Firewall casero con 3 tarjetas
Hola a todos.
Antes de empezar, me gustaría pedir disculpas pues el asunto quizá no tenga demasiado que ver con Debian, pero creo que lo toca lo suficiente como para no etiquetarlo como OT.
Una vez pedidas las disculpas oportunas, explicaré un poco la situación en la que me encuentro a ver si alguien me puede guiar un poco o echar un cable y encontramos la mejor solución posible. Actualmente en el domicilio de mis padres coexisten un total de 4 equipos: 2 portátiles, un sobremesa y un servidor. El servidor hasta hace poco, simplemente servía correo, web dinámica (LAMP) y poco más.
Hace unos meses recibí una carta postal de mi ISP comentándome de que tenían varios avisos de SPAM procedentes de mi IP, y que o tomaba cartas en el asunto o que estudiarían dar de baja mi línea. Es evidente que a este aviso le dí la importancia que merece, pues ni me adjuntaron logs ni ningún otro tipo de prueba que pudiera certificar la veracidad de esas acusaciones... de hecho, dejé todo un día mi portátil con whireshark snifeando el tráfico de red en busca de algún envío de correo con resultado negativo.
Dejando a un lado este aviso, me he quedado digamos incómodo por lo desprotegida que está la red y me estoy planteando ponerle una capa de seguridad adicional con un firewall casero.
La estructura actual es la siguiente:
router*
| Portátil A
| /
|------ AP
| \
| Portátil B
|
|------ workstation A
|
|------ server
|
|------ boca vacía
* Zyxel Prestige 643
Este firewall iría justo detrás del router y había pensado en ponerle 3 tarjetas de red para poder hacer una diferenciación entre una DMZ y la red privada.
Después de todo este ladrillo, mi propuesta y mi duda sería la siguiente:
Por supuesto instalar una Debian rama stable con las 3 tarjetas de red mencionadas, y enrutar el tráfico dependiendo de su tipo hacia la DMZ o hacia la red privada. Esto es, que si se recibe una petición al puerto 80, 25, 22, 443, 110, etc... vaya a la tarjeta de la DMZ, y si se necesitase algún puerto de entrada abierto para la red privada pues que lo encaminase por la otra tarjeta.
La política por defecto que quería implementar sería obviamente la de DROP, y por descontado que había pensando en utilizar scripts IPTABLES... digamos... hechos a mano.
La problemática que me encuentro (aparte de no haber trabajado demasiado con IPTABLES) es que en la mayoría de los tutoriales que hay para hacer algo similar, nunca se contempla mi configuración, ya que el firewall iría detrás del router que es quien hace NAT. En la mayoría de tutoriales y manuales se contempla la opción de que sea el propio PC el que haga de router y gestione la conexión, o bien que el router no haga NAT...
Aquí es dónde espero vuestras proposiciones, pidiendo por favor que se descarte la opción de que el router no haga NAT.
Como colofón, estaba pensando en adquirir un Linksys WRT54GL por si sonase la flauta y tuviera alguna implementación similar, para hacer de firewall ya en el propio router y ahorrarme una máquina.
Muchísimas gracias por vuestra atención y disculpas por el tremendo chorizo de mail que ha quedado al final.
Un saludo,
Abraham Pérez Prado
P.D.: al ir en formato HTML el dibujo puede que no se vea demasiado bien... en ese caso avisarme que lo envío como texto plano.
Reply to: