Re: Configuración Firewall

To: debian-user-spanish@lists.debian.org
Subject: Re: Configuración Firewall
From: "Carlos Miranda Molina - <Mstaaravin />" <cmiranda@ngen.com.ar>
Date: Tue, 18 May 2010 14:14:33 -0300
Message-id: <[🔎] 4BF2CAF9.5000202@ngen.com.ar>
In-reply-to: <[🔎] 4BF2C166.9020600@gmail.com>
References: <[🔎] pan.2010.05.18.16.20.00@gmail.com> <[🔎] 4BF2C166.9020600@gmail.com>

On 05/18/2010 01:33 PM, Alberto Molina Molina wrote:

Estimados,

Me gustaría saber si alguien me puede orientar en lo siguiente.
Necesito poner un firewall que me permita filtrar los paquetes
que van hacia 4 equipos con ip's validas. Y aparte de eso generar
una red interna para todos los demás equipos de la red. no se si
me explico bien.

El tema es que para filtrar los paquetes que van hacia los equipos
de red interna no tengo problema, el problema lo tengo al configurar
el filtrado de los paquetes de mi red con ip's validas donde el firewall
también tiene la suya.


Todo se puede (con paciencia y saliva....)

Te sugiero que le eches una mirada a firehol, es un wrapper paranetfilter (al igual que shorewall) pero mas simple.

Ademas "filtrar" es un verbo bastante genérico tratándose de networking,pero por ejemplo, supón que necesitas "filtrar" el tráfico dns saliente,que los usuarios de tu red sólo puedan consultar los dns de opendns.comcon firehol seria algo asi


(http://firehol.sourceforge.net/)

...  (configuración previa de /etc/firehol/firehol.conf)
...
...
...
...
...
router internet2lan inface eth0 outface eth1
	masquerade
	route all	accept
router lan2internet inface eth1 outface eth0
	masquerade
	route http	accept
	route https	accept
	route ntp	accept dst "0.debian.pool.ntp.org "
	route dns	accept dst "208.67.220.220 208.67.222.222"
	route ftp	accept dst "ftp.debian.org"

Con esas lineas estas especificando que desde tu lan sólo permites salirel tráfico http, https, ntp, dns y ftp, etc. en el caso del protocolodns sólo permites que se conecten a los de opendns, para evitar que esos"vivillos" se crean "jaquers" por tunelizar dns [0] pero siendoestrictos tampoco deberías permitir la salid de http y https, deberíasmandar todo eso a un proxy.

Y asi puedes ir controlando qué, quién y hacia adónde pueden ir losusuarios de tu red.Yo uso firehol en una red de una empresa de 60 equipos y tengo 2conexiones ADSL (ppp0, ppp1), 1 OpenVPN (tun0) haciendo balanceo sobreambos ADSL, 1 DMZ con OpenVZ (venet0), 2 VLANs (eth2, eth3) todo esosobre el mismo server y no tengo ningún problema, no se me escapa nadie.

[0]http://www.google.com.ar/search?hl=es&source=hp&q=tunelizar+dns&aq=f&aqi=g10&aql=&oq=&gs_rfai=[0]


--
"La Voluntad es el único motor de nuestros logros" (Mstaaravin)
http://ngen.com.ar/blog

Reply to:

References:
- (Fwd) Configuración de la red
  - From: Camaleón <noelamac@gmail.com>
- Configuración Firewall
  - From: Alberto Molina Molina <dickeroso@gmail.com>

Prev by Date: Re: (Fwd) Configuración de la red
Next by Date: Re: Transición a Python 2.6 en gestor de paquetes
Previous by thread: Re: Configuración Firewall
Next by thread: Re: Configuración Firewall
Index(es):
- Date
- Thread