Diferencia entre revisiones de «Shorewall»
(Etiqueta: no tiene enlaces internos) |
|||
| Línea 6: | Línea 6: | ||
}} | }} | ||
| − | + | '''Shorewall GNU/Linux'''es una excelente de herramienta de alta configuración para la red, regula los paquetes de entrada y salida de las computadoras que viajan a través de la red, también se define como un cortafuegos y a su vez como una puerta de enlace con sus respectivos requisitos de las entradas y salidas de paquetes. | |
| + | |||
| + | == Shorewall (Shoreline Firewall) == | ||
| + | Shorewall solo necesita se le proporcionen algunos datos en algunos ficheros de texto simple y éste creará las reglas de cortafuegos correspondientes a través de iptables. Shorewall puede permitir utilizar un sistema como muro cortafuegos dedicado, sistema de múltiples funciones como puerta de enlace, dispositivo de encaminamiento y servidor. | ||
| − | |||
| − | |||
El Shorewall no es un demonio(servicio) pero pude configurarse para que trabaje de esa forma. | El Shorewall no es un demonio(servicio) pero pude configurarse para que trabaje de esa forma. | ||
| − | |||
/etc/default/shorewall se edita, quedando de este modo: | /etc/default/shorewall se edita, quedando de este modo: | ||
# set the below variable to 1 in order to allow shorewall to start | # set the below variable to 1 in order to allow shorewall to start | ||
| Línea 25: | Línea 25: | ||
Cuando es seteada (arreglado) en "Yes" o "yes" puede aceptar dichas conexiones, todas las conexiones que estaban activas cuando Shorewall fue detenido continuaran funcionando y todas al conexiones aL firewall son aceptadas. | Cuando es seteada (arreglado) en "Yes" o "yes" puede aceptar dichas conexiones, todas las conexiones que estaban activas cuando Shorewall fue detenido continuaran funcionando y todas al conexiones aL firewall son aceptadas. | ||
| − | LOGRATE | + | LOGRATE and LOGBURST: Estos parámetros indican la rafaga y la tasa de paquetes que son registrados. Esto es util cuando se generan muchos paquetes invalidos en la red lo que podria generar muchisimo consumo de procesador en el firewall. |
IP_FORWARDING: Este parametro determina si Shorewall debe habilitar o deshabilitar el forwarding de paquetes de IPV4. | IP_FORWARDING: Este parametro determina si Shorewall debe habilitar o deshabilitar el forwarding de paquetes de IPV4. | ||
| Línea 49: | Línea 49: | ||
# zona de opciones de emisión de interfaz | # zona de opciones de emisión de interfaz | ||
lan eth0 | lan eth0 | ||
| − | inter | + | inter eth1 |
Para el anterior ejemplo se declararon dos interfaz “lan que representa a la red interna”y “inter para la salida a otra red” | Para el anterior ejemplo se declararon dos interfaz “lan que representa a la red interna”y “inter para la salida a otra red” | ||
Revisión del 10:31 12 sep 2011
| ||||
Shorewall GNU/Linuxes una excelente de herramienta de alta configuración para la red, regula los paquetes de entrada y salida de las computadoras que viajan a través de la red, también se define como un cortafuegos y a su vez como una puerta de enlace con sus respectivos requisitos de las entradas y salidas de paquetes.
Sumario
Shorewall (Shoreline Firewall)
Shorewall solo necesita se le proporcionen algunos datos en algunos ficheros de texto simple y éste creará las reglas de cortafuegos correspondientes a través de iptables. Shorewall puede permitir utilizar un sistema como muro cortafuegos dedicado, sistema de múltiples funciones como puerta de enlace, dispositivo de encaminamiento y servidor.
El Shorewall no es un demonio(servicio) pero pude configurarse para que trabaje de esa forma.
/etc/default/shorewall se edita, quedando de este modo:
- set the below variable to 1 in order to allow shorewall to start
startup=1
Ficheros de configuración
shorewall.conf Archivo de configuración principal de Shorewall. Algunas de las variables importantes a configurar en este archivo son:
STARTUP_ENABLED: Si no es seteada a "Yes" o "yes" el firewall no se configurara. (Medida de seguridad).
ADMINISABSENTMINDED: Si es seteada(establecido) a "No" o "no" solo el trafico desde y hacia las direcciones listadas en /etc/shorewall/routestopped serán seteada, cuando Shorewall es detenido. Cuando es seteada (arreglado) en "Yes" o "yes" puede aceptar dichas conexiones, todas las conexiones que estaban activas cuando Shorewall fue detenido continuaran funcionando y todas al conexiones aL firewall son aceptadas.
LOGRATE and LOGBURST: Estos parámetros indican la rafaga y la tasa de paquetes que son registrados. Esto es util cuando se generan muchos paquetes invalidos en la red lo que podria generar muchisimo consumo de procesador en el firewall.
IP_FORWARDING: Este parametro determina si Shorewall debe habilitar o deshabilitar el forwarding de paquetes de IPV4.
Los archivos de configuración de Shorewall se encuentran en el directorio /etc/shorewall - para configuraciones simples, sólo tendrá que personalizar algunos de ellos.
Shorewall ve la red donde se está trabajando como un conjunto de zona:
zones
fw firewall
inter ipv4
lan ipv4
Se debe de tener en cuenta que Shorewall reconoce el sistema de servidor de seguridad como su propia zona, por lo que se declara como “fw”.
Para definir de una forma más sencilla los anfitriones de una zona podemos utilizar un fichero de configuración que se nombra “interfaces”
interfaces
# zona de opciones de emisión de interfaz
lan eth0
inter eth1
Para el anterior ejemplo se declararon dos interfaz “lan que representa a la red interna”y “inter para la salida a otra red”
masq
Este archivo se utiliza para definir masquerading y SNAT. Es esencial para las redes no enunciables que desean conectarse a la Internet a traves de un firewall. El formato de las definiciones es: Interfaz Subred Direccion Protocolo Puertos IPSEC
Ejemplos: eth0 eth1
policy
Reglas sobre el tráfico de lo que se va a permitir y lo que el tráfico va a denegar se expresan en términos de zonas. Todo esto se puede declarar en las políticas del shorewall donde:
ACCEPT -aceptar la conexión-
DROP-No haga caso de la solicitud de conexión-
REJECT-Devolver un error correspondiente a la solicitud de conexión-
Ejemplo:
fw inter ACCEPT
fw lan ACCEPT
lan fw ACCEPT
inter fw ACCEPT
#lan inter DROP
#inter lan DROP
#lan all ACCEPT
all all REJECT
Alternativas
A pesar de ser tan potente y flexible, Shorewall puede llegar a ser una herramienta demasiado complicada para el uso cotidiano del usuario promedio. A continuación se citan algunas alternativas y los puntos fuertes de cada una de ellas. Firestarter - http://www.fs-security.com Herramienta gráfica de configuracion y MONITOREO de Netfilter. Es muy flexible y amigable. Permite definir un firewall bastante sofisticado de una manera muy simple. Webmin - http://www.webmin.com La herramienta de administracion de computadoras con sistemas operativos *NIX Webmin posee un modulo de administracion de Netfilter bastante completa. Es conveniente para administracion remota del firewall. Tambien posee un modulo de administracion de Shorewall.
Fuentes
- Artículo Shorewall
- Artículo Qucikstar
- Artículo Documetación
- Articulo configuración rápida
