ITEL NethServerGateway04

Capítulo 3
NethServer PUERTA DE ENLACE
Training “NethServer como Gateway”

Temario
NethServer Gateway
NethServer Encaminamiento
Calidad de servicio
Servicio de Proxy HTTP
2 de 37
Training: NethServer como Gateway (OpenIT – Software Libre)
GATEWAY
3 de 37
Puerta de enlace NethServer
En este capítulo se describen las funcionalidades

de NethServer como puerta de enlace o
gateway. NethServer puede hacer la red más
fiable y segura, gestionar el ancho de banda y
definir políticas de conexiones y contenidos.
Cortafuegos, el cual nos permite definir reglas
para gestionar el tráfico entrante y saliente.
Balancear la carga entre varias conexiones y
definir diferentes reglas para usar una u otra
dependiendo del tráfico. Proxy HTTP. Este
servicio permite acelerar el acceso a Internet.
4 de 37
NethServer
CortaFuegos
5 de 37
Introducción al sistema de
cortafuegos
Un cortafuegos es un sistema que permite definir una
serie de políticas de control de acceso entre
distintos segmentos de una red. Para ello utiliza un
conjunto de reglas que filtran el tráfico dependiendo
de distintos parámetros como el protocolo, la
dirección origen o dirección destino, los puertos de
origen o de destino o la conexión a la que
pertenecen los paquetes.
NethServer utiliza para su módulo de cortafuegos el
software llamado Shorewall , que proporciona
funcionalidades de filtrado, marcado de tráfico y
redirección de conexiones.
6 de 37
7 de 37
Configuración de un cortafuegos con
NethServer
El modelo de seguridad de NethServer se basa en
intentar proporcionar la máxima seguridad posible en
su configuración predeterminada, intentando a la vez
minimizar los esfuerzos a realizar tras añadir un nuevo
servicio.
8 de 37
Política
Cada interfaz se identifica con un color que indica su función dentro del
sistema. Véase red-sección.
Cuando un paquete de red pasa a través de una zona de cortafuegos, el

sistema evalúa una lista de reglas para decidir si el tráfico debe ser
bloqueado o permitido. Políticas son las reglas predeterminadas que se
aplicarán cuando el tráfico de red no coincide con los criterios existentes.
El cortafuego implementa dos políticas predeterminadas editables desde la

página Reglas de firewall -> ` Configurar`
●
Allowed: all traffic from green to red is allowed.
●
Bloqueado: todo el tráfico de la red verde a la red roja está bloqueado.
Se debe permitir tráfico específico con reglas personalizadas.
9 de 37
Política
Las políticas de firewall permiten el tráfico entre zonas según este esquema:
GREEN -> BLUE -> ORANGE -> RED
El tráfico se permite de izquierda a derecha, bloqueado de derecha a

izquierda.
Puede crear reglas entre zonas para cambiar las políticas predeterminadas
de la página Reglas de firewall.
Nota:El tráfico desde la red local al servidor en el puerto SSH

(predeterminado 22) y el puerto del Administrador del servidor
(predeterminado 980) es siempre permitido.
10 de 37
Reglas
●
Las Reglas se aplican a todo el tráfico que pasa a
través del cortafuego. Cuando un paquete de red
se desplaza de una zona a otra, el sistema busca
entre las reglas configuradas. Si el paquete
coincide con una regla, se aplica la regla.
Nota:El orden de la regla es muy importante. El
sistema siempre aplica la primera regla que coincide.
11 de 37
Reglas
Una regla consta de cuatro partes principales:

●
Acción
●
Fuente
●
Destino
●
Servicio
●
Condición de tiempo
Las acciones disponibles son:
●
ACCEPT: acepta el tráfico de red
●
REJECT: bloquea el tráfico y notifica al host remitente
●
DROP: bloquea el tráfico, los paquetes se eliminan y no se envía ninguna
notificación al host del remitente
●
ROUTE: enruta el tráfico al proveedor de WAN especificado. Véase Multi
WAN.
●
Priority: mark the traffic as high/low priority. See Conformación del tráfico.
12 de 37
REJECT vs DROP
Como regla general, debe utilizar: REJECT cuando
desea informar al host de origen de que el puerto al que
está intentando acceder está cerrado. Por lo general, las
reglas en el lado de LAN pueden usar REJECT.
Para conexiones desde Internet, se recomienda
utilizar: DROP, con el fin de minimizar la divulgación de
información a cualquier atacante.
Registro: Cuando una regla coincide con el tráfico en
curso, es posible registrar el evento en un archivo de
registro marcando la opción de la interfaz web. El
registro de firewall se guarda en /var/log/firewall.log.
13 de 37
Ejemplos prácticos
A continuación hay algunos ejemplos de reglas.

