[Softlibre-edugal] Consulta sobre firewall en Linux CentOS

[Manuel Moran Vaquero]

ATENCIÓN: Mail altamente técnico, si no te gusta, ve a la postdata
directamente, gracias ;)

Hola Vicente!

Sé que hay herramientas gráficas para esto, pero supongo que en
general lo que hacen es configurar un fichero con el que alimentar el
iptables.

Creo que no te voy a ser de mucha ayuda porque yo en particular
configuro el iptables a mano. No sé cómo será con un entorno gráfico
pero lo que sí es seguro es que no va a arreglarte la dificultad
bastante grande que tiene de por sí configurar lo que tienes
(configurarlo bien, se entiende :) porque depende de pensar en TCP/IP
y los programas que yo probé (hace mucho) pensar piensan poco :)

Te pongo lo que yo tengo, por si te es de ayuda y si quieres me pides
la configuración completa por correo privado.

Para seguir estas reglas una vez tienes hecho el iptables (aunque lo
hayas hecho con una herramienta gráfica) es conveniente imprimirse
esto:

http://upload.wikimedia.org/wikipedia/en/7/72/Iptables_packet_traversal.pdf

El 24/10/07, Vicente Martinez de Cestafe Ochoa de Eribe
<gomaran en gmail.com> escribió:
>
> O de
> facelo en CentOS pode parecer matar unha mosca cun canón

¡A mí me parece genial! Es una distro con la que tienes estabilidad y
además sabes que funciona en cualquier servidor certificado para RHEL
(la mayoría) y con 7 años de tranquilidad para actualizaciones.

> servizos. Quero que teña un front-end amigable para configurar
> NAT,,

Para hacerlo rápido con iptables, asumiendo red externa eth0 y red
interna eth1(10.0.0.0)

En /etc/sysconfig/iptables añades en la parte nat:

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
COMMIT

¿Fácil, no? :)


> redirección de portos cara a servidores internos,

Un ejemplo: redirigir el puerto 22 a la máquina interna 10.1.2.3:

-A PREROUTING -d tu_ip_real  -p tcp --dport 22 -j DNAT --to 10.1.2.3

¡Chupao!


> QoS,

Esto no solo lo controla iptables hasta lo que yo sé. Marcas con
iptables y controlas con tc. Para marcar por iptables por ejemplo el
aula 5:

-A FORWARD -s ! 10.0.0.0/8 -d 10.5.0.0/8  -j MARK --set-mark 4

Luego con la utilidad tc crearías el QoS requerido.


> DMZ,

Se hace con reglas habituales (input, forward).


> VPN,

Depende básicamente de aplicaciones (ssh/ppp o muchas otras ya
preparadas) que te integran el equipo como parte de la red interna
como openvpn (viene en CentOS)


> auditoría ...
> e a posibilidade de que un conxunto reducido de usuarios poida
> levantar ou baixar o acceso NAT en cada subrede IP.

Nosotros lo llamamos pasarela y es simplemente un script php que
mediante una web (autentificada para esos usuarios) permite abrir o
cerrar (ejecutando un comando iptables que permita el forward). Si
quieres te paso el código.

Si en vez de NAT tienes proxy, Xavi del IES de Rodeira tiene una
aplicación desarrollada que hasta lo controla por puestos. De momento
nosotros no la hemos implementado (seguimos por NAT, aunque quizás en
un futuro pongamos un proxy transparente)


Igual no te he servido de nada, pero ahí está el ofrecimiento por si
quieres ir tirando de algo...

Salu2


pd. Para los que no gustéis de mails tan técnicos a ver si sacamos
algún hilo sobre otras cosas como por ejemplo software nuevo que
estéis introduciendo en el IES (ahora que las TIC tienen que entrar en
ESO) etc... En mi IES hay gran demanda de software de todo tipo para
la ESO y podíamos comentar aquí que es lo que usáis, en un nuevo
hilo... para ir aprendiendo todos y compartiendo experiencias.


-- 
-------------------------------------------------------------------
Manuel Morán Vaquero (mmv en edu.xunta.es)
http://www.immv.es # PGP public key available