Diferencia entre revisiones de «Firewall»

De CURE - Informática
Ir a la navegación Ir a la búsqueda
 
(No se muestran 9 ediciones intermedias de 2 usuarios)
Línea 24: Línea 24:
 
===== Reglas para acceder desde la lan1 (Laboratorio) a polonio =====
 
===== Reglas para acceder desde la lan1 (Laboratorio) a polonio =====
  
  Regas para acceder desde la a lan1 a la web de administración de Zentyal (Zentyal-lan1-web):
+
  Reglas para acceder desde la a lan1 a la web de administración de Zentyal (Zentyal-lan1-web):
 
  * Origen: lan1  
 
  * Origen: lan1  
 
  * Destino: dmz
 
  * Destino: dmz
Línea 32: Línea 32:
 
  * Acción: ACCEPT
 
  * Acción: ACCEPT
  
  Regas para autenticación de usuarios en Zentyal (Zentyal-lan1-389):
+
  Reglas para autenticación de usuarios en Zentyal (Zentyal-lan1-389):
 
  * Origen: lan1  
 
  * Origen: lan1  
 
  * Destino: dmz
 
  * Destino: dmz
Línea 40: Línea 40:
 
  * Acción: ACCEPT
 
  * Acción: ACCEPT
  
  Regas para acceder a carpetas compartidas (Zentyal-lan1-445):
+
  Reglas para acceder a carpetas compartidas (Zentyal-lan1-445):
 
  * Origen: lan1  
 
  * Origen: lan1  
 
  * Destino: dmz
 
  * Destino: dmz
Línea 48: Línea 48:
 
  * Acción: ACCEPT
 
  * Acción: ACCEPT
  
  Regas para acceder por ssh a Polonio (Zentyal-lan1-ssh):
+
  Reglas para acceder a cambiar contraseña (Zentyal-lan1-8888):
 +
* Origen: lan1
 +
* Destino: dmz
 +
* Protocolo: TCP
 +
* Dirección de destino: 10.5.2.2
 +
* Puerto de destino: 8888
 +
* Acción: ACCEPT
 +
 
 +
Reglas para acceder por ssh a Polonio (Zentyal-lan1-ssh):
 
  * Origen: lan1  
 
  * Origen: lan1  
 
  * Destino: dmz
 
  * Destino: dmz
Línea 56: Línea 64:
 
  * Acción: ACCEPT
 
  * Acción: ACCEPT
  
  Regas para obtener información de DNS en Plonio (Zentyal-lan1-DNS):
+
  Reglas para obtener información de DNS en Plonio (Zentyal-lan1-DNS):
 
  * Origen: lan1  
 
  * Origen: lan1  
 
  * Destino: dmz
 
  * Destino: dmz
Línea 66: Línea 74:
 
===== Reglas para acceder desde la DMZ Externa a la DMZ Interna (Polonio) =====
 
===== Reglas para acceder desde la DMZ Externa a la DMZ Interna (Polonio) =====
  
  Regas (DMZ externa a DMZ interna):
+
  Reglas (DMZ externa a DMZ interna):
 
  * Origen: wan   
 
  * Origen: wan   
 
  * Destino: dmz
 
  * Destino: dmz
Línea 76: Línea 84:
 
===== Reglas para acceder desde la lan2 (Secretaría) a polonio =====
 
===== Reglas para acceder desde la lan2 (Secretaría) a polonio =====
  
  Regas para acceder desde la a lan2 a la web de administración de Zentyal (Zentyal-lan2-web):
+
  Reglas para acceder desde la a lan2 a la web de administración de Zentyal (Zentyal-lan2-web):
 
  * Origen: lan2  
 
  * Origen: lan2  
 
  * Destino: dmz
 
  * Destino: dmz
Línea 84: Línea 92:
 
  * Acción: ACCEPT
 
  * Acción: ACCEPT
  
  Regas para autenticación de usuarios en Zentyal (Zentyal-lan2-389):
+
  Reglas para autenticación de usuarios en Zentyal (Zentyal-lan2-389):
 
