Diferencia entre revisiones de «Firewall»
(No se muestran 2 ediciones intermedias de 2 usuarios) | |||
Línea 24: | Línea 24: | ||
===== Reglas para acceder desde la lan1 (Laboratorio) a polonio ===== | ===== Reglas para acceder desde la lan1 (Laboratorio) a polonio ===== | ||
− | + | Reglas para acceder desde la a lan1 a la web de administración de Zentyal (Zentyal-lan1-web): | |
* Origen: lan1 | * Origen: lan1 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 32: | Línea 32: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para autenticación de usuarios en Zentyal (Zentyal-lan1-389): | |
* Origen: lan1 | * Origen: lan1 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 40: | Línea 40: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para acceder a carpetas compartidas (Zentyal-lan1-445): | |
* Origen: lan1 | * Origen: lan1 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 48: | Línea 48: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para acceder a cambiar contraseña (Zentyal-lan1-8888): | |
* Origen: lan1 | * Origen: lan1 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 56: | Línea 56: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para acceder por ssh a Polonio (Zentyal-lan1-ssh): | |
* Origen: lan1 | * Origen: lan1 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 64: | Línea 64: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para obtener información de DNS en Plonio (Zentyal-lan1-DNS): | |
* Origen: lan1 | * Origen: lan1 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 74: | Línea 74: | ||
===== Reglas para acceder desde la DMZ Externa a la DMZ Interna (Polonio) ===== | ===== Reglas para acceder desde la DMZ Externa a la DMZ Interna (Polonio) ===== | ||
− | + | Reglas (DMZ externa a DMZ interna): | |
* Origen: wan | * Origen: wan | ||
* Destino: dmz | * Destino: dmz | ||
Línea 84: | Línea 84: | ||
===== Reglas para acceder desde la lan2 (Secretaría) a polonio ===== | ===== Reglas para acceder desde la lan2 (Secretaría) a polonio ===== | ||
− | + | Reglas para acceder desde la a lan2 a la web de administración de Zentyal (Zentyal-lan2-web): | |
* Origen: lan2 | * Origen: lan2 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 92: | Línea 92: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para autenticación de usuarios en Zentyal (Zentyal-lan2-389): | |
* Origen: lan2 | * Origen: lan2 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 100: | Línea 100: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para acceder a carpetas compartidas (Zentyal-lan2-445): | |
* Origen: lan2 | * Origen: lan2 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 108: | Línea 108: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para acceder a cambiar contraseña (Zentyal-lan2-8888): | |
* Origen: lan2 | * Origen: lan2 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 116: | Línea 116: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh): | |
* Origen: lan2 | * Origen: lan2 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 124: | Línea 124: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para obtener información de DNS en Plonio (Zentyal-lan2-DNS): | |
* Origen: lan2 | * Origen: lan2 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 134: | Línea 134: | ||
===== Reglas para acceder desde la lan3 (Docentes y públicas) a polonio ===== | ===== Reglas para acceder desde la lan3 (Docentes y públicas) a polonio ===== | ||
− | + | Reglas para autenticación de usuarios en Zentyal (Zentyal-lan3-389): | |
* Origen: lan3 | * Origen: lan3 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 142: | Línea 142: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para acceder a carpetas compartidas (Zentyal-lan3-445): | |
