Firewall casero con 3 tarjetas
Abraham Pérez
Antes de empezar, me gustaría pedir disculpas pues el asunto quizá no tenga demasiado que ver con Debian, pero creo que lo toca lo suficiente como para no etiquetarlo como OT.
Una vez pedidas las disculpas oportunas, explicaré un poco la situación en la que me encuentro a ver si alguien me puede guiar un poco o echar un cable y encontramos la mejor solución posible. Actualmente en el domicilio de mis padres coexisten un total de 4 equipos: 2 portátiles, un sobremesa y un servidor. El servidor hasta hace poco, simplemente servía correo, web dinámica (LAMP) y poco más.
Hace unos meses recibí una carta postal de mi ISP comentándome de que tenían varios avisos de SPAM procedentes de mi IP, y que o tomaba cartas en el asunto o que estudiarían dar de baja mi línea. Es evidente que a este aviso le dí la importancia que merece, pues ni me adjuntaron logs ni ningún otro tipo de prueba que pudiera certificar la veracidad de esas acusaciones... de hecho, dejé todo un día mi portátil con whireshark snifeando el tráfico de red en busca de algún envío de correo con resultado negativo.
Dejando a un lado este aviso, me he quedado digamos incómodo por lo desprotegida que está la red y me estoy planteando ponerle una capa de seguridad adicional con un firewall casero.
La estructura actual es la siguiente:
router*
| Portátil A
| /
|------ AP
| \
| Portátil B
|
|------ workstation A
|
|------ server
|
|------ boca vacía
* Zyxel Prestige 643
Este firewall iría justo detrás del router y había pensado en ponerle 3 tarjetas de red para poder hacer una diferenciación entre una DMZ y la red privada.
Después de todo este ladrillo, mi propuesta y mi duda sería la siguiente:
Por supuesto instalar una Debian rama stable con las 3 tarjetas de red mencionadas, y enrutar el tráfico dependiendo de su tipo hacia la DMZ o hacia la red privada. Esto es, que si se recibe una petición al puerto 80, 25, 22, 443, 110, etc... vaya a la tarjeta de la DMZ, y si se necesitase algún puerto de entrada abierto para la red privada pues que lo encaminase por la otra tarjeta.
La política por defecto que quería implementar sería obviamente la de DROP, y por descontado que había pensando en utilizar scripts IPTABLES... digamos... hechos a mano.
La problemática que me encuentro (aparte de no haber trabajado demasiado con IPTABLES) es que en la mayoría de los tutoriales que hay para hacer algo similar, nunca se contempla mi configuración, ya que el firewall iría detrás del router que es quien hace NAT. En la mayoría de tutoriales y manuales se contempla la opción de que sea el propio PC el que haga de router y gestione la conexión, o bien que el router no haga NAT...
Aquí es dónde espero vuestras proposiciones, pidiendo por favor que se descarte la opción de que el router no haga NAT.
Como colofón, estaba pensando en adquirir un Linksys WRT54GL por si sonase la flauta y tuviera alguna implementación similar, para hacer de firewall ya en el propio router y ahorrarme una máquina.
Muchísimas gracias por vuestra atención y disculpas por el tremendo chorizo de mail que ha quedado al final.
Un saludo,
Abraham Pérez Prado
P.D.: al ir en formato HTML el dibujo puede que no se vea demasiado bien... en ese caso avisarme que lo envío como texto plano.
Pablo Braulio
Hash: SHA1
> La problemática que me encuentro (aparte de no haber trabajado
> _demasiado_ con IPTABLES) es que en la mayoría de los tutoriales que hay
> para hacer algo similar, nunca se contempla mi configuración, ya que el
> firewall iría detrás del router que es quien hace NAT. En la mayoría de
> tutoriales y manuales se contempla la opción de que sea el propio PC el
> que haga de router y gestione la conexión, o bien que el router no haga
> NAT...
>
Yo lo tengo como tu dices (un pc tras router) y funciona bien. No hay
diferencia si el pc está tras un router, como si es el que gestiona la
conexión.
Otra opción sería instalar ipcop, una distro linux preparada para estos
menesteres.
- --
< ¡¡Nos vemos!! >
----------------------------
\
\
.::!!!!!!!:.
.!!!!!:. .:!!!!!!!!!!!!
