Embed Size (px)
Citation preview
Computación en la nube para el Interior - Tareas #6000
Tareas # 5929 (En curso): Nueva plataforma de servidores
Instalar el firewall Mate
06/26/2018 02:48 PM - Daniel Viñar Ulriksen
Status: Resuelta Start date: 06/26/2018
Priority: Normal Due date:
Assignee: Daniel Viñar Ulriksen % Done: 60%
Category: Estimated time: 0.00 hour
Target version: Spent time: 86.00 hours
Description
Para el firewall usamos un servidor 1U disponible en CCI y lo denominamos [[Mate]].
Como appliance de cortafuegos, estuvimos mirando un poco de documentación sobre pfsense, su origen por fork en m0n0wall y otros
forks de la familia, y vamos a probar OPNSense
History
#1 - 06/26/2018 08:22 PM - Daniel Viñar Ulriksen
- Status changed from Nueva to En curso
- % Done changed from 0 to 10
Actualizado el firmware del servidor a la última versión 2.5.
#2 - 06/26/2018 08:27 PM - Daniel Viñar Ulriksen
Descargado el opnsense, y vamos paso a paso:
- OjO: luego de copiar la imagen a un pendrive, éste no parece contener nada,
- no obstante arranca, en una configuración live
- Por omisión, opnsense está configurado en enrutador,
- accedemos sin problema a la interfaz web y otras configuraciones, a través de la IP LAN
- para instalarlo, hay que ingresar con el usuario "installer",
- instalamos el opnsense en el servidor, y ahora tenemos que lograr convertir la configuración a bridge
#3 - 07/26/2018 02:04 PM - Daniel Viñar Ulriksen
La configuración en bridge parece tener sus diferencias entre lo documentado y la versión actual, auqnque también experimentamos problemas con
nuestro entorno de reproducción de la red 164.73.98/24 con viejos routercitos personales.
Empezamos de nuevo paso a paso, documentando:
1. Por omisión el opnsense viene en enrutador, cliente DHCP en la interface WAN, servidor DHCP sobre la IP 192.168.1.1/24 en la interfaz LAN,
2. Ingresamos en consola del servidor con el acceso por omisión (root/opnsense). Opción 3: cambiamos enseguida la contraseña por omisión,
3. podríamos desde consola modificar la IP, probemos conectarnos primero, poniendo una dirección en 192.168.1/24 al cliente,
4. el acceso web https://192.168.1.1 empieza por un Wizard, primera vez que veo donce personalizar el OPNsense.localdomain. Corramos el asistente,
5. sorry, no Spanish for the GUI,
6. El wizard solicita diversos parámetros (resolvedores, NS, servidores de tiempo, contraseña admin, etc.) pero sólo permite la configuración de red en
enrutador, no en puente. completamos el wizard y aplicamos la configuración.
02/21/2020 1/3
#4 - 07/26/2018 05:29 PM - Daniel Viñar Ulriksen
Instalación por wizard terminada, conectado a la pata interna del firewall con su dirección IP objetivo, pasmos a aplicar el howto para configurar un
transparent filtering bridge
1. Desactivamos el NAT saliente (sin completar con "Apply changeS", como documentado), todo ok,
2. Activamos los filtros de paquetes por las interfaces puente y la desactivamos en sus puertos miembros, todo ok también,
3. Creamos el bridge, todo ok,
4. Configuramos una interfaz, para evitar conflictos, como le pusimos la IP de prod (164.73.98.2) a la interfaz LAN, cambiamos dos veces, poniendo
otra IP para empezar y suprimiendo la IP de la interfaz LAN después. De paso también cambiamos los nombres de los puertos, que llmamos: RAU la
externa y NUBE la interna.
5. La desactivación de reglas de filtrado de IPs truchas también es casi igual,
6. Desactivar el DHCP en la LAN, ok,
7. Reglas que abren el firewall Agregamos las reglas en la interfaz puente y en la interfaz WAN (aunque esta última no debería tener efecto, por los
tuneables anteriores)
8. Desactivar las reglas anti-bloqueo. Diferencia: la opción está en "Advanced" (bastante abajo), no en "Admin Access".
9. Tipo de interfaces LAN y WAN a none todo ok,
10. Concluimos aplicando los cambios
Todo parece andar... mientras estamos conectados todos a un mismo pequeño router (con IP .98.1, y gestión del DHCP y de un NAT para salir, el
firewall conectado desde su pata LAN). Pero en cuanto paso la pata interna y mi máquina a un pequeño switch sólo capa 2 y dejo la interfaz externa en el
pequeño router precedente, el firewall parece trancarse:
- desde el fw Mate a mi compu, ping funciona perfecto,
- desde mi máquina (.98.100) al router no tengo nada de red: ni ping, ni ssh ni https. No obstante el FW ve los ping que llegan,
- el fw funciona sin problema como bridge, desde mi máquina atras del mismo llego a todo internet.
Aunque reinicie todos los servicios y máquinas, no anda.
#5 - 08/01/2018 02:28 PM - Daniel Viñar Ulriksen
- % Done changed from 10 to 40
El firewall parece bien instalado, cuando se lo accede solo desde una de las dos patas del puente. Pero,
[[Plataforma_de_integración_de_la_plataforma#Cortafuegos|cuando se lo configura efectivamente físicamente en puente]], no logramos ni accederlo ni
acceder en IP al otro lado del switch. No obstante, desde el firewall mismo, se llega tanto a internet como a la estación de trabajo interna. Y, desde la
estación de trabajo, se llega en capa 2 (arping) hasta el firtewall mismo y hasta el otro lado del firewall, a la pasarela.
#6 - 08/02/2018 06:34 PM - Daniel Viñar Ulriksen
- Status changed from En curso to Resuelta
- % Done changed from 40 to 60
Tráfico TCP a través del firewall resuelto. Con esto lo podemos llevar a SeCIU y ponerlo en producción.
Era cosa de NO definir una "Upstram Gateway" en la interfaz bridge.
No obstante, el tráfico de ciertos paquetes es algo extraño. Empezando por el ping:
- llego a la gateway:
ulvida@bourdieu:~$ ping 164.73.98.1
PING 164.73.98.1 (164.73.98.1) 56(84) bytes of data.
64 bytes from 164.73.98.1: icmp_seq=1 ttl=252 time=1.30 ms
64 bytes from 164.73.98.1: icmp_seq=2 ttl=252 time=2.07 ms
02/21/2020 2/3
64 bytes from 164.73.98.1: icmp_seq=3 ttl=252 time=1.66 ms
^C
--- 164.73.98.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 1.307/1.683/2.077/0.316 ms
Pero no llego ni al mismo firewall (.2), ni a otra IP de la misma red pero situada del otro lado del bridge (yo soy la .101 y me dirijo ala .100):
ulvida@bourdieu:~$ ping 164.73.98.100
PING 164.73.98.100 (164.73.98.100) 56(84) bytes of data.
^C
--- 164.73.98.100 ping statistics ---
24 packets transmitted, 0 received, 100% packet loss, time 23552ms
ulvida@bourdieu:~$ ping 164.73.98.2
PING 164.73.98.2 (164.73.98.2) 56(84) bytes of data.
^C
--- 164.73.98.2 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4088ms
Haciendo ping a la .100, con tcpdump, no veo pasar buena parte de los paquetes, con cosas algo bizarras según la configuracion.
02/21/2020 3/3
