Archivo de configuracin /etc/shorewall/shorewall.conf En ste se definen, principalmente, dos parmetros. STARTUP_ENABLED y CLAMPMSS. STARTUP_ENABLED se utiliza para activar Shorewall.

De modo predefinido est desact ivado, solo se necesita cambiar No por Yes. STARTUP_ENABLED=Yes CLAMPMSS se utiliza en conexiones tipo PPP (PPTP o PPPoE) y sirve para limitar e l MSS (acrnimo de Maximum Segment Size que significa Mximo Tamao de Segmento). Camb iando el valor No por Yes, Shorewall calcular el MSS ms apropiado para la conexin. Si se es osado, puede tambin especificarse un nmero en paquetes SYN. La recomendac in es establecer Yes si se cuenta con un enlace tipo PPP. CLAMPMSS=Yes -------------------------------------Archivo de zonas /etc/shorewall/zones -------------------------------------Este archivo se utiliza para definir las zonas que se administrarn con Shorewall y el tipo de zona (firewall, ipv4 o ipsec). La zona fw est presente en el archivo /etc/shorewall.conf como configuracin predefinida. En el siguiente ejemplo se reg istrarn las zonas de Internet (net), Red Local (loc) y Zona Desmilitarizada (dmz) : #ZONE DISPLAY OPTIONS fw firewall net ipv4 loc ipv4 dmz ipv4 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

----------------------------------------------Archivo de interfaces /etc/shorewall/interfaces ----------------------------------------------En ste se establecen cuales sern las interfaces para las tres diferentes zonas. Se establecen las interfaces que corresponden a la Internet, Zona Desmilitarizada DMZ y Red Local. En el siguiente ejemplo, se cuenta con una interfaz ppp0 para acceder hacia Internet, una interfaz eth0 para acceder hacia la LAN y una interfaz eth1 para acceder hac ia la DMZ y en todas se solicita se calcule automticamente la direccin de transmisin (Broadcast): #ZONE INTERFACE net ppp0 loc eth0 dmz eth1 #LAST LINE -- ADD YOUR BROADCAST OPTIONS GATEWAY detect detect detect ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

En el siguiente ejemplo, se cuenta con una interfaz eth0 para acceder hacia Inte rnet, una interfaz eth1 para acceder hacia la LAN y una interfaz eth2 para acced er hacia la DMZ y en todas se solicita se calcule automticamente la direccin de trans misin (Broadcast): #ZONE INTERFACE BROADCAST OPTIONS GATEWAY

net eth0 loc eth1 dmz eth2 #LAST LINE -- ADD YOUR

detect detect detect ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Hay una cuarta zona implcita que corresponde al cortafuegos mismo y que se denomi na fw. Si acaso hubiera un servicio de DHCP, sea como cliente, como servidor o como int ermediario, en alguna de las interfaces, se debe aadir la opcin dhcp para permitir la comunicacin requerida para este servicio. En el siguiente ejemplo el anfitrin d onde opera el muro cortafuegos obtiene su direccin IP, para la interfaz ppp0, a travs del servicio DHCP del ISP; en este mismo anfitrin opera simultneamente un servidor DHCP, el cual es utilizado en la red de rea local para asignar direcciones IP; por todo lo anterior se debe activar la opcin DHCP para las inter faces ppp0 y eth1, que correspondientemente son utilizadas por la zona de Intern et y la red de rea local, pero no es necesario hacerlo para la interfaz eth2 que es ut ilizada para la zona de la DMZ: #ZONE INTERFACE net ppp0 loc eth1 dmz eth2 #LAST LINE -- ADD YOUR BROADCAST OPTIONS GATEWAY detect dhcp detect dhcp detect ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

--------------------------------------------------Archivo de configuracin /etc/shorewall/policy --------------------------------------------------En este archivo se establece como se acceder desde una zona hacia otra y hacia la zona de Internet. #SOURCE DEST loc net dmz net fw net net all all all #LAST LINE -- ADD YOUR POLICY ACCEPT ACCEPT ACCEPT DROP REJECT ENTRIES LOG LIMIT:BURST

info info BEFORE THIS ONE -- DO NOT REMOVE

Lo anterior hace lo siguiente: 1. La zona de la red local puede acceder hacia la zona de Internet. 2. La zona de la DMZ puede acceder hacia la zona de Internet. 3. El cortafuegos mismo puede acceder hacia la zona de Internet. 4. Se impiden conexiones desde Internet hacia el resto de las zonas. 5. Se establece una poltica de rechazar conexiones para todo lo que se haya omitido. Todo lo anterior permite el paso entre las diversas zonas hacia Internet, lo cua l no es deseable si se quiere mantener una poltica estricta de seguridad. La reco mendacin es cerrar todo hacia todo e ir abriendo el trfico de acuerdo a como se va ya requiriendo. Es decir, utilizar algo como lo siguiente: #SOURCE net all DEST all all POLICY LOG DROP info REJECT info LIMIT:BURST

