Juan Luis Escoto Hernandez, Lule Garca Antonio

de Jess
INSTITUTO TECNOLGICO DE CELAYA

Shorewall, Squid y
Dansguardian

SHOREWALL, SQUID Y DANSGUARDIAN

Implementacin
Shorewall

Para instalar este firewall en Ubuntu el comando sera:

sudo apt-get install shorewall
Shorewall se configura por medio de los ficheros de configuracin situados
en/etc/shorewall vamos a conocer estos ficheros y sus caractersticas.
/etc/shorewall/shorewall.conf

Dentro de este archivo se configuran varios parmetros los ms relevantes son

los siguientes:
STARTUP_ENABLED
Hay que poner el valor en Yes o yes para que el firewall funcione:
ADMINISABSENTMINDED
Esta variable si la configuramos en No o no establece que cuando paremos el
firewall solo se permiten las conexiones hacia o desde las direcciones que
tengamos puestas en el archivo /etc/shorewall/routestopped. Si est configurado
en Yes o yes adems las conexiones que estuviesen activas cuando
detuvimos el firewall seguirn funcionando y todas las conexiones que se
establezcan con la maquina en la que configuramos shorewall sern aceptadas.
IP_FORWARDING
Establece cuando lo configuramos en On si el firewall enruta o no los paquetes
IPv4. Este parmetro es importante para que los equipos de la red interna
puedan acceder al exterior.
/etc/shorewall/zones
En este archivo se definen cuantas interfaces o zonas tiene el firewall. Cada red
que queramos unir por medio del firewall la consideramos una zona, la primera
zona seria el propio firewall, otra zona seria la LAN, otra la zona wifi, otra la DMZ
(zona desmilitarizada para los servidores) y una la ltima zona sera internet.

Ejemplo de este fichero para que el firewall conecte una red a internet, tres
zonas, firewall, LAN e internet:
# ZONE TYPE OPTIONS
IN
OUT
# OPTIONS
OPTIONS

SHOREWALL, SQUID Y DANSGUARDIAN

Fw firewall # define el firewall
net ipv4 # define internet WAN
loc ipv4 # define la red de rea local LAN
/etc/shorewall/interfaces
Aqu se establecen las tarjetas de red, interfaces, que el firewall va a utilizar y se
les asigna la zona en la cual van a estar cada una de ellas. Adems se identifican
ciertas propiedades respecto de la interpretacin de los paquetes que ingresan o
salen por esa interfaz.
Ejemplo de este fichero para que el firewall conecte una red a internet, tres
zonas, firewall, LAN e internet:
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect dhcp,tcpflags,routefilter,nosmurfs,logmartians,blacklist
loc eth1 detect tcpflags,nosmurfs,blacklist

/etc/shorewall/policy
Aqu se definen las polticas por defecto de qu hacer con los paquetes que
viajan entre las diferentes zonas.
Las posibles polticas son:

ACCEPT: Se acepta la conexin

DROP: Se ignora la conexin
REJECT: Se rechaza explcitamente la conexin
QUEUE: Enviar el pedido a una aplicacin con el target QUEUE.
CONTINUE: Dejar que el pedido de conexin contine para ser procesador
por otras reglas.
NONE: Se asume que esta conexin no puede darse y no se generan
reglas al respecto.

Ejemplo de este fichero para que el firewall conecte una red a internet, tres
zonas, firewall, LAN e internet:
# origen destino poltica loglevel limite:rafaga
loc net ACCEPT # permitimos trfico de la red local a internet.
net all DROP info # Ignoramos las conexiones que desde internet quieran hacer a
la red local Y las registramos en el log.
all all REJECT info # Rechazamos cualquier otra conexin que no est recogida
en la parte superior y la registramos.

