp 8080DNATDNAT locloc dmz:10.10.10.2dmz:10.10.10.2 tcptcp 25,11025,110DNATDNAT locloc dmz:10.10.10.3dmz:10.10.10.3 tcptcp 5353

Iniciar el cortafuegos y añadirlo a los servicios de arranque del sistemaIniciar el cortafuegos y añadirlo a los servicios de arranque del sistema Para ejecutar por primera vez el servicio, ejecute:Para ejecutar por primera vez el servicio, ejecute: /sbin/service shorewall start/sbin/service shorewall start

Para hacer que los cambios hechos a la configuración surtan efecto, ejecute:Para hacer que los cambios hechos a la configuración surtan efecto, ejecute: /sbin/service shorewall restart/sbin/service shorewall restart

Para detener el cortafuegos, ejecute:Para detener el cortafuegos, ejecute: /sbin/service shorewall stop/sbin/service shorewall stop

Para añadir Shorewall al arranque del sistema, ejecute:Para añadir Shorewall al arranque del sistema, ejecute: /sbin/chkconfig shorewall on/sbin/chkconfig shorewall on

administracion de servidores linux enterprise – firewall shorewall iptables administracion de...

Documents