~~~~!!!!!!. .:!!!!!!!!!UWWW$$$
:$$NWX!!: .:!!!!!!XUWW$$$$$$$$$P
$$$$$##WX!: .<!!!!UW$$$$" $$$$$$$$#
$$$$$ $$$UX :!!UW$$$$$$$$$ 4$$$$$*
^$$$B $$$$\ $$$$$$$$$$$$ d$$R"
"*$bd$$$$ '*$$$$$$$$$$$o+#"
"""" """""""
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFIYPO1K7lGsMchFswRAtsXAKDFKTZ+dn273ssdgJxTbehNG8eakgCggGBy
l5wNNtP8pY3nPYVIZRkSFxU=
=MBMM
-----END PGP SIGNATURE-----
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Alfonso Pinto
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
>> La problemática que me encuentro (aparte de no haber trabajado
>> _demasiado_ con IPTABLES) es que en la mayoría de los tutoriales que hay
>> para hacer algo similar, nunca se contempla mi configuración, ya que el
>> firewall iría detrás del router que es quien hace NAT. En la mayoría de
>> tutoriales y manuales se contempla la opción de que sea el propio PC el
>> que haga de router y gestione la conexión, o bien que el router no haga
>> NAT...
>>
> Yo lo tengo como tu dices (un pc tras router) y funciona bien. No hay
> diferencia si el pc está tras un router, como si es el que gestiona la
> conexión.
>
> Otra opción sería instalar ipcop, una distro linux preparada para estos
> menesteres.
Coincido con el compañero, ipcop es instalarlo y listo. Y si no,
puedes utilizar shorewall, buena documentación, archivos de
configuración sencillos y permite hacer lo que tu quieres.
Saludos
Pablo Braulio
> puedes utilizar shorewall, buena documentación, archivos de
> configuración sencillos y permite hacer lo que tu quieres.
>
Para shorewall, existe una distro que se puede instalar en pendrive
usb muy interesante.
Tiene una versión comercial y otra libre.
--
Saludos.
Pablo.
Abraham Pérez
Sobre lo de usar una distro específicamente para esto, lo descarto. Por el momento lo único que uso es Debian y prefiero que siga siendo así...
La cuestión que se me plantea, es más ... cómo decirlo... teórica! Según la primera respuesta deduzco que no existe ningún problema en que el router haga NAT, para que después el PC vuelva a hacer NAT. A lo que me refiero, es si no hay forma de evitar ese doble NAT porque es un poco ilógico, no creen?
Por otro lado, entiendo que la solución a mi problema sería hacer un filtrado y NAT al mismo tiempo en la máquina. Correcto?
Sería muy complejo que fuese el propio PC el que hiciese de router?
Alguien sabría decirme si el Linksys WRT54GL dispone de alguna opción para éstos menesteres? (es decir, hacer filtrado y dependiendo de a qué puerto se solicite conexión encaminar a una u otra boca que llevaría o no a la DMZ.
Gracias y un saludo otra vez.
Carlos Miranda
> Alguien sabría decirme si el Linksys WRT54GL dispone de alguna opción para
> éstos menesteres? (es decir, hacer filtrado y dependiendo de a qué puerto se
> solicite conexión encaminar a una u otra boca que llevaría o no a la DMZ.
Si, yo estoy usando el firmware dd-wrt [0] y tienes la posibilidad de
asignar la cantidad de puertos ethernet a otra subred o el wifi puede
disponer de 2 ESSIDs diferentes.
Saludos
--
"La Voluntad es el unico motor de nuestros logros"
<Mstaaravin />
http://www.mstaaravin.com.ar/
Alfonso Pinto
<elho...@consultoriacaledor.com> escribió:
> El día 26 de junio de 2008 14:11, Carlos Miranda
> <deb...@mstaaravin.com.ar> escribió:
>> 2008/6/26 Abraham Pérez <joc...@gmail.com>:
>>> Alguien sabría decirme si el Linksys WRT54GL dispone de alguna opción para
>>> éstos menesteres? (es decir, hacer filtrado y dependiendo de a qué puerto se
>>> solicite conexión encaminar a una u otra boca que llevaría o no a la DMZ.
>>
>> Si, yo estoy usando el firmware dd-wrt [0] y tienes la posibilidad de
>> asignar la cantidad de puertos ethernet a otra subred o el wifi puede
>> disponer de 2 ESSIDs diferentes.
>
>
>> [0] http://www.dd-wrt.com
> [1] http://openwrt.org/
> [2] http://www.freewrt.net/
>
Perdón, se me fue al privado.