Bloquear todo el tráfico de DNS de la LAN a Internet:
●
Acción: REJECT
●
Fuente: verde
●
Destino: rojo
●
Servicio: DNS (puerto UDP 53)
Permitir que la red de invitados tenga acceso a todos los servicios que
escuchan en Servidor1
●
Acción: ACCEPT
●
Fuente: verde
●
Destino: Servidor1
●
Servicio: -
14 de 37
Encaminamiento y QoS
NethServer
15 de 37
Introducción al encaminamiento o
routing
El encaminamiento (también llamado
enrutamiento o routing) es la función de
enviar un paquete de datos de un
punto de la red a otro. Por ejemplo,
cuando se envía un correo electrónico, el
servidor debe enviar los paquetes de datos
que contienen el mensaje.
NethServer usa el subsistema del kernel de
Linux para el encaminamiento configurado
la herramiente iproute2
16 de 37
Configuración del encaminamiento
Dentro de Configuración → Rutas estaticas.
17 de 37
Configuración del Reenvio de puertos
●
Utilice este panel para cambiar las reglas del
cortafuegos, es decir, para abrir un puerto
específico (O un rango de puertos) en el
servidor y reenviar el tráfico a partir de una
puerto a otro. Reglas de reenvío de puerto
permiten el acceso a los hosts de la red local
desde Internet.
●
Crear / Modificar
●
Puerto de origen: Inserte el puerto abierto
en la IP pública.
●
Puerto de destino: Introduzca el puerto en
el host interno que será el destino de tráfico.
●
Host de destino: Seleccione la máquina
interna donde será redirigido tráfico.
●
Permitir sólo: Permitir el tráfico hacia
delante sólo de algunas redes o hosts.
Inserte una lista separada por comas de
direcciones IP o redes en formato CIDR.
●
Descripción: Descripción opcional de la
regla de reenvío de puerto.
18 de 37
Configuración del QoS
●
Las interfaces de red
deben tener la
asignación de trafico
de acuerdo al ancho de
banda.
19 de 37
Configuración del Multi WAN
●
Si usted tiene más de una
conexión a Internet, debe
configurar la conexión individual
WAN (ISP) y establecer políticas
de uso (por ejemplo preferir una
conexión a través de otro).
●
Configurar
●
Seleccione la política de
gestión del proveedor:
●
Balanceado: utiliza todas las
conexiones a la vez
●
Respaldo: usar conexiones
de respaldo en caso de
problemas con el proveedor
de la más alta prioridad
20 de 37
Configuración base de priorización
de trafico.
●
Por defecto existen dos
perfiles una: high y low.
●
Puedes adicionar otro
respecto a la
configuración de tus
interfaces de red,
previamente configurada.
21 de 37
Configuración de regla con prioridad.
●
En la Acción escogemos
entre Prioridad High o low
(Alta o baja)
●
Sobre la prioridad
colocaremos: Origen,
destino y el servicio que
se vea a priorizar.
22 de 37
Proxy web
NethServer
23 de 37
Instalación de proxy web
●
Seleccionar e en centro de
software:
●
Proxy web: Squid caché
web proxy
configuración.
nethserver-lightsquid,
nethserver-squid
●
Filtro web: Contenido
web Squid y filtro de
virus. nethserver-
lightsquid, nethserver-
squid, nethserver-
squidclamav,
nethserver-squidguard.
24 de 37
Instalación de proxy web
●
Seleccionar e Instalar
centro de software:
●
Proxy web: Squid caché
web proxy
configuración.
nethserver-lightsquid,
nethserver-squid
●
Filtro web: Contenido
web Squid y filtro de
virus. nethserver-
lightsquid, nethserver-
squid, nethserver-
squidclamav,
nethserver-squidguard.
25 de 37
Configuración de Proxy Web
●
El proxy web trabaja para reducir el uso de ancho de banda mediante el
almacenamiento en caché las páginas que visitan. También puede hacer cumplir el
filtrado de contenido.
●
