lunes, 4 de junio de 2012

Monowall Firewall Configuracion y Administracion

Para nuestro firewall (monowall) lo crearemos en una maquina virtual con tres adaptadores de red, ya que es una simulacion.

debe haber un adaptardo para la LAN otro para la DMZ y otro para la WAN

Crearemos nuestros tres adaptadores para nuestro firewall monowall


Este adaptador sera red interna con el nombre LAN


El segundo adaptador sera el de nuestra red WAN lo ponemos en adaptador puente y con el nombre por defecto (dependiendo de nuestra conexión)



El tercer adaptador lo configuraremos en red interna con el nombre DMZ, una vez configurados nuestros adaptadores, seguimos con la instalacion del monowall.



En esta parte ponemos el nombre de nuestro disco, que nos parece después de darle la opción 7, y luego confirmamos con y


Ahora asignaremos las interfaces, le damos la opción 1, y si queremos configurar interfaces de VLAN le damos y, en este caso como no tenemos le damos n


luego de esto empezamos a ingresar el nombre de cada interfaz, que como podemos ver nos salió al principio después de darle la opción 1, agregamos una por una y confirmamos con y.


Ahora haremos un ping a internet, seleccionando la opción 6, ping 8.8.8.8, si es exitoso proseguimos, si no verificaremos nuestras conexiones, hasta que sea exitoso.



En este paso le daremos la opcion 2 para configurar un dhcp en la LAN, si queremos cambiamos la dirección de nuestro monowall o dejamos la que por defecto tiene poniendo 192.168.1.1.

 


Damos el rango que usaremos y listo

Desde un equipo en nuestra lan verifiquemos haciendo un ping a la interfaz LAN del monowall que por defecto es la 192.168.1.1, si es exitoso abrimos la interfaz web de mono wall poniendo esta dirección en nuestra barra de dirección.


Si nos pide login, el login por defecto es admin y la contraseña mono.

Configuración de interfaces


Si queremos cambiar la dirección de nuestra LAN nos dirigimos a interfaces y seleccionamos LAN, y la cambiamos, lo mismo para la WAN, y para la DMZ hacemos click en OPT1 (interfaz opcional) y la habilitamos, le cambiamos le nombre si queremos en Description, y agregamos una dirección ip para nuestra interfaz de la siguiente manera. 


 Aquí ya asignamos el nombre, la habilitamos y le asignamos una dirección ip la 192.168.2.1

 Configuración del NAT


Tenemos los servicios ftp y web en la DMZ para que sean accesibles para todos, y los de la LAN (ftp y web) son privados, y no podemos acceder a ellos desde ningún host fuera de la red, entonces para que los servicios de nuestra DMZ sean accesibles configuraremos las reglas del NAT de la siguiente manera.


TCP o el protocolo por el que corra nuestro servicio, en external port range el puerto externo, en NAT IP la direccion a la cual serán redireccionadas las peticiones en este caso la de la DMZ y en local port el puerto local y si queremos una descripción al final.

Crearemos otra regla igual pero esta vez para nuestro servicio WEB, solo cambiando los puertos a HTTP.


Y tendremos dos reglas en el NAT una para el FTP y otra para el WEB que permitiran el acceso a estos desde un host en la WAN.

Reglas del FireWall

Nuestros requerimientos para reglas del firewall son: en la LAN que salga a internet, tenga acceso a los servicios de la DMZ y que ninguno de sus servicios sean accesibles para un host fuera de la LAN.


Esto quiere decir que permita todo el paso hacia el puerto 80. (disculpen el recorte)


Asi quedaron nuestras reglas en la LAN

DMZ

Esta no debe tener acceso a los servicios de la LAN, debe salir a internet y hacer pin con cualquier host de la WAN.



Al habilitar la casilla not en el cuadro Destination le estamos diciendo que no tenga acceso a la LAN.

Así quedaron nuestras reglas en la DMZ, una que no permita el trafico hacia la LAN y otra que permita todo el trafico desde cualquier red al servicio WEB alojado en la DMZ.

WAN


En la WAN tenemos las reglas que permitan el trafico http desde la wan hacia cualquier destino menos la LAN, otra que permita el trafico ftp desde la WAN hacia la DMZ, y la ultima que permita toda peticion ICMP (ping).

Ahora verificaremos estas reglas desde una maquina en la LAN:


Como podemos ver tenemos acceso al FTP de la DMZ desde la WAN.



Tambien tenemos acceso al servidor WEB de la DMZ.


También tenemos acceso a los servicios privados de la LAN, pero solo desde esta.


Y tenemos acceso a internet.

Ahora desde la DMZ.


Como podemos ver no tenemos acceso a los servicios en la LAN.


Y tenemos acceso a internet.


Desde la WAN vemos que tenemos acceso a los servicios de la DMZ, mas no de la LAN.

Y esto evidentemente nos funcionaron las reglas y el NAT. 










1 comentario:

  1. Hola muy bueno el ejemplo. Estoy configurando una VPN IPSec pero solo me funciona en una vía, me podrías decir si tengo que hacer algo adicional?
    tengo salida a internet por una ip fija 200.93.xx.xx y mi lan estaen el rango 192.168.1.1/24, la vpn la quiero configurar que se haga en dos equipos que no estan en la lan, tienen las ips 20.0.0.2 y 20.0.0.3, configuré todo en la VPN pero solo me entran las conexiones. no puedo generar una conexión desde 20.0.0.2 o 20.0.0.3.

    ResponderEliminar