  * Origen: lan2  
 
  * Origen: lan2  
 
  * Destino: dmz
 
  * Destino: dmz
Línea 92: Línea 100:
 
  * Acción: ACCEPT
 
  * Acción: ACCEPT
  
  Regas para acceder a carpetas compartidas (Zentyal-lan2-445):
+
  Reglas para acceder a carpetas compartidas (Zentyal-lan2-445):
 
  * Origen: lan2  
 
  * Origen: lan2  
 
  * Destino: dmz
 
  * Destino: dmz
Línea 100: Línea 108:
 
  * Acción: ACCEPT
 
  * Acción: ACCEPT
  
  Regas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
+
  Reglas para acceder a cambiar contraseña (Zentyal-lan2-8888):
 +
* Origen: lan2
 +
* Destino: dmz
 +
* Protocolo: TCP
 +
* Dirección de destino: 10.5.2.2
 +
* Puerto de destino: 8888
 +
* Acción: ACCEPT
 +
 
 +
Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
 
  * Origen: lan2
 
  * Origen: lan2
 
  * Destino: dmz
 
  * Destino: dmz
Línea 108: Línea 124:
 
  * Acción: ACCEPT
 
  * Acción: ACCEPT
  
  Regas para obtener información de DNS en Plonio (Zentyal-lan2-DNS):
+
  Reglas para obtener información de DNS en Plonio (Zentyal-lan2-DNS):
 
  * Origen: lan2
 
  * Origen: lan2
 
  * Destino: dmz
 
  * Destino: dmz
Línea 118: Línea 134:
 
===== Reglas para acceder desde la lan3 (Docentes y públicas) a polonio =====
 
===== Reglas para acceder desde la lan3 (Docentes y públicas) a polonio =====
  
  Regas para autenticación de usuarios en Zentyal (Zentyal-lan3-389):
+
  Reglas para autenticación de usuarios en Zentyal (Zentyal-lan3-389):
 
  * Origen: lan3
 
  * Origen: lan3
 
  * Destino: dmz
 
  * Destino: dmz
Línea 126: Línea 142:
 
  * Acción: ACCEPT
 
  * Acción: ACCEPT
  
  Regas para acceder a carpetas compartidas (Zentyal-lan3-445):
+
  Reglas para acceder a carpetas compartidas (Zentyal-lan3-445):
 
  * Origen: lan3  
 
  * Origen: lan3  
 
  * Destino: dmz
 
  * Destino: dmz
Línea 134: Línea 150:
 
  * Acción: ACCEPT
 
  * Acción: ACCEPT
  
  Regas para obtener información de DNS en Plonio (Zentyal-lan3-DNS):
+
  Reglas para acceder a cambiar contraseña (Zentyal-lan3-8888):
 +
* Origen: lan3
 +
* Destino: dmz
 +
* Protocolo: TCP
 +
* Dirección de destino: 10.5.2.2
 +
* Puerto de destino: 8888
 +
* Acción: ACCEPT
 +
 
 +
Reglas para obtener información de DNS en Plonio (Zentyal-lan3-DNS):
 
  * Origen: lan3
 
  * Origen: lan3
 
  * Destino: dmz
 
  * Destino: dmz
Línea 144: Línea 168:
 
===== Reglas para acceder desde la wlan (Wi-Fi) a las carpetas compartidas en Polonio =====
 
===== Reglas para acceder desde la wlan (Wi-Fi) a las carpetas compartidas en Polonio =====
  
  Regas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
+
  Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
 
  * Origen: lan2
 
  * Origen: lan2
 
  * Destino: dmz
 
  * Destino: dmz
Línea 152: Línea 176:
 
  * Acción: ACCEPT  
 
  * Acción: ACCEPT  
  
  Regas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
+
  Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
 
