Your NameYour Title
Your Organization (Line #1)Your Organization (Line #2)
SEGURIDAD BASICA EN REDES "FIREWALL CASERO"
Remigio Salvador Sánchez
SEGURIDAD BASICA EN REDES "FIREWALL CASERO"
Your NameYour Title
Your Organization (Line #1)Your Organization (Line #2)
“La generosidad más grande es no apegarte a las cosas o personas”
Antes de comenzar...Servidor DHCPIPTablesSQUIDPreguntas
ContenidoContenido
El problema que se plantea, es el de configurar
una conexión a Internet en un entorno de red
local LAN, mediante la cual todos los
ordenadores de la red (hosts) puedan
conectarse a través de un servidor, mismo que
a su vez realizará funciones de seguridad
(Firewall).
Necesitamos...
Un ordenador que tendrá la función de servidor con dos tarjetas de red Ethernet 10/100 Mbps con sistema operativo gnu/Linux (Distribución Fedora de preferencia)Una red de computadoras que podamos desbaratar.Una conexión contratada de acceso a Internet mediante modem ADSLUn pequeño hub o switch.Conocimientos básicos en redesConocimientos básicos en linux.Mucha paciencia
Empezamos...
ANTES DE COMENZAR...
Deshabilitar Selinux– vi /etc/selinux/config
Parar servicios innecesarios– chkconfig ip6tables off– chkconfig sendmail off– chkconfig netfs off
Configurar nuestro hostname– vi /etc/sysconfig/network
configurar tarjetas de red (eth0 y p1p1)– ETH0 LA TARJETA QUE VIENE DE NUESTRO
MODEM (ip dinámica)– P1P1P LA TARJETA QUE SE CONECTA AL SWITCH
(PUENTE) (ip estática 192.168.0.1)
less /etc/sysconfig/network-scripts/ifcfg-INTERNET less /etc/sysconfig/network-scripts/ifcfg-LAN
Habilitar desde el inicio:chkconfig network on
service network restart
Configurar la redConfigurar la red
Configurar la redConfigurar la red
Activando el Router.Activando el bit de forwarding
– vi /etc/sysctl.conf
Ejecutar sysctl -p para que tome el cambio de inmediato
Iptables -Fiptables -t nat -Fiptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
service iptables save
chkconfig iptables on
IPTABLESIPTABLES
DHCPDHCP
yum install dhcp -y
Archivo de configuración:– vi /etc/dhcp/dhcpd.conf
authoritative;ddns-update-style none;deny client-updates;
subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.100 192.168.0.120; default-lease-time 6000; max-lease-time 7200; option domain-name "pandora.com"; option subnet-mask 255.255.255.0; option broadcast-address 192.168.0.255; option routers 192.168.0.1; option domain-name-server 192.168.1.254 option time-offset -18000;}
DHCPDHCP
DHCP
/etc/sysconfig/dhcpd A configuración debe quedar así DHCPDARGS="p1p1"
service dhcpd restart
tail -100 /var/log/messages
chkconfig dhcpd on
SQUID
yum install squid -y
vi /etc/squid/squid.conf– visible_hostname proxy.pandora.com– acl manager proto cache_object– acl localhost src 127.0.0.1/32 ::1– acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1– acl localnet src 10.0.0.0/8– acl localnet src 172.16.0.0/12– acl localnet src 192.168.0.0/16– acl localnet src fc00::/7 – acl localnet src fe80::/10
SQUID
– acl SSL_ports port 443– acl Safe_ports port 80 # http– acl Safe_ports port 21 # ftp– acl Safe_ports port 443 # https– acl Safe_ports port 70 # gopher– acl Safe_ports port 210 # wais– acl Safe_ports port 1025-65535 # unregistered ports– acl Safe_ports port 280 # http-mgmt– acl Safe_ports port 488 # gss-http– acl Safe_ports port 591 # filemaker– acl Safe_ports port 777 # multiling http
SQUID
– acl CONNECT method CONNECT– acl url_denegadas url_regex "/etc/squid/PNP" – acl url_denegadas "/etc/squid/exts" – http_access deny url_denegadas– http_access accept all– http_access allow manager localhost– http_access deny manager– http_access deny !Safe_ports– http_access deny CONNECT !SSL_ports– http_access allow localnet– http_access allow localhost
SQUID
– http_access deny all– #http_port 3128 – http_port 192.168.0.1:3128 transparent– coredump_dir /var/spool/squid– refresh_pattern ^ftp: 1440 20% 10080– refresh_pattern ^gopher: 1440 0%1440– refresh_pattern -i (/cgi-bin/|\?) 0 0%0– refresh_pattern . 0 20% 4320
touch /etc/squid/PNPvi /etc/squid/PNP
touch /etc/squid/extsvi /etc/squid/exts
SQUID
service squid restart
chkconfig squid on
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
service iptables save
tail /var/log/squid/access.logtail /var/log/messages
PREGUNTAS
PreguntasDudas
Comentarios
[email protected]@remitos
http://vkn-side.blogspot.comhttp://www.slideshare.net/remitos
Dedicado:A mi familia
yamigos
Gracias:A los organizadores por las facilidades
ya ustedes por su atencion