CONFIGURACIÓN DEL FIREWALL DE LINUX CON SHOREWALL
Para la misma utilizamos el sistema operativo el Ubuntu Server, y para la configuración del iptables hemos utilizado Shorewall, este permite configurar de una manera simple las reglas que se introducirán en el archivo de configuración del iptables.
El paquete shorewall viene dentro de los repositorios del Ubuntu Server, basta con ejecutar el comando “sudo apt-get install shorewall” para instalarlo en el sistema. Luego de haber instalado los archivos de configuración y que se encuentran dentro de la ruta “/usr/share/shorewall/configfiles”, copiamos los archivos que necesitamos (.conf, zones, masq, interfaces, policy, rules) a la siguiente ruta “/etc/shorewall”.
¿Sabes para que sirve un firewall? Básicamente la función de un firewall es proteger los equipos personales, servidores o equipos conectados en red contra accesos no deseados de intrusos que nos pueden robar datos confidenciales, robar información valiosa o incluso denegar servicios en nuestra red
Configurando el archivo SHOREWALL.CONF
Para la configuración del archivo “/etc/shorewall/shorewall.conf/” procedemos a configurar ciertos parámetros para el correcto funcionamiento como son:
STARTUP_ENABLED=Yes (se habilita al inicio del arranque del sistema)
IPTABLES=/sbin/iptables (la ruta del archivo ejecutable del iptables)
DETECT_DNAT_IPADDRS=Yes (habilita para detectar las direcciones IP del DNAT)
DISABLE_IPV6=Yes (deshabilita IPV6)
FASTACCEPT=Yes (acepta conexiones rápidas)
IMPLICIT_CONTINUE=Yes (acepta conexiones continuas)
IP_FORWARDING=On
Configurando el archivo ZONES
Dentro de este archivo procedemos a configurar las zonas de nuestra red, es decir todo lo referente al entorno de la red como es: la red interna, la DMZ, el firewall y el internet. En la siguiente imagen podemos ver la configuración detalladamente.
En la figura se puede apreciar que la configuración es sencilla, lo que se especifica es:
fw: de tipo firewall y es donde están las tres interfaces que permitirán las diferentes conexiones entre las zonas
net: de tipo ipv4, y se trata específicamente de la zona de internet
loc: de tipo ipv4, esta zona hace referencia a la red local (red interna)
dmz: de tipo ipv4, esta zona hace referencia a la zona desmilitarizada donde se encuentran los servidores
Configurando el archivo INTERFACES
En el archivo interfaces se configura las interfaces físicas del equipo con respecto a las zonas establecidas anteriormente. En la siguiente imagen podemos apreciar su configuración
En la configuración del archivo interfaces debemos tener en cuenta las interfaces físicas de red con sus respectivas zonas. En sistemas operativos virtualizados con Virtualbox, como es el caso del Ubuntu server, estas interfaces difieren en sus nomenclaturas. Sus equivalencias son las siguientes:
enp0s3 = eth0
enp0s8 = eth1
enp0s9 = eth2
El shorewall permite configurar varias opciones como son el dhcp, broadcast etc., el archivo que hemos configurado tiene las siguientes opciones:
routeback: indica que el shorewall debe incluir reglas que permiten que el tráfico que llega a esta interfaz se enrute de vuelta a la misma interfaz.
nosmurfs: detecta el origen de la red de difusión de las interfaces. Los smurfs se registrarán opcionalmente en función de la configuración SMURF_LOG_LEVEL en shorewall.conf. Después de registrar los paquetes se descartarán.
Configurando el archivo MASQ
Este archivo permite configurar el enmascaramiento de las redes, es decir que permite enmascarar las subredes para que puedan tener salida al internet a través de la interfaz de la WAN.
En la configuración de la figura, se puede ver que se realiza el enmascaramiento de las redes de área local 192.168.2.0/24 (LAN) y de la zona desmilitarizada 10.0.2.0/24 (DMZ), a través de la interfaz de red enp0s3 (equivale a eth0).
Hay que tener en cuenta si la dirección de la interfaz enp0s3 (172.16.16.2) es estática o dinámica, como en este caso la dirección es estática, se lo específica dentro de la configuración, en caso de que la dirección fuera dinámica no se la debe especificar
Configurando el archivo POLICY
Aquí definimos las políticas de seguridad. Como ejemplo podemos definir las siguientes políticas:
Permitir que la red de área local (LAN) se conecte al internet y a la zona desmilitarizada (DMZ).
Permitir que la red externa (internet) pueda conectarse a la zona desmilitarizada (DMZ) pero no a la red de área local (LAN)
La zona desmilitarizada (DMZ) no pueda conectarse a la red de área local (LAN)
Configurando el archivo RULES
Aquí se especifica las reglas para establecer conexión con el servidor de la zona desmilitarizada (DMZ), y también para que los equipos que se encuentran en la red de área local (LAN) o red interna puedan establecer conexión hacia el internet. En la siguiente figura se detalla cómo podría estar configurado el archivo con las diferentes reglas.
Las reglas se deben escribir tal como se muestra en la figura anterior. Una vez terminada la edición de los archivos de configuración tenemos listo el firewall con iptables. Para arrancarlo ejecutamos el comando:
#sudo shorewall start
Comments