  * Origen: lan2
 
  * Origen: lan2
 
  * Destino: dmz
 
  * Destino: dmz
Línea 158: Línea 182:
 
  * Dirección de destino: 10.5.2.2
 
  * Dirección de destino: 10.5.2.2
 
  * Puerto de destino: 389
 
  * Puerto de destino: 389
  * Acción: ACCEPT  
+
  * Acción: ACCEPT
  
 +
Reglas para acceder a cambiar contraseña (Zentyal-wlan-8888):
 +
* Origen: wlan
 +
* Destino: dmz
 +
* Protocolo: TCP
 +
* Dirección de destino: 10.5.2.2
 +
* Puerto de destino: 8888
 +
* Acción: ACCEPT
  
 
=== Paloma ===
 
=== Paloma ===
Línea 194: Línea 225:
 
  * http
 
  * http
 
  * https
 
  * https
 +
* https-8888
 
  * ssh
 
  * ssh
 
  * ICMP
 
  * ICMP
Línea 213: Línea 245:
  
 
Se adjunta captura de las reglas aplicadas:
 
Se adjunta captura de las reglas aplicadas:
 +
 
[[Archivo:polonio-firewall.png]]
 
[[Archivo:polonio-firewall.png]]
 +
 +
== Archivos de configuración ==
 +
Se guardará una copia de seguridad, de las configuracines en /root de paloma.taller.curerocha.edu.uy
 +
 +
== Referencias ==
 +
 +
http://www.fwbuilder.org/4.0/docs/users_guide/
 +
 +
http://wiki.openwrt.org/doc/uci/firewall
 +
 +
 +
[[Category:Descontinuadas]]

Revisión actual - 19:19 13 ene 2022

Firewalls a implementar

Tendremos 3 firewalls en la red:

  • Garzón
  • Paloma
  • Polonio

Garzón

En garzón implementamos las siguientes zonas:

  • internet: wan
  • laboratorio: lan1
  • inalámbrica: wlan
  • dmz interna: dmz
  • secretaría: lan2
  • públicas: lan3

Ninguna zona puede enviar tráfico a las demás zonas, salvo casos particulares que veremos más adelante. Se implementa un nat saliente para la zona wan.


Reglas avanzadas:

Reglas para acceder desde la lan1 (Laboratorio) a polonio
Reglas para acceder desde la a lan1 a la web de administración de Zentyal (Zentyal-lan1-web):
* Origen: lan1 
* Destino: dmz
* Protocolo: TCP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 443
* Acción: ACCEPT
Reglas para autenticación de usuarios en Zentyal (Zentyal-lan1-389):
* Origen: lan1 
* Destino: dmz
* Protocolo: TCP+UDP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 389
* Acción: ACCEPT
Reglas para acceder a carpetas compartidas (Zentyal-lan1-445):
* Origen: lan1 
* Destino: dmz
* Protocolo: TCP+UDP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 445
* Acción: ACCEPT
Reglas para acceder a cambiar contraseña (Zentyal-lan1-8888):
* Origen: lan1 
* Destino: dmz
* Protocolo: TCP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 8888
* Acción: ACCEPT
Reglas para acceder por ssh a Polonio (Zentyal-lan1-ssh):
* Origen: lan1 
* Destino: dmz
* Protocolo: TCP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 22
* Acción: ACCEPT
Reglas para obtener información de DNS en Plonio (Zentyal-lan1-DNS):
* Origen: lan1 
* Destino: dmz
* Protocolo: UDP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 53
* Acción: ACCEPT
Reglas para acceder desde la DMZ Externa a la DMZ Interna (Polonio)
Reglas (DMZ externa a DMZ interna):
* Origen: wan  
* Destino: dmz
* Dirección de origen: 164.73.234.0/25
* Dirección de destino: 0.0.0.0/0
* Acción: ACCEPT


