Wiki de Lorca

Herramientas de usuario

Herramientas del sitio

Traza: gentoo
gentoo:shorewall

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
gentoo:shorewall [2015/01/19 16:02] barrachigentoo:shorewall [2015/01/19 17:38] (actual) barrachi
Línea 1: Línea 1:
-====== Configuración de shorewall ======+====== Configuración de Shorewall ====== 
 + 
 +Shorewall es una herramienta de alto nivel que permite crear reglas de filtrado de forma cómoda. 
 + 
 +Esta guía describe los pasos necesarios para llevar a cabo una configuración relativamente simple en la que se dispone de un equipo (que hará las veces de firewall) con dos interfaces de red, una conectada directamente a internet y la otra a una red local. 
 + 
 +La primera de las interfaces está configurada en modo bridge debido a que en dicha máquina se ejecutan varias máquinas virtuales que comparten dicha interfaz de red.
  
-Shorewall es una herramienta de alto nivel que permite configurar netfilter de una forma más cómoda que utilizando directamente netfilter.+Por otro lado, la red local utiliza un rango privado de IP, por lo que es necesario enmascarar dichas IP cuando se accede a la red externa.
  
-Esta guía describe los pasos necesarios para llevar a cabo una configuración relativamente simple en la que se dispone de un equipo (que hará las veces de firewall) con dos interfaces de red, una conectada directamente a internet y la otra a una red local. Además, la primera de ellas estará configurada en modo bridge debido a que en dicha máquina se ejecutan varias máquinas virtuales que utilizan dicha interfaz de red. 
  
 ====== Instalación de Shorewall ====== ====== Instalación de Shorewall ======
Línea 10: Línea 15:
  
   emerge -av shorewall   emerge -av shorewall
 +
      
 ====== Configuración de Shorewall ====== ====== Configuración de Shorewall ======
Línea 17: Línea 23:
   * ''/etc/shorewall/zones''   * ''/etc/shorewall/zones''
   * ''/etc/shorewall/interfaces''   * ''/etc/shorewall/interfaces''
-  * ''/etc/shorewall/masq'' 
   * ''/etc/shorewall/policy''   * ''/etc/shorewall/policy''
 +  * ''/etc/shorewall/masq''
   * ''/etc/shorewall/shorewall.conf''   * ''/etc/shorewall/shorewall.conf''
  
Línea 55: Línea 61:
 </file> </file>
  
 +El fichero ''masq'' permite definir qué rango de IP deben ser enmascaradas al salir por una determinada interfaz (la siguiente configuración determina la IP pública de forma automática):
 +
 +<file bash /etc/shorewall/masq>
 +################################################################################################################
 +#INTERFACE:DEST SOURCE ADDRESS PROTO PORT(S) IPSEC MARK USER/ SWITCH ORIGINAL
 +# GROUP DEST
 +br0 192.168.0.1/24
 +</file>
 +
 +
 +Por último, en el fichero ''shorewall.conf'' hay que comprobar el valor de las siguientes líneas:
 +<file bash /etc/shorewall/shorewall.conf>
 +STARTUP_ENABLED=Yes
 +IP_FORWARDING=On
 +</file>
 +
 +La primera permite generar las reglas de filtrado y poner en marcha el cortafuegos. La segunda es para permitir el envío de tráfico procedente de una interfaz a la otra, y viceversa.
 +
 +====== Probar la configuración ======
 +
 +Es posible probar una determinada configuración durante un tiempo prudencial y revertir el cortafuegos a su estado anterior pasado dicho tiempo. De esta forma, si las reglas no son correctas, se podría volver a acceder a la máquina. Para probar las reglas en ''/etc/shorewall'' durante 10 segundos se puede ejecutar el comando:
 +
 +  shorewall try /etc/shorewall 10s
 +  
 +====== Lanzar el cortafuegos ======
 +
 +Una vez probados todos los casos, se puede poner en marcha el cortafuegos de forma definitiva con:
 +
 +  /etc/init.d/shorewall start
 +  
 +Para añadirlo al arranque (openrc en Gentoo):
 +
 +  rc-update add shorewall
 +  
 +
 +====== Configuración avanzada ======
 +  
 +El fichero ''/etc/shorewall/policy'' es el encargado de definir las reglas por defecto para la conexión entre zonas. Las excepciones a dichas reglas se definen en el fichero ''/etc/shorewall/rules''.
 +
 +Para cada conexión entrante primero se comprobarán las reglas en ''rules'' y en caso de no encontrarse ninguna coincidencia, se acudirá entonces a las reglas por defecto. La configuración ideal, al contrario de lo planteado en este documento, es que las reglas por defecto sean lo más restrictivas posibles y que se indique en el fichero ''rules'' solo aquellas conexiones que realmente se quieren permitir.
  
 +Se puede consultar cómo redactar dichas reglas en la [[ http://shorewall.net/manpages/shorewall-rules.html |documentación del fichero rules]].
  
  
 +====== Referencias ======
  
 +  * [[ http://shorewall.net/Introduction.html | Introduction to Shorewall ]]
 +  * [[ http://shorewall.net/GettingStarted.html | Getting started with Shorewall ]]
 +  * [[ http://shorewall.net/shorewall_quickstart_guide.htm | Shorewall quick start guides ]]
gentoo/shorewall.1421683323.txt.gz · Última modificación: 2015/01/19 16:02 por barrachi