* Origen: lan3 | * Origen: lan3 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 150: | Línea 150: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para acceder a cambiar contraseña (Zentyal-lan3-8888): | |
* Origen: lan3 | * Origen: lan3 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 158: | Línea 158: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para obtener información de DNS en Plonio (Zentyal-lan3-DNS): | |
* Origen: lan3 | * Origen: lan3 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 168: | Línea 168: | ||
===== Reglas para acceder desde la wlan (Wi-Fi) a las carpetas compartidas en Polonio ===== | ===== Reglas para acceder desde la wlan (Wi-Fi) a las carpetas compartidas en Polonio ===== | ||
− | + | Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh): | |
* Origen: lan2 | * Origen: lan2 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 176: | Línea 176: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh): | |
* Origen: lan2 | * Origen: lan2 | ||
* Destino: dmz | * Destino: dmz | ||
Línea 184: | Línea 184: | ||
* Acción: ACCEPT | * Acción: ACCEPT | ||
− | + | Reglas para acceder a cambiar contraseña (Zentyal-wlan-8888): | |
* Origen: wlan | * Origen: wlan | ||
* Destino: dmz | * Destino: dmz | ||
Línea 249: | Línea 249: | ||
== Archivos de configuración == | == Archivos de configuración == | ||
− | Se guardará una copia de seguridad, de las configuracines en /root de | + | Se guardará una copia de seguridad, de las configuracines en /root de paloma.taller.curerocha.edu.uy |
+ | |||
+ | == Referencias == | ||
+ | |||
+ | http://www.fwbuilder.org/4.0/docs/users_guide/ | ||
+ | |||
+ | http://wiki.openwrt.org/doc/uci/firewall | ||
+ | |||
+ | |||
+ | [[Category:Descontinuadas]] |
Revisión actual - 19:19 13 ene 2022
Firewalls a implementar
Tendremos 3 firewalls en la red:
- Garzón
- Paloma
- Polonio
Garzón
En garzón implementamos las siguientes zonas:
- internet: wan
- laboratorio: lan1
- inalámbrica: wlan
- dmz interna: dmz
- secretaría: lan2
- públicas: lan3
Ninguna zona puede enviar tráfico a las demás zonas, salvo casos particulares que veremos más adelante. Se implementa un nat saliente para la zona wan.
Reglas avanzadas:
Reglas para acceder desde la lan1 (Laboratorio) a polonio
Reglas para acceder desde la a lan1 a la web de administración de Zentyal (Zentyal-lan1-web): * Origen: lan1 * Destino: dmz * Protocolo: TCP * Dirección de destino: 10.5.2.2 * Puerto de destino: 443 * Acción: ACCEPT
Reglas para autenticación de usuarios en Zentyal (Zentyal-lan1-389): * Origen: lan1 * Destino: dmz * Protocolo: TCP+UDP * Dirección de destino: 10.5.2.2 * Puerto de destino: 389 * Acción: ACCEPT
Reglas para acceder a carpetas compartidas (Zentyal-lan1-445): * Origen: lan1 * Destino: dmz * Protocolo: TCP+UDP * Dirección de destino: 10.5.2.2 * Puerto de destino: 445 * Acción: ACCEPT
Reglas para acceder a cambiar contraseña (Zentyal-lan1-8888): * Origen: lan1 * Destino: dmz * Protocolo: TCP * Dirección de destino: 10.5.2.2 * Puerto de destino: 8888 * Acción: ACCEPT
Reglas para acceder por ssh a Polonio (Zentyal-lan1-ssh): * Origen: lan1 * Destino: dmz * Protocolo: TCP * Dirección de destino: 10.5.2.2 * Puerto de destino: 22 * Acción: ACCEPT
Reglas para obtener información de DNS en Plonio (Zentyal-lan1-DNS): * Origen: lan1 * Destino: dmz * Protocolo: UDP * Dirección de destino: 10.5.2.2 * Puerto de destino: 53 * Acción: ACCEPT
Reglas para acceder desde la DMZ Externa a la DMZ Interna (Polonio)
Reglas (DMZ externa a DMZ interna): * Origen: wan * Destino: dmz * Dirección de origen: 164.73.234.0/25 * Dirección de destino: 0.0.0.0/0 * Acción: ACCEPT