Reglas para acceder desde la lan2 (Secretaría) a polonio
Reglas para acceder desde la a lan2 a la web de administración de Zentyal (Zentyal-lan2-web):
* Origen: lan2 
* Destino: dmz
* Protocolo: TCP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 443
* Acción: ACCEPT
Reglas para autenticación de usuarios en Zentyal (Zentyal-lan2-389):
* Origen: lan2 
* Destino: dmz
* Protocolo: TCP+UDP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 389
* Acción: ACCEPT
Reglas para acceder a carpetas compartidas (Zentyal-lan2-445):
* Origen: lan2 
* Destino: dmz
* Protocolo: TCP+UDP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 445
* Acción: ACCEPT
Reglas para acceder a cambiar contraseña (Zentyal-lan2-8888):
* Origen: lan2
* Destino: dmz
* Protocolo: TCP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 8888
* Acción: ACCEPT
Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
* Origen: lan2
* Destino: dmz
* Protocolo: TCP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 22
* Acción: ACCEPT
Reglas para obtener información de DNS en Plonio (Zentyal-lan2-DNS):
* Origen: lan2
* Destino: dmz
* Protocolo: UDP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 53
* Acción: ACCEPT
Reglas para acceder desde la lan3 (Docentes y públicas) a polonio
Reglas para autenticación de usuarios en Zentyal (Zentyal-lan3-389):
* Origen: lan3
* Destino: dmz
* Protocolo: TCP+UDP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 389
* Acción: ACCEPT
Reglas para acceder a carpetas compartidas (Zentyal-lan3-445):
* Origen: lan3 
* Destino: dmz
* Protocolo: TCP+UDP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 445
* Acción: ACCEPT
Reglas para acceder a cambiar contraseña (Zentyal-lan3-8888):
* Origen: lan3 
* Destino: dmz
* Protocolo: TCP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 8888
* Acción: ACCEPT
Reglas para obtener información de DNS en Plonio (Zentyal-lan3-DNS):
* Origen: lan3
* Destino: dmz
* Protocolo: UDP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 53
* Acción: ACCEPT
Reglas para acceder desde la wlan (Wi-Fi) a las carpetas compartidas en Polonio
Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
* Origen: lan2
* Destino: dmz
* Protocolo: TCP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 445
* Acción: ACCEPT 
Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
* Origen: lan2
* Destino: dmz
* Protocolo: TCP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 389
* Acción: ACCEPT
Reglas para acceder a cambiar contraseña (Zentyal-wlan-8888):
* Origen: wlan 
* Destino: dmz
* Protocolo: TCP
* Dirección de destino: 10.5.2.2
* Puerto de destino: 8888
* Acción: ACCEPT

Paloma

Se utilizó la aplicación Firewall Builder para contruir las reglas de iptables, que luego fue exportada al servidor Paloma. Por mas información sobre Firewall Builder ir al siguiente link.

Las reglas que se permitirán entrantes serán:

* http
* https
* ssh
* ICMP
* DNS

Las reglas salientes que se permitirán serán:

* ssh
* ICMP
* http
* https
* DNS
* smtp
* NTP

Se adjunta captura de las reglas aplicadas:

Paloma-firewall.png

Polonio

Se utilizó la aplicación Firewall Builder para contruir las reglas de iptables, que luego fue exportada al servidor Polonio. Por mas información sobre Firewall Builder ir al siguiente link.

Las reglas que se permitirán entrantes serán:

* http
* https
* https-8888
* ssh
* ICMP
* DNS
* LDAP UDP
* LDAP TCP
* microsoft-ds UDP
* microsoft-ds TCP
* NTP

Las reglas salientes que se permitirán serán:

* ssh
* ICMP
* http
* https
* DNS
* smtp
* NTP

Se adjunta captura de las reglas aplicadas:

Polonio-firewall.png

Archivos de configuración

Se guardará una copia de seguridad, de las configuracines en /root de paloma.taller.curerocha.edu.uy

Referencias

http://www.fwbuilder.org/4.0/docs/users_guide/

http://wiki.openwrt.org/doc/uci/firewall