Shorewall
| ||||
Sumario
Shorewall GNU/Linux
Es una excelente de herramienta de alta configuración para la red, regula los paquetes de entrada y salida de las computadoras que viajan a través de la red, también se define como un cortafuegos y a su vez como una puerta de enlace con sus respectivos requisitos de las entradas y salidas de paquetes. Este programa lee los archivos de configuración y con la ayuda de las iptables el Shorewall los usa para obtener un sistema de alta seguridad con multifunción como Gateway y Ruter en un servidor Linux.
El Shorewall no es un demonio(servicio) pero pude configurarse para que trabaje de esa forma.
/etc/default/shorewall se edita, quedando de este modo:
- set the below variable to 1 in order to allow shorewall to start
startup=1
Ficheros de configuración
shorewall.conf Archivo de configuración principal de Shorewall. Algunas de las variables importantes a configurar en este archivo son:
STARTUP_ENABLED: Si no es seteada a "Yes" o "yes" el firewall no se configurara. (Medida de seguridad).
ADMINISABSENTMINDED: Si es seteada(establecido) a "No" o "no" solo el trafico desde y hacia las direcciones listadas en /etc/shorewall/routestopped serán seteada, cuando Shorewall es detenido. Cuando es seteada (arreglado) en "Yes" o "yes" puede aceptar dichas conexiones, todas las conexiones que estaban activas cuando Shorewall fue detenido continuaran funcionando y todas al conexiones aL firewall son aceptadas.
LOGRATE and LOGBURST: Estos parametros indican la rafaga y la tasa de paquetes que son registrados. Esto es util cuando se generan muchos paquetes invalidos en la red lo que podria generar muchisimo consumo de procesador en el firewall.
IP_FORWARDING: Este parametro determina si Shorewall debe habilitar o deshabilitar el forwarding de paquetes de IPV4.
Los archivos de configuración de Shorewall se encuentran en el directorio /etc/shorewall - para configuraciones simples, sólo tendrá que personalizar algunos de ellos.
Shorewall ve la red donde se está trabajando como un conjunto de zona:
zones
fw firewall
inter ipv4
lan ipv4
Se debe de tener en cuenta que Shorewall reconoce el sistema de servidor de seguridad como su propia zona, por lo que se declara como “fw”.
Para definir de una forma más sencilla los anfitriones de una zona podemos utilizar un fichero de configuración que se nombra “interfaces”
interfaces
# zona de opciones de emisión de interfaz
lan eth0
inter eth1
Para el anterior ejemplo se declararon dos interfaz “lan que representa a la red interna”y “inter para la salida a otra red”
masq
Este archivo se utiliza para definir masquerading y SNAT. Es esencial para las redes no enunciables que desean conectarse a la Internet a traves de un firewall. El formato de las definiciones es: Interfaz Subred Direccion Protocolo Puertos IPSEC
Ejemplos: eth0 eth1
policy
Reglas sobre el tráfico de lo que se va a permitir y lo que el tráfico va a denegar se expresan en términos de zonas. Todo esto se puede declarar en las políticas del shorewall donde:
ACCEPT -aceptar la conexión-
DROP-No haga caso de la solicitud de conexión-
REJECT-Devolver un error correspondiente a la solicitud de conexión-
Ejemplo:
fw inter ACCEPT
fw lan ACCEPT
lan fw ACCEPT
inter fw ACCEPT
#lan inter DROP
#inter lan DROP
#lan all ACCEPT
all all REJECT
Alternativas
A pesar de ser tan potente y flexible, Shorewall puede llegar a ser una herramienta demasiado complicada para el uso cotidiano del usuario promedio. A continuación se citan algunas alternativas y los puntos fuertes de cada una de ellas. Firestarter - http://www.fs-security.com Herramienta gráfica de configuracion y MONITOREO de Netfilter. Es muy flexible y amigable. Permite definir un firewall bastante sofisticado de una manera muy simple. Webmin - http://www.webmin.com La herramienta de administracion de computadoras con sistemas operativos *NIX Webmin posee un modulo de administracion de Netfilter bastante completa. Es conveniente para administracion remota del firewall. Tambien posee un modulo de administracion de Shorewall.
Fuentes
- Artículo Shorewall
- Artículo Qucikstar
- Artículo Documetación
- Articulo configuración rápida
