[[Shorewall: configurando un firewall con IPTables/Netfilter]]
 
Traza: » OpenVPN: configuración » Instalación y configuración de firewall con Shorewall 3.2 » Anotaciones técnicas sobre OpenBSD » Actualizando Debian Lenny a Squeeze » NTP: configuración del servidor » Port-knocking: "llama antes de entrar" » Actualizando Debian Etch a Lenny » Ideas para proyectos de virtualización » Cambiando el huso horario en Linux y Windows » Shorewall: configurando un firewall con IPTables/Netfilter
Tabla de Contenidos

Shorewall: configurando un firewall con IPTables/Netfilter

Por Félix Molinuevo, FMSI Sistemas de Informática

Introducción

Shorewall es un conjunto de scripts y archivos de configuración, que permiten configurar IPTables/Netfilter aprovechando toda la versatilidad de estas herramientas de firewalling.

Las indicaciones que aquí se muestran deberán ser cambiadas para el sistema específico donde se lo esté instalando.

Pasos para configurar un firewall básico

  1. Instalar firewall, en Debian: 
    aptitude install shorewall
  2. Editar /etc/default/shorewall poniendo startup en 1
  3. Los archivos de configuración de Shorewall se encuentran en /etc/shorewall
  4. Los scripts y otros archivos se encuentran en /usr/share/shorewall
  5. Organizar la red por zonas, para ello editar /etc/shorewall/zones: 
    fw firewall
net ipv4
dmz ipv4
loc ipv4
  6. Asociar las zonas a las interfaces, para ello editar /etc/shorewall/interfaces: 
    net eth0 detect dhcp,routefilter,tcpflags
dmz eth1 detect dhcp
loc eth2 detect dhcp
  7. Crear políticas por defecto, editando /etc/shorewall/policy: 
    net all DROP
dmz all REJECT
loc all REJECT
fw all ACCEPT
all all REJECT
  8. Crear las reglas, editando /etc/shorewall/rules: 
    ACCEPT loc net tcp 80,443
ACCEPT loc fw udp 53
ACCEPT all dmz tcp 80
  9. Configurar PAT/NAT, editando /etc/shorewall/masq: 
    eth0 eth1
eth0 eth2
  10. Activar forwarding, editando /etc/shorewall/shorewall.conf: 
    IP_FORWARDING=On
  11. Chequear la configuración: 
    shorewall check
  12. Si todo está bien, iniciar el firewall

Algunas configuraciones avanzadas

- Para permitir solamente el acceso a internet de los hosts internos seleccionados, se deben configurar los archivos policy y rules de la siguiente manera:

En el archivo /etc/shorewall/policy no deben existir políticas de acceso completo como: 

loc  all  ACCEPT
loc  net  ACCEPT

En el archivo /etc/shorewall/rules: 

ACCEPT  loc:192.168.0.123  net  tcp  80,8080

- DNAT para conectarse desde internet a un host interno, en el archivo /etc/shorewall/rules: 

DNAT  net:190.155.200.123  loc:192.168.0.123:5900  tcp  5900

Bibliografía

 
servidores/general/shorewall_configuracion.txt · Última modificación: 2009/01/23 17:50 por fmolinuevo
 
Excepto donde se indique lo contrario, el contenido de esta wiki se autoriza bajo la siguiente licencia:CC Attribution-Noncommercial-Share Alike 3.0 Unported
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki