====== Configuración de Shorewall ======

Shorewall es una herramienta de alto nivel que permite crear reglas de filtrado de forma cómoda.

Esta guía describe los pasos necesarios para llevar a cabo una configuración relativamente simple en la que se dispone de un equipo (que hará las veces de firewall) con dos interfaces de red, una conectada directamente a internet y la otra a una red local.

La primera de las interfaces está configurada en modo bridge debido a que en dicha máquina se ejecutan varias máquinas virtuales que comparten dicha interfaz de red.

Por otro lado, la red local utiliza un rango privado de IP, por lo que es necesario enmascarar dichas IP cuando se accede a la red externa.


====== Instalación de Shorewall ======

Para la instalación descrita basta con instalar el paquete shorewall.

  emerge -av shorewall

  
====== Configuración de Shorewall ======

Los archivos de configuración de Shorewall están en el directorio ''/etc/shorewall''. Los ficheros que será necesario modificar son:

  * ''/etc/shorewall/zones''
  * ''/etc/shorewall/interfaces''
  * ''/etc/shorewall/policy''
  * ''/etc/shorewall/masq''
  * ''/etc/shorewall/shorewall.conf''

El fichero ''zones'' define las zonas sobre las que va a actuar Shorewall y su tipo. Para la configuración anterior necesitamos definir 3 zonas: la máquina en sí (''fw''), la red externa (''net'') y la red local (''loc''):

<file bash /etc/shorewall/zones>
###############################################################################
#ZONE	TYPE		OPTIONS		IN			OUT
#					OPTIONS			OPTIONS
fw	firewall
net	ipv4
loc	ipv4
</file>

El fichero ''interfaces'' define las interfaces de red utilizadas por aquellas zonas que no son del tipo ''firewall'':

<file bash /etc/shorewall/interfaces>
#ZONE		INTERFACE		OPTIONS
net		br0			routeback,bridge
loc		eno2
</file>

El fichero ''policy'' define las políticas. El siguiente ejemplo permite prácticamente cualquier comunicación (la única que realmente se impide es el acceso desde la red externa a la local):

<file bash /etc/shorewall/interfaces>
###############################################################################
#SOURCE	DEST	POLICY		LOG	LIMIT:		CONNLIMIT:
#				LEVEL	BURST		MASK
loc	net	ACCEPT
fw	net	ACCEPT
net	fw	ACCEPT
fw	loc	ACCEPT
loc	fw	ACCEPT
net	all	DROP		info
all	all	REJECT		info
</file>

El fichero ''masq'' permite definir qué rango de IP deben ser enmascaradas al salir por una determinada interfaz (la siguiente configuración determina la IP pública de forma automática):

<file bash /etc/shorewall/masq>
################################################################################################################
#INTERFACE:DEST		SOURCE		ADDRESS		PROTO	PORT(S)	IPSEC	MARK	USER/	SWITCH	ORIGINAL
#											GROUP		DEST
br0			192.168.0.1/24
</file>


Por último, en el fichero ''shorewall.conf'' hay que comprobar el valor de las siguientes líneas:
<file bash /etc/shorewall/shorewall.conf>
STARTUP_ENABLED=Yes
IP_FORWARDING=On
</file>

La primera permite generar las reglas de filtrado y poner en marcha el cortafuegos. La segunda es para permitir el envío de tráfico procedente de una interfaz a la otra, y viceversa.

====== Probar la configuración ======

Es posible probar una determinada configuración durante un tiempo prudencial y revertir el cortafuegos a su estado anterior pasado dicho tiempo. De esta forma, si las reglas no son correctas, se podría volver a acceder a la máquina. Para probar las reglas en ''/etc/shorewall'' durante 10 segundos se puede ejecutar el comando:

  shorewall try /etc/shorewall 10s
  
====== Lanzar el cortafuegos ======

Una vez probados todos los casos, se puede poner en marcha el cortafuegos de forma definitiva con:

  /etc/init.d/shorewall start
  
Para añadirlo al arranque (openrc en Gentoo):

  rc-update add shorewall
  

====== Configuración avanzada ======
  
El fichero ''/etc/shorewall/policy'' es el encargado de definir las reglas por defecto para la conexión entre zonas. Las excepciones a dichas reglas se definen en el fichero ''/etc/shorewall/rules''.

Para cada conexión entrante primero se comprobarán las reglas en ''rules'' y en caso de no encontrarse ninguna coincidencia, se acudirá entonces a las reglas por defecto. La configuración ideal, al contrario de lo planteado en este documento, es que las reglas por defecto sean lo más restrictivas posibles y que se indique en el fichero ''rules'' solo aquellas conexiones que realmente se quieren permitir.

Se puede consultar cómo redactar dichas reglas en la [[ http://shorewall.net/manpages/shorewall-rules.html |documentación del fichero rules]].


====== Referencias ======

  * [[ http://shorewall.net/Introduction.html | Introduction to Shorewall ]]
  * [[ http://shorewall.net/GettingStarted.html | Getting started with Shorewall ]]
  * [[ http://shorewall.net/shorewall_quickstart_guide.htm | Shorewall quick start guides ]]