La primera vez que ingresas al Zentyal este te da la opción de que instales los recursos que necesitas en este caso solo escogeremos Gateway – Your Access to internet. Este paquete lo escogemos es porque tiene lo que necesitamos para la implementación de nuestro firewall y proxy. Cuando escojas lo que necesitas ve hasta la parte de debajo de la página y dale instalar.
Después de la selección del paquete este te preguntara si estas convencido que es el paquete que necesitas. Allí solo dale ok.
Después de darle ok te saldrá un cuadro de bienvenida este cambia para darte la opción de guardar la paquetes a instalar o para abortar la instalación.
Después de tener instalado Zentyal Gateway, vamos a Gestión de Software componentes de Zentyal buscamos firewall lo escogemos y al final de la pagina le damos en instalar.
Después de tener el firewall instalado iremos a configurara las redes lo primero será ponerle a la maquina 3 tarjetas de red 2 de ellas en red interna con diferente nombre para evitar conflictos por eso la que ira conectada a la LAN tendrá ese nombre y la que ira conectada a la DMZ tendrá ese nombre y la ultima tarjeta de red ira en modo adaptador de puente o bridge.
Después de tener las tarjetas de red así procederemos a configurarlas para ello iremos a network/interfaces y pondremos las respectivas IP (cabe decir que la maquina que actuara como LAN va por red interna con el nombre LAN y así mismo ira la DMZ obviamente esta tendrá el nombre DMZ también debo recordarles que estas maquinas tendrán IPs estáticas en el rango que las asignare en el Zentyal).La eth0 actuara como la LAN y tendrá de IP 192.168.100.1 este a la vez será el Gateway de las maquinas pertenecientes a la LAN.
La eth1 actuara como la DMZ y tendrá de IP 192.168.150.1 este será el Gateway de los servicios que prestaran la DMZ
La eth1 actuara como la WAN e ira por DHCP para que nos pueda brindar conexiona internet.
Después de configurar las interfaces vamos a Estado del modulo en este la que haremos será iniciar las interfaces y el firewall las escogemos y una vez este escogidas debemos guardar los cambios.
Recuerden que estamos trabajando en maquinas virtuales que tienen la facilidad de tener varias tarjetas de red, tengan en cuenta también que las maquinas DMZ y LAN están previamente configuradas por ende en este tutorial solo veremos la configuración de el Zentyal.
Después de tener las interfaces arriba lo que haremos será minimizar le navegador ir a la consola administrativa y reiniciaremos las interfaz desde consola para que esta haga la consulta DHCP por la interfaz eth2
Una vez tenemos las interfaces corriendo lo que haremos será crear los objetos con los cuales pondremos las reglas de firewall mas adelante.
Después de estar ahí empezaremos a crear los objetos en este caso empezaremos por el objeto LAN. Nuevo objeto nombre LAN.
Y añadir este creara el objetos allí debes darle en members.
Este te abrirá los objetos de la LAN que por ende estará vacio allí debes darle nuevo.
Este tendrá el mismo nombre LAN y llevara la id de red de la LAN en este caso será la 192.168.100.0/24 después de crear eso solo dale añadir
Después de añadirlo te quedara el objeto de la LAN creado
Esto lo haremos para crear los objetos DMZ y WAN recuerden que la DMZ en mi caso es la 192.168.150.2/24 y la WAN es la red por DHCP en este caso la red que me presta ese servicio es la 192.168.10.0/24.
Después de crearlos con la especificaciones anteriores guardaremos los cambios veras que en la parte superior derecha del navegador abra un botonen rojo esto indica que haz cambiado algo y debes guardarlo.
Después de guardar los cambios procederemos a crear los servicios que utilizaremos para filtrar e el firewall. Para ello vamos a servicios al ingresar a servicios encontraras que ya hay nos creados por defecto esos déjalos ahí ya que te serán de mucha ayuda mas adelante, recuerda que los servicios creados en el Zentyal son los que ya tienes previamente instalados y configurados en tu DMZ y LAN.
Empezaremos por crear el servicio web para ellos solo damos en añade nuevo en nombre pon el nombre del servicio por ejemplo WEB.
Luego de crearlo le daremos clic en configuración.
Ya en configuración le daremos nuevo allí escogeremos que protocolo es en este caso será TCP, el puerto de origen debes dejar cualquiera ya que no sabes de que puertos nos harán peticiones web y el de destino si será 80
El proceso anterior debes hacerlo para la creación de todos los servicios ten en cuenta que el servicio FTP tiene algo diferente ya que este escucha por dos puertos para ello escogemos rango de puertos y ponemos el 20 y el 21 para que este servicio trabaje sin problema alguno
E igualmente pasa lo mismo en el servicio DNS ya que este trabaja bajo los dos protocolos hay que escoger esta función ya que si solo lo pones a escuchar por uno de los protocolos no te resolverá
Para crear el ping sera diferente ya que este es un protocolo y por lo tanto no utiliza puerto.
