Procedimiento de configuración de Shorewall
Páginas: 8 (1983 palabras)
Publicado: 6 de enero de 2016
Procedimiento de configuración de Shorewall.
Se modificarán los siguientes archivos:
/etc/shorewall/shorewall.conf: Archivo general de configuración de Shorewall. En este se activa el servicio y funciones que se requiera utilizar.
/etc/shorewall/zones: Se utiliza para definir las zonas que utilizará el muro cortafuegos.
/etc/shorewall/interfaces: Se utiliza para definir cuáles dispositivos dered corresponden a una zona del muro cortafuegos en particular y las opciones que se requieran para cada una de éstas.
/etc/shorewall/masq: Se utiliza para definir cuáles dispositivos utilizar para los enmascaramientos de direcciones IP.
/etc/shorewall/policy: Se utiliza para definir las políticas predeterminadas para cada zona del muro cortafuegos respecto de las demás zonas.
/etc/shorewall/rules:Se utiliza para definir las reglas para apertura de puertos.
/etc/shorewall/blrules: Se utiliza para definir reglas para bloquear las direcciones IP o bloques de direcciones IP que se desea poner en lista negra.
Archivo shorewall.conf.
Shorewall viene inactivo de modo predeterminado. Para activar el servicio edite el archivo/etc/shorewall/shorewall.conf:
vi /etc/shorewall/shorewall.conf
Localicela opción STARTUP_ENABLED, la cual deberá tener «No» como valor predeterminado:
STARTUP_ENABLED=No
Cambie «No» por «Yes»:
STARTUP_ENABLED=Yes
Archivo zones.
Se requiere definir cuáles zonas serán gestionadas en el muro cortafuegos. Edite el archivo /etc/shorewall/zones:
vi /etc/shorewall/zones
Encontrará que sólo está definida la zona fw con el tipo firewall:
fw firewall
Si dispone de un únicodispositivo de red sólo podrá definir una zona (net) tipo ipv4:
fw firewall
net ipv4
Si dispone de dos dispositivos de red, puede especificar una segunda zona (loc) tipo ipv4, la cual puede ser utilizada para acceder desde la red de área local:
fw firewall
net ipv4
loc ipv4
Si dispone de tres dispositivos de red, puede especificar una tercera zona (dmz) tipo ipv4, la cual puede ser utilizada paraacceder desde la zona des-militarizada:
fw firewall
net ipv4
loc ipv4
dmz ipv4
Archivo interfaces.
Una vez definidas la zonas a utilizar en el muro cortafuegos, se debe definir que dispositivos de red corresponden a cada zona del muro cortafuegos. El archivo /etc/shorewall/interfaces varía entre las versiones 4.4 y 4.5 de Shorewall. En la versión 4.4 se utiliza el formato 1 y consiste de 4 columnas.En la versión 4.5 se utiliza el formato 2 y consiste de 3 columnas.
Edite el archivo /etc/shorewall/interfaces:
vi /etc/shorewall/interfaces
Si dispone de un único dispositivo de red defina el nombre del dispositivo de red a utilizar, auto-detección de la dirección de difusión (broadcast) y la opción dhcp. Esta última opción sólo es necesaria si en la interfaz habrá un cliente o servidor DHCP. Elnombre del dispositivo de red puede ser eth0, eth1, p1p1, p2p1, em1, em2, etc., dependiendo de la versión de SMBIOS:
net eth0 detect dhcp
Si dispone de un segundo dispositivo de red puede asociar éste a la segunda zona del muro cortafuegos (loc). Igualmente defina que se auto-detecte la dirección de difusión y la opción dhcp si la considera necesaria.
net eth0 detect dhcp
loc eth1 detect dhcp
Si sedispone de más de un segmento de red de área local en el segundo dispositivo de red y se desea que dichos segmentos de red se pueden comunicar entre si, añada la opción routeback. De otra forma se impediría de modo predeterminado el intercambio de tráfico entre estos segmentos de red.
net eth0 detect dhcp
loc eth1 detect dhcp,routeback
Si dispone de un tercer dispositivo de red puede asociar éstea la tercera zona del muro cortafuegos (dmz). Igualmente defina que se auto-detecte la dirección de difusión y la opción dhcp si la considera necesaria. Por lo general las zonas des-militarizadas prescinden de servidores DHCP por tratarse de redes designadas para alojar otros servidores con dirección IP estática.
net eth0 detect dhcp
loc eth1 detect dhcp,routeback
dmz eth2 detect
Archivo masq....
Se modificarán los siguientes archivos:
/etc/shorewall/shorewall.conf: Archivo general de configuración de Shorewall. En este se activa el servicio y funciones que se requiera utilizar.
/etc/shorewall/zones: Se utiliza para definir las zonas que utilizará el muro cortafuegos.
/etc/shorewall/interfaces: Se utiliza para definir cuáles dispositivos dered corresponden a una zona del muro cortafuegos en particular y las opciones que se requieran para cada una de éstas.
/etc/shorewall/masq: Se utiliza para definir cuáles dispositivos utilizar para los enmascaramientos de direcciones IP.
/etc/shorewall/policy: Se utiliza para definir las políticas predeterminadas para cada zona del muro cortafuegos respecto de las demás zonas.
/etc/shorewall/rules:Se utiliza para definir las reglas para apertura de puertos.
/etc/shorewall/blrules: Se utiliza para definir reglas para bloquear las direcciones IP o bloques de direcciones IP que se desea poner en lista negra.
Archivo shorewall.conf.
Shorewall viene inactivo de modo predeterminado. Para activar el servicio edite el archivo/etc/shorewall/shorewall.conf:
vi /etc/shorewall/shorewall.conf
Localicela opción STARTUP_ENABLED, la cual deberá tener «No» como valor predeterminado:
STARTUP_ENABLED=No
Cambie «No» por «Yes»:
STARTUP_ENABLED=Yes
Archivo zones.
Se requiere definir cuáles zonas serán gestionadas en el muro cortafuegos. Edite el archivo /etc/shorewall/zones:
vi /etc/shorewall/zones
Encontrará que sólo está definida la zona fw con el tipo firewall:
fw firewall
Si dispone de un únicodispositivo de red sólo podrá definir una zona (net) tipo ipv4:
fw firewall
net ipv4
Si dispone de dos dispositivos de red, puede especificar una segunda zona (loc) tipo ipv4, la cual puede ser utilizada para acceder desde la red de área local:
fw firewall
net ipv4
loc ipv4
Si dispone de tres dispositivos de red, puede especificar una tercera zona (dmz) tipo ipv4, la cual puede ser utilizada paraacceder desde la zona des-militarizada:
fw firewall
net ipv4
loc ipv4
dmz ipv4
Archivo interfaces.
Una vez definidas la zonas a utilizar en el muro cortafuegos, se debe definir que dispositivos de red corresponden a cada zona del muro cortafuegos. El archivo /etc/shorewall/interfaces varía entre las versiones 4.4 y 4.5 de Shorewall. En la versión 4.4 se utiliza el formato 1 y consiste de 4 columnas.En la versión 4.5 se utiliza el formato 2 y consiste de 3 columnas.
Edite el archivo /etc/shorewall/interfaces:
vi /etc/shorewall/interfaces
Si dispone de un único dispositivo de red defina el nombre del dispositivo de red a utilizar, auto-detección de la dirección de difusión (broadcast) y la opción dhcp. Esta última opción sólo es necesaria si en la interfaz habrá un cliente o servidor DHCP. Elnombre del dispositivo de red puede ser eth0, eth1, p1p1, p2p1, em1, em2, etc., dependiendo de la versión de SMBIOS:
net eth0 detect dhcp
Si dispone de un segundo dispositivo de red puede asociar éste a la segunda zona del muro cortafuegos (loc). Igualmente defina que se auto-detecte la dirección de difusión y la opción dhcp si la considera necesaria.
net eth0 detect dhcp
loc eth1 detect dhcp
Si sedispone de más de un segmento de red de área local en el segundo dispositivo de red y se desea que dichos segmentos de red se pueden comunicar entre si, añada la opción routeback. De otra forma se impediría de modo predeterminado el intercambio de tráfico entre estos segmentos de red.
net eth0 detect dhcp
loc eth1 detect dhcp,routeback
Si dispone de un tercer dispositivo de red puede asociar éstea la tercera zona del muro cortafuegos (dmz). Igualmente defina que se auto-detecte la dirección de difusión y la opción dhcp si la considera necesaria. Por lo general las zonas des-militarizadas prescinden de servidores DHCP por tratarse de redes designadas para alojar otros servidores con dirección IP estática.
net eth0 detect dhcp
loc eth1 detect dhcp,routeback
dmz eth2 detect
Archivo masq....
Leer documento completo
Regístrate para leer el documento completo.