Reglas para acceder desde la lan2 (Secretaría) a polonio
Reglas para acceder desde la a lan2 a la web de administración de Zentyal (Zentyal-lan2-web): * Origen: lan2 * Destino: dmz * Protocolo: TCP * Dirección de destino: 10.5.2.2 * Puerto de destino: 443 * Acción: ACCEPT
Reglas para autenticación de usuarios en Zentyal (Zentyal-lan2-389): * Origen: lan2 * Destino: dmz * Protocolo: TCP+UDP * Dirección de destino: 10.5.2.2 * Puerto de destino: 389 * Acción: ACCEPT
Reglas para acceder a carpetas compartidas (Zentyal-lan2-445): * Origen: lan2 * Destino: dmz * Protocolo: TCP+UDP * Dirección de destino: 10.5.2.2 * Puerto de destino: 445 * Acción: ACCEPT
Reglas para acceder a cambiar contraseña (Zentyal-lan2-8888): * Origen: lan2 * Destino: dmz * Protocolo: TCP * Dirección de destino: 10.5.2.2 * Puerto de destino: 8888 * Acción: ACCEPT
Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh): * Origen: lan2 * Destino: dmz * Protocolo: TCP * Dirección de destino: 10.5.2.2 * Puerto de destino: 22 * Acción: ACCEPT
Reglas para obtener información de DNS en Plonio (Zentyal-lan2-DNS): * Origen: lan2 * Destino: dmz * Protocolo: UDP * Dirección de destino: 10.5.2.2 * Puerto de destino: 53 * Acción: ACCEPT
Reglas para acceder desde la lan3 (Docentes y públicas) a polonio
Reglas para autenticación de usuarios en Zentyal (Zentyal-lan3-389): * Origen: lan3 * Destino: dmz * Protocolo: TCP+UDP * Dirección de destino: 10.5.2.2 * Puerto de destino: 389 * Acción: ACCEPT
Reglas para acceder a carpetas compartidas (Zentyal-lan3-445): * Origen: lan3 * Destino: dmz * Protocolo: TCP+UDP * Dirección de destino: 10.5.2.2 * Puerto de destino: 445 * Acción: ACCEPT
Reglas para acceder a cambiar contraseña (Zentyal-lan3-8888): * Origen: lan3 * Destino: dmz * Protocolo: TCP * Dirección de destino: 10.5.2.2 * Puerto de destino: 8888 * Acción: ACCEPT
Reglas para obtener información de DNS en Plonio (Zentyal-lan3-DNS): * Origen: lan3 * Destino: dmz * Protocolo: UDP * Dirección de destino: 10.5.2.2 * Puerto de destino: 53 * Acción: ACCEPT
Reglas para acceder desde la wlan (Wi-Fi) a las carpetas compartidas en Polonio
Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh): * Origen: lan2 * Destino: dmz * Protocolo: TCP * Dirección de destino: 10.5.2.2 * Puerto de destino: 445 * Acción: ACCEPT
Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh): * Origen: lan2 * Destino: dmz * Protocolo: TCP * Dirección de destino: 10.5.2.2 * Puerto de destino: 389 * Acción: ACCEPT
Reglas para acceder a cambiar contraseña (Zentyal-wlan-8888): * Origen: wlan * Destino: dmz * Protocolo: TCP * Dirección de destino: 10.5.2.2 * Puerto de destino: 8888 * Acción: ACCEPT
Paloma
Se utilizó la aplicación Firewall Builder para contruir las reglas de iptables, que luego fue exportada al servidor Paloma. Por mas información sobre Firewall Builder ir al siguiente link.
Las reglas que se permitirán entrantes serán:
* http * https * ssh * ICMP * DNS
Las reglas salientes que se permitirán serán:
* ssh * ICMP * http * https * DNS * smtp * NTP
Se adjunta captura de las reglas aplicadas:
Polonio
Se utilizó la aplicación Firewall Builder para contruir las reglas de iptables, que luego fue exportada al servidor Polonio. Por mas información sobre Firewall Builder ir al siguiente link.
Las reglas que se permitirán entrantes serán:
* http * https * https-8888 * ssh * ICMP * DNS * LDAP UDP * LDAP TCP * microsoft-ds UDP * microsoft-ds TCP * NTP
Las reglas salientes que se permitirán serán:
* ssh * ICMP * http * https * DNS * smtp * NTP
Se adjunta captura de las reglas aplicadas:
Archivos de configuración
Se guardará una copia de seguridad, de las configuracines en /root de paloma.taller.curerocha.edu.uy