Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
Configuración del shorewall
Shorewall en un cortafuego, es decir un software que nos ayudará a mantener segura nuestra red,
controlando el tráfico entrante como saliente. Se necesita establecer una serie de zonas, las cuales
nos permitirán controlar el flujo de información, indicando que tipo de información podrá
ingresar.
Inicialmente deberá descargar los siguientes archivos de la página www.shorewall.net
shorewall-4.5.14-0base.noarch.rpm
shorewall-core-4.5.14-0base.noarch.rpm
shorewall6-4.5.14-0base.noarch.rpm
Enseguida instalar los tres archivos mediante el comando rpm
De la siguiente manera:
rpm –Uvh shorewall-core-4.5.14-=base.noarch.rpm
rpm –Uvh shorewall-4.5.14-0base.noarch.rpm
rpm –Uvh shorewall6-4-5-14-0base.noarch.rpm
NOTA: en caso de necesitar instalar otras dependencias utilizar el mismo comando rpm para
instalar los archivos indicados.
Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
Para poder configurar el cortafuego debemos modificar los siguientes archivos:
• Shorewall.conf. Este archivo contiene las configuraciones generales del firewall.
• Zones: En este archivo se indican las zonas con las que trabajará el cortafuegos
• Interfaces: En este archivo se asignarán las interfaces de red que se utilizarán y le serán
asignados a cada una de las zonas.
• Policy: En este archivo se establecerán las políticas que deberá utilizar el cortafuegos
indicando que flujo de información recibirá y cual no.
• Rules: En este archivo se indican cuales son las reglas que controlarán que tipo de
información se dejará salir o ingresar del cortafuegos.
• Masq: Este archivo permite establecer enmascaramientos para la tarjeta de red.
Para poder trabajar con el firewall es necesario tener una tarjeta de red extra, necesita configurar
una nueva tarjeta en el caso de estar utilizando virtual box.
En este caso puede observar en la imagen superior que se está dando de alta a la segunda tarjeta
de red.
Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
Posteriormente iniciar la configuración de los archivos, de la siguiente manera.
Nos tenemos que cambiar al directorio donde se encuentran los archivos de configuración de la
siguiente manera:
cd /etc/shorewall
Modificación del archivo shorewall.conf
Utilizando el siguiente comando:
vim shorewall.conf
y modificamos los siguientes parámetros y guardamos: STARTUP_ENABLED=Yes IP_FORWARDING=On ADD_IP_ALIASES =No CLAMPMSS=Yes
Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
STARTUP_ENABLED Se utiliza para activar Shorewall. De modo predefinido está desactivado, solo se necesita cambiar No por Yes. IP_FORWARDING. Se encarga de la retransmisión de los paquetes que se reciben por una interfaz física y de retransmitirlos por otra interfaz hacia otro nodo. ADD_IP_ALIASES. Este parámetro determina si Shorewall agrega automáticamente la dirección externa. CLAMPMSS. Se utiliza en conexiones tipo PPP (PPTP o PPPoE) y sirve para limitar el MSS (acrónimo de Maximum Segment Size que significa Máximo Tamaño de Segmento). Cambiando el valor No por Yes, Shorewall calculará el MSS más apropiado para la conexión. Si es osado, puede también especificarse un número en paquetes SYN. La recomendación es establecer Yes si se cuenta con un enlace tipo PPP.
Modificación de archivo zones
Mediante el comando:
vim zones
Agregar las siguientes líneas:
Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
net ipv4
loc ipv4
Cuidar que los espacios entre una palabra y otra sean dados con la tecla tabulador(tab).
Ipv4. Corresponde a la zona estándar manejada por shorewall
Firewall. Determina el firewall.
Modificar el archivo interfaces.
De la siguiente manera:
vim interfaces
Obtendrá una pantalla como la siguiente
Deberá editar este archivo para tener una configuración como la siguiente:
#ZONE INTERFACE BROADCAST OPTIONS net eth0 detect dhcp loc eth1 detect
En el ejemplo anterior se está considerando la existencia de 2 tarjetas de red eth0 y eth1, en el
ejemplo se determinó que eth0 es la tarjeta de red que se encontrará conectada a internet y se
encuentra utilizando eth1 para conectar a la red local.
Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
Descripción de las opciones de configuración:
Dhcp.
Se utiliza bajo las siguientes situaciones son ciertas:
• La interfaz obtiene una dirección IP vía DHCP
• La interfaz es utilizada por un servidor DHCP corriendo en el firewall.
• La interfaz tiene una IP estática pero se encuentra en una LAN segmentada con muchos
clientes DHCP.
• La interfaz es un puente simple con un servidor DHCP en un puerto y clientes DHCP en
otro puerto.
Blacklist.
Implementa listas negras de IP que no queremos que pasen por la interfaz.
En este archivo se le asignarán que tarjeta de red se encargará de controlar las distintas zonas del
firewall.
Editar las opciones del archivo policy, mediante en comando:
vim policy
Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
Inicialmente el archivo se verá de la siguiente manera:
Este archivo se modificará para indicar cuales son las políticas que empleará el firewall.
Deberá modificar con los siguiente parámetros
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: loc net ACCEPT net all DROP info all all REJECT info
Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
Aquí hemos definido 3 políticas, • Acepta todas las conexiones desde la zona loc a la zona net la cual es el Internet.
• Deniega todas las conexiones desde la net hacia cualquiera.
• Niega cualquier conexión a cualquier lugar.
Con esto ya tendremos nuestro pequeña red bien segura, pero no podremos hacer nada, ya que solamente tenemos acceso a la red desde el firewall, todo está bloqueado, por eso necesitaremos editar el archivo rules(reglas),
Modificación del archivo rules.
La modificación de este archivo nos permitirá establecer las reglas de restricciones por parte del firewall. En este caso editaremos el archivo rules, de la siguiente manera:
vim rules
El archivo inicialmente se mira de la siguiente manera.
Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
Estableceremos las siguientes modificaciones.
Agregaremos debajo de la línea SECTION NEW las reglas que queramos por ejemplo las siguiente permitirá la conexión al puerto 22 (SSH), 80, 8080, desde Internet (net) a nuestro firewall.
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE #SECTION ESTABLISHED #SECTION RELATED SECTION NEW ACCEPT net fw icmp 8 ACCEPT net fw tcp 22 ACCEPT net fw tcp 53 ACCEPT net fw udp 53 ************************************************************************************************
Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
Enseguida podemos enmarcarar la tarjeta de red para indicar cual nos proporcionará la salida.
Modificación del archivo masq
Este archivo de modificará de la siguiente manera:
vim masq
El archivo tiene el siguiente aspecto
Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com
Por lo que deberá realizar las siguientes modificaciones:
#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC eth0 eth1 ************************************************************************************************ en este definiremos el enmascaramiento para la red local (Interfaz eth1, zona loc) , la cual sale por medio de la interfaz eth0 (Zona net).
Nota: esto se haría en caso de que tuviéramos por e jemplo 2 tarjetas de red para trabajar.
Solo basta reiniciar el servicio de shorewall con el comando service shorewall restart, pero antes debemos detener el servicio IPTABLES para que funcione en forma correcta
Teclear service iptables stop
Para eliminar completamente el servicio iptables deberá teclear:
chkconfig --del iptables
Nota: cuidar establecer las reglas tanto para entrada como para salida,
Ejemplo:
Loc fw son de salida
Fw loc Son de entrada