Cuando termines de crear todos los servicios te deberá quedar una lista más o menos parecida a esta claro esta que puede agregar los servicios que quieras y necesites este es solo un ejemplo.
Después de tener tus servicios listos debes guardar los cambios para que te configuración vaya tomando forma.
Antes de empezar a configurar las reglas de filtrado procederemos a hacer unos cambios en el DNS para que este pueda salir a internet.
Lo que realizaremos será un forward para que este realice consultas recursivas para acceder a internet. Lo que realizaremos será la siguiente en la maquina DMZ tenemos nuestro DNS interno a este será el que se le realicen todas las consultas y este a su vez hará las consultas al DNS externo lo primero será tenerlo previamente configurado aquí les recordare un poco el proceso de instalación.
Lo primero será instalar los paquetes necesarios.
Después de tenerlo descargado procederemos a movernos a las ruta donde tendremos nuestro archivo de zonas para eso ingresamos a la siguiente ruta
Después de estar ahí listaremos para ver que archivos tiene
Ahora copiaremos uno de los archivos para crear nuestras zonas a partir de ese
Después de copiarlo procederemos a editarlo para esto usaremos el editor que más nos guste
En este archivo declararemos las reglas de forward así ten cuidado que de esta configuración de forward depende que tu DNS resuelva bien
Después de esto declararemos nuestras zonas así.
Una vez declaradas y guardado el archivo le daremos los permisos de propietario al root
Ahora listaremos de nuevo para mirar que nuestros archivo si haya quedado con el propietario el root
Después de mirar que si este bien procederemos a crear loa zonas para eso ingresamos a la siguiente ruta.
Allí copiaremos un archivo de named. Local como inversa y directa esto lo hacemos para tener una guía de la configuración de la zona
Después de tenerlas copiadas procederemos a editarlas así.
En esta zona agregaremos los registros correspondientes
Ahora editaremos una zona inversa asi.
A estos dos archivos también le pondremos de propietario como root
Y listaremos para mirar que si haya surgido efecto nuestro cambio
Ahora editaremos el resolv.conf para poner nuestra IP para que este resuelva correctamente.
Después de tener el DNS listo lo reiniciaremos para que tome los cambios efectuados anteriormente.
Después de que reinicie procederemos a darle nslookup para mirar que si resuelva correctamente.
También intentaremos resolver un dominio externo como los es google.com.
Después de tener los servicios listos y el DNS resolviendo adecuadamente lo que haremos será crear las reglas de filtrado para ello iremos a cortafuegos filtrado de paquetes.
Primero empezaremos por las redes internas a Zentyal. Para le daremos configurar reglas este abrirá una pestaña en la cual le daremos nuevo en esta solo aprobaremos el ingreso desde LAN a Zentyal para eso aceptaremos los servicios web, https, ssh el ping desde la DMZ y LAN y la administración. No olvides que el resto de cosas estarán denegadas
Este abrirá la creación de una regla en decisión debemos darle aceptar para poder permitir el acceso desde la LAN a la administración del Zentyal remotamente. En este caso será el servicio https.
Todos las reglas se crean de la misma forma solo es cuestión de administrar un poco mas. Después de crear las reglas en este deberá quedarte algo as
Ahora crearemos las reglas para el tráfico saliente de Zentyal lo que quiere decir la salida a internet. En esta se ingresa de la misma forma que la anterior regla solo que ahora debes aceptar todo para que el Zentyal pueda salir a internet.
Ahora crearemos las reglas para el ingreso de redes externas a el Zentyal en este caso haremos lo mismo que los pasos anteriores
Por ultimo crearemos las reglas para las redes internas debemos decir que estas son las mas importantes
Ya con la configuración anterior puedes tener por terminado tu servicio de firewall.
Me parece interesante tu publicacion voy a echarle un ojo y probarlo, he tenido problemas con la conf de mi firewall, veremos como me va con tu pequño tutorial. Thanks !!
ResponderEliminarLA EXPLICACION ESTA MUY BUENA, CLARO ME GENRO DUDAS PORQUE NO SOY EXPERTA EN EL TEMA... PODRIAS DARNOS TU CORREO?
ResponderEliminarHola yo lo instale pero no me ve todas las placas solo 3. no sabes en donde tengo que confugurar la otra!!!
ResponderEliminar