Shorewall

Shorewall
Información sobre la plantilla
Shorewalllogo.png
Herramienta de alta configuración, regulando los paquetes de entrada y salida de una computadora que viajan a través de la red usando iptables.

Shorewall GNU/Linux. Es una excelente de herramienta de alta configuración para la red, regula los paquetes de entrada y salida de las computadoras que viajan a través de la red, también se define como un cortafuegos y a su vez como una puerta de enlace con sus respectivos requisitos de las entradas y salidas de paquetes.

Desarrolladores

Tom Eastep es el desarrollador principal, aunque muchas personas han contribuido con parches y traducciones a otros idiomas. También hay muchos módulos de terceros que han sido desarrolladas por otras personas por separado de diferentes países.

Licencia de distribución

Todas las versiones recientes de Shorewall están bajo una licencia BSD, lo que significa que pueden ser libremente distribuidos y modificados para uso comercial y no comercial. Debido a Shorewall apoya el concepto de módulos, cualquier persona puede desarrollar y distribuir sus propios módulos de Shorewall para cualquier propósito, y distribuirlos bajo cualquier licencia (como la GPL, comercial o shareware).

Shorewall (Shoreline Firewall)

Shorewall solo necesita se le proporcionen algunos datos en algunos ficheros de texto simple y éste creará las reglas de cortafuegos correspondientes a través de iptables. Shorewall puede permitir utilizar un sistema como muro cortafuegos dedicado, sistema de múltiples funciones como puerta de enlace, dispositivo de encaminamiento y servidor.

El Shorewall no es un demonio(servicio) pero pude configurarse para que trabaje de esa forma. /etc/default/shorewall se edita, quedando de este modo:

  1. set the below variable to 1 in order to allow shorewall to start
       startup=1

Ficheros de configuración

shorewall.conf Archivo de configuración principal de Shorewall. Algunas de las variables importantes a configurar en este archivo son:

STARTUP_ENABLED: Si no es seteada a "Yes" o "yes" el firewall no se configurara. (Medida de seguridad).

ADMINISABSENTMINDED: Si es seteada(establecido) a "No" o "no" solo el trafico desde y hacia las direcciones listadas en /etc/shorewall/routestopped serán seteada, cuando Shorewall es detenido.

Cuando es seteada (arreglado) en "Yes" o "yes" puede aceptar dichas conexiones, todas las conexiones que estaban activas cuando Shorewall fue detenido continuaran funcionando y todas al conexiones aL firewall son aceptadas.

LOGRATE and LOGBURST: Estos parámetros indican la rafaga y la tasa de paquetes que son registrados. Esto es util cuando se generan muchos paquetes invalidos en la red lo que podria generar muchisimo consumo de procesador en el firewall.

IP_FORWARDING:Este parametro determina si Shorewall debe habilitar o deshabilitar el forwarding de paquetes de IPV4.

Los archivos de configuración de Shorewall se encuentran en el directorio /etc/shorewall - para configuraciones simples, sólo tendrá que personalizar algunos de ellos.

Shorewall ve la red donde se está trabajando como un conjunto de zona:

zones

               fw          firewall
               inter       ipv4
               lan         ipv4

Se debe de tener en cuenta que Shorewall reconoce el sistema de servidor de seguridad como su propia zona, por lo que se declara como “fw”.


Para definir de una forma más sencilla los anfitriones de una zona podemos utilizar un fichero de configuración que se nombra “interfaces”

interfaces 

# zona de opciones de emisión de interfaz
                lan        eth0
                inter      eth1

Para el anterior ejemplo se declararon dos interfaz “lan que representa a la red interna”y “inter para la salida a otra red”

masq

Este archivo se utiliza para definir masquerading y SNAT. Es esencial para las redes no enunciables que desean conectarse a la Internet a traves de un firewall. El formato de las definiciones es: Interfaz Subred Direccion Protocolo Puertos IPSEC

Ejemplos: eth0 eth1

policy

Reglas sobre el tráfico de lo que se va a permitir y lo que el tráfico va a denegar se expresan en términos de zonas. Todo esto se puede declarar en las políticas del shorewall donde: 

                   ACCEPT -aceptar la conexión-
                   DROP-No haga caso de la solicitud de conexión-
                   REJECT-Devolver un error correspondiente a la solicitud de conexión-

Ejemplo:

                   fw           inter             ACCEPT
                   fw           lan               ACCEPT
                   lan          fw                ACCEPT
                   inter        fw                ACCEPT
                   #lan         inter             DROP
                   #inter       lan               DROP
                   #lan         all               ACCEPT
                   all          all               REJECT

Alternativas

A pesar de ser tan potente y flexible, Shorewall puede llegar a ser una herramienta demasiado complicada para el uso cotidiano del usuario promedio. A continuación se citan algunas alternativas y los puntos fuertes de cada una de ellas. Firestarter - http://www.fs-security.com Herramienta gráfica de configuracion y MONITOREO de Netfilter. Es muy flexible y amigable. Permite definir un firewall bastante sofisticado de una manera muy simple. Webmin - http://www.webmin.com La herramienta de administracion de computadoras con sistemas operativos *NIX Webmin posee un modulo de administracion de Netfilter bastante completa. Es conveniente para administracion remota del firewall. Tambien posee un modulo de administracion de Shorewall.

Fuentes

  • Shorewall. [citado 2011 Septiembre, 12]. Disponible en: "shorewall.net".
  • Artículo Qucikstar. Disponible en: "www.shorewall.net". Consultado: 12 de septiembre de 2011.
  • Artículo Documetación. Disponible en: "www.shorewall.net". Consultado: 12 de septiembre de 2011.
  • Articulo Configuración rápida. Disponible en: "juanjoalvarez.net". Consultado: 12 de septiembre de 2011.
Obtenido de «https://www.ecured.cu/index.php?title=Shorewall&oldid=2664739»