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Lo anterior bloquea todo el trfico desde donde sea a donde sea. Si es necesario r ealizar pruebas de diagnstico desde el cortafuegos hacia Internet para probar con ectividad y acceso hacia diversos protocolos, se puede utilizar lo siguiente: #SOURCE DEST fw net net all all all #LAST LINE -- ADD YOUR POLICY ACCEPT DROP REJECT ENTRIES LOG LIMIT:BURST

info info BEFORE THIS ONE -- DO NOT REMOVE

Lo anterior permite al propio cortafuegos acceder hacia la zona de Internet. Est a sera la poltica ms relajada que se pudiera recomendar para mantener un nivel de seguridad aceptable. --------------------------------------------------Archivo de nat o mascarade /etc/shorewall/masq --------------------------------------------------Se utiliza para definir que a travs de que interfaz o interfaces se habilitar enma scaramiento o NAT y para que interfaz o interfaces o redes se aplicar dicho enmascaramiento. En el siguiente ejemplo, se realizar enmascaramiento a travs de l a interfaz ppp0 para las redes que acceden desde las interfaces eth0 y eth1: #INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC ppp0 eth0 ppp0 eth1 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE En el siguiente ejemplo, se realizar enmascaramiento a travs de la interfaz eth0 p ara las redes 192.168.0.0/24 y 192.168.1.0/24: #INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC eth0 192.168.0.0/24 eth0 192.168.1.0/24 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Tambin es posible hacer NAT solamente hacia una IP en particular y para un solo p rotocolo en particular. En el siguiente ejemplo se hace NAT a travs de la interfaz ppp0 para la direccin 192.168.3.25 que accede desde la interfaz eth1 y s olo se le permitir hacer NAT de los protocolos smtp y pop3. Los nombres de los servicios se asignan de acuerdo a como estn listados en el arc hivo /etc/services. #INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC ppp0 eth1 192.168.3.25 tcp 25,110 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE --------------------------------------------------Archivo de reglas /etc/shorewall/rules --------------------------------------------------Todos los puertos estn cerrados de modo predefinido y es en este archivo donde se habilitan los puertos necesarios. Hay diversas funciones que pueden realizarse. ACCEPT La accin ACCEPT se hace para especificar si se permiten conexiones desde o hacia una(s) zona (s) un protocolo(s) y puerto(s) en particular. En el siguiente ejemp lo se permiten conexiones desde Internet hacia el puerto 80 (www), 25 (smtp) y 1

10 (pop3). Los nombres de los servicios se asignan de acuerdo a como estn listado s en el archivo /etc/services. #ACTION SOURCE DEST PROTO DEST # PORT ACCEPT net fw tcp 80,25,110 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE REDIRECT La accin REDIRECT permite redirigir peticiones hacia un puerto en particular. Muy til cuando se quieren redirigir peticiones para HTTP (puerto 80) y se quiere que estas pasen a travs de un Servidor Intermediario (Proxy) como Squid . En el siguiente ejemplo las peticiones hechas desde la red local y desde la DMZ sern redirigidas hacia el puerto 8080 del cortafuegos, en donde hay un Servidor Intermediario (Proxy) configurado de modo transparente. #ACTION SOURCE # REDIRECT loc REDIRECT dmz #LAST LINE -- ADD YOUR ENTRIES DEST PORT 8080 tcp 80 8080 tcp 80 BEFORE THIS ONE -- DO NOT REMOVE DEST PROTO

DNAT La accin DNAT se utiliza para reenviar peticiones desde un puerto del cortafuegos hacia una IP y puerto en particular tanto en la red local como en la DMZ. Cabe destacar que para que el DNAT funcion se necesita que: Est habilitado el reenvo de paquetes en /etc/sysconfig/sysctl.cfg y /etc/s horewall/shorewall.conf Los equipos hacia los que se est haciendo DNAT utilicen como puerta de en lace al cortafuegos desde sus correspondientes zonas. En el siguiente ejemplo, se hace DNAT desde la zona de Internet para HTTP (puert o 80), SMTP (puerto 25) y POP3 (puerto 110) por TCP y DNS (puerto 53) por TCP y UDP hacia la IP 10.10.10.28 localizada en la zona de la Red Local. #ACTION SOURCE # DNAT net DNAT net #LAST LINE -- ADD YOUR ENTRIES Ejemplos diversos de reglas. En el siguiente ejemplo se permite a la zona de Red Local el acceso hacia el pue rto 22 (SSH) de cualquier equipo dentro de la DMZ: #ACTION SOURCE DEST PROTO DEST # PORT ACCEPT loc dmz tcp 22 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE En el siguiente ejemplo se permite solo a la direccin 192.168.2.34 de zona de Red Local el acceso hacia el puerto 22 (SSH) de cualquier equipo dentro de la DMZ: DEST PORT dmz:10.10.10.28 tcp 80,25,110,53 dmz:10.10.10.28 udp 53 BEFORE THIS ONE -- DO NOT REMOVE DEST PROTO

#ACTION SOURCE DEST PROTO DEST # PORT ACCEPT loc:192.168.2.34 dmz tcp 22 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE En el siguiente ejemplo se permite solo a la direccin 192.168.2.34 de zona de Red Local el acceso hacia el puerto 22 (ssh) de la direccin 10.10.10.5 que est dentro de la DMZ: #ACTION SOURCE DEST PROTO DEST # PORT ACCEPT loc:192.168.2.34 dmz:10.10.10.5 tcp 22 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE En el siguiente ejemplo se hace DNAT desde la zona de Internet para los servicio s de HTTP (puerto 80), SMTP (puerto 25) y POP3 (puerto 110) por TCP y DNS (puert o 53) por TCP y UDP hacia diversos servidores localizados DMZ: #ACTION SOURCE # DNAT net DNAT net DNAT net DNAT net #LAST LINE -- ADD YOUR ENTRIES DEST PROTO DEST PORT 80 25,110 53 53

dmz:10.10.10.1 tcp dmz:10.10.10.2 tcp dmz:10.10.10.3 tcp dmz:10.10.10.3 udp BEFORE THIS ONE -- DO NOT REMOVE

En el siguiente ejemplo se hace DNAT desde la zona de la Red Local para los serv icios de HTTP (puerto 80), SMTP (puerto 25), POP3 (puerto 110) y DNS (puerto 53) hacia diversos servidores localizados DMZ: #ACTION SOURCE # DNAT loc DNAT loc DNAT loc DNAT loc #LAST LINE -- ADD YOUR ENTRIES DEST PROTO DEST PORT 80 25,110 53 53

dmz:10.10.10.1 tcp dmz:10.10.10.2 tcp dmz:10.10.10.3 tcp dmz:10.10.10.3 udp BEFORE THIS ONE -- DO NOT REMOVE

En el siguiente ejemplo se hace DNAT desde la zona de Internet para los servicio s de HTTP (puerto 80), SMTP (puerto 25), POP3 (puerto 110) y DNS (puerto 53) hacia diversos servidores localizados DMZ y limitar la taza de conexiones a diez por segundo con rfagas de hasta cinco conexiones para cada servicio: #ACTION SOURCE DEST # DNAT net dmz:10.10.10.1 DNAT net dmz:10.10.10.2 DNAT net dmz:10.10.10.3 DNAT net dmz:10.10.10.3 #LAST LINE -- ADD YOUR ENTRIES DEST PORT tcp 80 tcp 25,110 tcp 53 udp 53 BEFORE THIS ONE PROTO SOURCE ORIGINAL PORT(S) DEST -- DO NOT REMOVE RATE LIMIT 10/sec:5 10/sec:5 10/sec:5 10/sec:5

En el siguiente ejemplo las peticiones hechas desde la red local (LAN) sern redir igidas hacia el puerto 8080 del cortafuegos, en donde hay un Servidor Intermedia rio (Proxy) configurado de modo transparente, limitando la taza de conexiones a vein te por segundo con rfagas de hasta cinco conexiones. Esto es muy til para evitar ataques de DoS (acrnimo de Denial of Service que se tr

aduce como Denegacin de Servicio) desde la red local (LAN). #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE # PORT PORT(S) DEST LIMIT REDIRET loc 8080 tcp 80 20/sec:5 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

http://leaf.sourceforge.net/doc/buci-shorwall.html http://expocodetech.com/mobile-tech/mobile-native-android/