/etc/shorewall/rules

SHOREWALL, SQUID Y DANSGUARDIAN

Aqu se define la apertura de puertos. Tambin se definen las reglas de DNAT y
registro de ciertos paquetes.
Ejemplo de este fichero para que el firewall conecte una red a internet, tres
zonas, firewall, LAN e internet:
# Accin Origen Destino Protocolo Puerto Destino Puerto Origen Destino Original
Tasa/Limite
SSH/ACCEPT lan $FW
# Aceptamos conexiones ssh desde la LAN al firewall
(sino a ver como lo configuramos)
RDP(DNAT) net loc:192.168.1.23 # redireccionamos el servico RDP puerto 3389 a
la ip de la LAN 192.168.1.23
ACCEPT $FW loc icmp # Permitimos ping desde el firewall a la LAN
ACCEPT $FW net icmp # Permitimos ping desde el firewall a internet
/etc/shorewall/masq
Este archivo se utiliza para definir masquerading y SNAT. Configuramos las redes
que quieren conectarse a Internet a travs de un firewall.
Ejemplo de este fichero para que el firewall permita a la LAN (eth1) conectarse a
internet (eth0):
# Interfaz Subred Direccin Protocolo Puertos IPSEC
eth0 eth1

Son todos los archivos creados y modificados para el funcionamiento del

shorewall.

Aceptamos o negamos las conexiones hacia el firewall o red o localmente y el

puerto que activara de la siguiente manera:

SHOREWALL, SQUID Y DANSGUARDIAN

SQUID

Ahora procederemos a instalar el Servicio llamado SQUID3, para ellos

utilizaremos el siguiente comando:

SHOREWALL, SQUID Y DANSGUARDIAN

apt-get install squid3
Una vez instalado modificamos el archivo squid.conf que se encuentra en la
siguiente ruta:
cd /etc/squid3/squid.conf
Ingresamos nuestra IP y el puerto por el que escuchara y lo volvemos
transparente de la siguiente manera:

Ahora crearemos unos archivos de lo que se va permitir y a negar dentro de este

archivos tambin creamos las IP de las direcciones de nuestras dos interfaces.
Creamos un archivo llamado nopermitido y ah agregamos lo que denegaremos:

En este archivo squid.conf agregaremos la ruta de lo que queremos denegar, en

la cual hacemos referencia al archivo previamente creado, y que denegaremos
todo lo que se encuentre en l, eso lo haremos de la siguiente manera:

SHOREWALL, SQUID Y DANSGUARDIAN

En este archivo tambin encontramos la denegacin de Facebook a ciertas

horas, y as como le hicimos con lo que queremos denegar, tambin crearemos
un archivo de extensiones con el cual denegaremos las descargas dependiendo
de las extensiones de los archivos. Cabe mencionar que las letras MTWHF son las
iniciales de los das de la semana en ingls. A continuacin tambin a las listas
de acceso las permitiremos de la siguiente manera:

Una vez editado la pgina de error que arrojara en el navegador que se

encuentra en esta direccin:

Usr/share/squid3/errors/en/ERR_ACCESS_DENIED

SHOREWALL, SQUID Y DANSGUARDIAN

Dansguardian

Para poder instalar el Servicio del Dansguardian, entonces vamos a ejecutar el

siguiente comando en superusuario:
apt-get install dansguardian

En el archivo dansguardian.conf configuraremos los puertos por los que

escuchara y por el que transmitir hacia el proxy del squid:

SHOREWALL, SQUID Y DANSGUARDIAN

Entonces nos moveremos al siguiente directorio para bloquear los sitios:

Cd /etc/dansguardian/lists/bannedsitelist
Y nuestro archivo quedara de la siguiente manera:

Para el bloque de palabras se edita el archivo:

Cd /etc/dansguardian/lists/bannedphraselist

SHOREWALL, SQUID Y DANSGUARDIAN

Entonces si agregamos un espacio a nuestra palabra, quiere decir que bloquee

todo lo que tenga esa palabra, y as mismo podemos editar la pgina Web que se
va a mostrar: