Universitarios Online
Configuración de un Proxy

Configuración de Shorewall

Antes de iniciar con la instalación de shorewall tenemos que activar el reenvio de paquetes por IPv4, de lo contrario no se podra hacer NAT. Para ello editamos el sig. archivo: nano /etc/sysctl.conf. Realizamos la sig. modificación.

net.ipv4.ip_forward=1

Por defecto esta desactivada esta opción, es decir en ves de 1 tiene asignado un 0.

Nota: puede darse el caso que su archivo de configuración este vacio o que no tenga esta linea previamente escrita, si ese es el caso, solo anote toda la linea de arriba.

Guardamos cambios con la instrucción: sysctl -p /etc/sysctl.conf
  1. Ahora si ya estamos listos para el sig. paso. Instamos shorewall con la sig. instrucción: yum install shorewall.
  2. Ya que por defecto el shorewall viene desactivado, haremos la sig modificación para activarlo: nano /etc/shorewall/shorewall.conf.

    3. STARTUP_ENABLED= yes

  3. Guardamos cambios.
  4. Editamos el archivo zones. nano /etc/shorewall/zones 
    5.         
        ###############################################################################
        #ZONE	TYPE		OPTIONS		IN			OUT
        #					OPTIONS			OPTIONS
  1     fw	firewall
  2     net     ipv4
  3     loc     ipv4
  4     dmz     ipv4
    • Linea 1, asignamos la zona del firewall
    • Linea 2, asignamos la zona de red publica con ipv4
    • Linea 3, asignamos la zona de red local como ipv4
    • Linea 4, asignamos la zona de dmz
  5. Guardamos cambios.
  6. Editamos el archivo Interface. nano /etc/shorewall/interface 
    7.      ###############################################################################
     #ZONE		INTERFACE		OPTIONS
 1   net             enp0s25                 dhcp        
 2   loc             enp7s4                  blacklist,dhcp
 3   loc             enp7s9                  blacklist,dhcp
 4   dmz             enp7s12                 blacklist,dhcp
    • Linea 1, la tarjeta enp0s25 esta conectada a la red pública, y su ip que le asignan esta por dhcp
    • Linea 2 y 3, la tarjeta enp7s4 y enp7s9 ofreseran servicio dhcp, cuentan con una lista negra y son de zona local.
    • Linea 4, la tarjeta enp7s12 esta por dhcp y esta en zona dmz
  7. Guardamos cambios.
  8. Editamos el archivo Policy. nano /etc/shorewall/policy 
    9.        ###############################################################################
       #SOURCE	DEST	POLICY		LOG	LIMIT:		CONNLIMIT:
       #				LEVEL   BURST		    MASK
  1    fw      all     ACCEPT
  2    all     all     REJECT           info
    • Linea 1, el equipo proxy puede navegar a cualquier zona (dmz, local, interred).
    • Linea 2, Todo lo que no esta difinido es las reglas anteriores se va a denegar y se creara un archivo que informe de equipos que quieran realizar conexiones no permitidas.
  9. Guardamos cambios.
  10. Editamos el archivo Masq. nano /etc/shorewall/masq 
    11.        
################################################################################################################
#INTERFACE:DEST		SOURCE		ADDRESS		PROTO	PORT(S)	IPSEC	MARK	USER/	SWITCH	ORIGINAL
#											GROUP		DEST 
enp0s25                 enp7s4
enp0s25                 enp7s9
enp0s25                 enp7s12
    • Linea 1, la tarjeta enp7s4 hara NAT hacia la tarjeta enp0s25.
    • Linea 2, la tarjeta enp7s9 hara NAT hacia la tarjeta enp0s25.
    • Linea 3, la tarjeta enp7s11 hara NAT hacia la tarjeta enp0s25.
  11. Guardamos cambios.
  12. Editamos el archivo Rules. nano /etc/shorewall/rules 
    13.     
#####################################
#ACTION		SOURCE		DEST
#SECTION ALL
#SECTION ESTABLISHED
#SECTION RELATED
#SECTION INVALID
#SECTION UNTRACKED
SECTION NEW

1   ACCEPT       loc             net
2   ACCEPT       dmz             net
3   ACCEPT       net             dmz
4   ACCEPT       loc             dmz
    • Linea 1, los equipos que pertenecen a la red local pueden comunicarse con la interred.
    • Linea 2, los equipos que pertenecen a la zona dmz pueden comunicarse con la interred.
    • Linea 3, los equipos perteneciente a la interred pueden comunicarse con los equipos de la zona dmz(nuestro servidor web). Sin embargo para que esta opción funcione se requiere de un procedimiento adicional llamado DNAT
    • Linea 4, los equipos de la red local pueden comunicarse con los equipos de la zona dmz(al servidor web).
  13. Guardamos cambios.
  14. Iniciamos shorewall: service shorewall start y verificamos su estado con service shorewall status.