Proxy Web sólo se puede activar en zona verde (redes locales) y zonas azules (redes
invitados).
●
Manual: Squid escuchará en el puerto 3128. Todo cliente debe ser configurado
explícitamente para utilizar el proxy.
●
Autenticado: Cada usuario se verá obligado a introducir nombre de usuario y
contraseña. Squid escuchará en el puerto 3128. Todo cliente debe ser configurado
explícitamente para utilizar el proxy.
●
Transparente: Todo el tráfico HTTP se redirige a través del proxy. No se necesita
ninguna configuración del cliente.
●
Transparente con SSL: Todo tráfico HTTP y HTTPS se redirigir a través del proxy.
●
El certificado de servidor (CA) debe estar instalado en cada cliente para permitir
el tráfico HTTPS.
●
Bloquear los puertos HTTP y HTTPS: Si está activado, los clientes no podrán utilizar
el servidor proxy. Puertos 80 y 443 será accesible sólo mediante el proxy.
26 de 37
Configuración de proxy web
transparente
●
Se habilitara el Proxy.
Puerta de enlace →
Proxy web.
●
Se escogera
“Transparente con
SSL”
●
NO se seleccionara
“Bloquear los
puertos HTTP y
HTTPS”
27 de 37
Configuración de proxy web
transparente
●
Lengueta de Cache
●
Por defecto tiene
100Mb. Maximo
5Gb, si se necesita
mas hay que
realizar otras
configuraciones.
28 de 37
Configuración de proxy web Filtrado
de contenidos Web.
●
Puerta de Enlace→
Filtrado de contenidos
Web→ General.
●
Se debe habilitar el
filtro y agregar
dominios.
●
El tema de bloqueo
de extensiones, se
sugiere ver con
cautela.
29 de 37
de contenidos Web.
●
Puerta de Enlace→
Web→ Lista negra.
●
Shalla List es el
recomendable.
●
Al momento de
guardar descargara
la lista y se podra
utilizar en los Filtros.
30 de 37
de contenidos Web.
●
Puerta de Enlace→
Web→ Categorias
Personalizadas.
●
Cuando se tienen
perfiles especificos
y se necesita una
lisata fija de sitios.
31 de 37
de contenidos Web.
●
Puerta de Enlace→
Web→ Horarios.
●
Para definir dias,
horarios, para
configurar Perfiles.
32 de 37
de contenidos Web.
●
Puerta de Enlace→
Web→ Filtros.
●
Editar el Filtro
“default”
Seleccionar:
“Bloquear todo,
permitir el
contenido
seleccionado” y
“Aceptar” al final.
33 de 37
de contenidos Web.
●
Puerta de Enlace→
Web→ Filtros.
●
Crear el Filtro
“contabilidad”
Seleccionar:
“Sitios_contabilidad
”
●
Y aceptar.
34 de 37
de contenidos Web.
●
Puerta de Enlace→
Web→ Perfiles.
●
Crear perfil
“p_contabilidad”
●
De la zona Green.
●
Con el filtro
fil_contabilidad.
●
Y aceptar.
35 de 37
Prueba de proxy web Filtrado de
contenidos Web.
●
Para las paginas que esten bajo https, saldrá un
mensaje que “Conexion segura fallida” para las http
saldra un mensaje mas claro respecto al bloqueo.
36 de 37
¿Preguntas?
OpenIT
Jared López Leaño
Capacitador
jared.lopez@openit.com.bo
www.openit.com.bo
37 de 37

ITEL NethServerGateway04

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ITEL NethServerGateway04

Cargado por

Copyright:

Formatos disponibles

Capítulo 3

NethServer PUERTA DE ENLACE

Training “NethServer como Gateway”

En este capítulo se describen las funcionalidades

Cuando un paquete de red pasa a través de una zona de cortafuegos, el

El cortafuego implementa dos políticas predeterminadas editables desde la

GREEN -> BLUE -> ORANGE -> RED

El tráfico se permite de izquierda a derecha, bloqueado de derecha a

Nota:El tráfico desde la red local al servidor en el puerto SSH

Una regla consta de cuatro partes principales:

A continuación hay algunos ejemplos de reglas.

Dentro de Configuración → Rutas estaticas.

También podría gustarte