a ver veamos shorewall es un frontend de iptables, que te permite armar un firewall sin mucho esfuerzo, defines tus parametros en 4 archivos principales como interfaces, zonas, politicas y tus reglas y otros algunos archivos complementarios, al principio cuesta entenderlo, pero cuando le agarras la maña lo manejas al reves y al derecho, este paquete es importante instalarlo en las dos pcs.
en tu firewall, puedes instalar ntop, en mi caso no instalo snort ya que tengo los puertos de ssh cambiados y las consultas a icmp bloqueadas, es recomendable hacerlo. como este equipo tiene 2 nics y una esta definida hacia la zona DMZ, es recomendable aqui instalar tus servidores de servicios. en tu pc proxy, instalas squid+dansguardian+sarg, todo el trafico que vaya a puertos 80 lo redireccionas desde el firewall hacia este equipo que se encargara de realizar todo el trabajo pesado de filtrado. Dansguardian consume recursos asi que es mejor tenerlo en un pc de buena performance. en squid solo defines una unica regla que es la de permitirle el acceso a la red local, el resto de la chamba la hace el dansguardian. no uso para nada webmin, prefiero la consola para administrar mis equipos. uso Putty si estoy en un pc con windows Como lo armas? aqui unos manuales firewall con 3 nics usando shorewall : http://www.alcancelibre.org/staticpages/index.php/como-shorewall-3-interfaces-red Dansguardian : Squid+dansguardian+sarg hay mucha info en la red. suerte y diviertete César D. Cruz Arrunátegui ----- Mensaje original ----- De: "Kennet Salinas" <[email protected]> Para: [email protected] Enviados: Jueves, 6 de Enero 2011 0:44:50 GMT -05:00 Colombia Asunto: Re: [l-plug] Firewall Linux Hola Cesar: Gracias por tu respuesta, mi consulta es para aquellos como tu que tienen experiencia, asi como comente tengo un firewall q ya esta implementado pero quisiera armar uno, veo que los paquetes que comente: Webmin + BASE + SARG + squid + iptables + snort + ntop Satisfacen varias necesidas, Base para deteccion de intrusions, squid bueno lo conocemos, iptables se cambiaria por shorewall, SARG para reportes historicos de cada pc y reportar a su jefatura lo que el usuario hace en su "tiempo libre", veo que DANSGUARDIAN es el filtro por contenido que me hace falta, NTOP muestra el trafico en tiempo real, webmin para administración web, y como indique esto es lo que conozco, pero pediria a la experiencia de los administradores linux para arman un FIREWALL decente, tb tengo publicación de IP's privadas a publicas, aceptaria que me den sugerencias en base a sus conocimientos, lo que sugieres cesar me parece interesante, 2pcs 1 con lo basico y la otra mas respetable con DANSGUARDIAN+SQUID, ¿aunque como sería la distribución de los paquetes, en que pc iria los paquetes sugeridos?. Espero sus respuestas Salu2! Ken! -----Mensaje original----- De: César CRUZ ARRUNATEGUI [mailto:[email protected]] Enviado el: Miércoles, 05 de Enero de 2011 01:05 p.m. Para: [email protected] Asunto: firewall una solucion bien solida es usar dos maquinas 1 maquina, Pentium IV con disco duro de 40 GB, 1 GB RAM, tres NICs (tarj. de red) 1 para tu zona a red, 1 para tu zona local, y una para tu zona DMZ, esta sera tu firewall 2 maquina, Pentium IV o Core 2, disco de 80 GB SATA, 2 o 3 GB RAM, 1 NIC con ip de tu zona DMZ, este sera tu proxy (Squid, Dansguardian y otras). en ambas pcs usa shorewall el proxy consume recursos y si le pones dansguardian consumes mas, asi que es mejor configurarlo en un pc separado en el sitio de www.shorewall.net, busca en documentacion encontraras muchos modelos de como armarlo tambien en www.alcancelibre.org hay un manual bien didactico de como armar un firewall con 3 nics usando shorewall. con esto te armas un firewall bien solido y te evitas de romperte mucho el coco usando las reglas iptables ya que shorewall las hace por ti, y con el complemento de squid + dansguardian te anotaras unos buenos bonos. suerte y divierte. César D. Cruz Arrunátegui ----- Mensaje original ----- De: "Kennet Salinas" <[email protected]> Para: [email protected] Enviados: Martes, 4 de Enero 2011 11:00:36 GMT -05:00 Colombia Asunto: Re: [l-plug] Firewall Linux Sip mi idea es hacerlo desde cero. Tengo IP publicas, nateo de ip privada a publica, los paquetes mencionados, Webmin + BASE + SARG + squid + iptables + snort + stop, lo q me agrada es SARG que me da reportes desde que fue implementao del firewall, 2006, dia por dia horario de mayor consumo y el historial por PC, es bien completo, algo q no he visto al menos en IPcop, y creación de distintos niveles de acceso por usuario, he usado ClearOs tiene horario de contenido pero no encuentro diferentes niveles de usuarios por control de contenido, considero que el control de contenido es algo fundamental dado que si simplemente se restringe la categoria de audio, video, Socials Networks y XXX se mejora notablemente el rendimiento del Internet, pero me gustaria algo mas completo x lo cual planteo hacerlo desde cero. Acepta sugerencias y comentarios =D Salu2! -----Mensaje original----- De: [email protected] [mailto:[email protected]] En nombre de César CRUZ ARRUNATEGUI Enviado el: Martes, 04 de Enero de 2011 09:39 a.m. Para: [email protected] Asunto: Re: [l-plug] Firewall Linux Si te quieres divertir, arma el tuyo desde cero usando shorewall y todo lo que necesites por otro lado, si quieres algo inmediato, usa endian, pfsense o Zentyal. y feliz año para ti tambien César D. Cruz Arrunátegui ----- Mensaje original ----- De: "Kennet Salinas" <[email protected]> Para: "Linux-plug" <[email protected]> Enviados: Lunes, 3 de Enero 2011 18:05:16 GMT -05:00 Colombia Asunto: [l-plug] Firewall Linux Pinguinos! Primero, feliz anioooo!, les deseo lo mejor a todos, y ahora pasando al tema de fondo, tengo un firewall linux que fue implementado tiempo atrás en el 2006 usando Madriva XD!, la consulta es que x tiempo de vida el disco creo que ya esta pasando a mejor vida pero debo reconocer q el firewall es autosuficiente y sigue efectuando su trabajo, creo q es tema de actualizar y quisiera sugerencias para armar un nuevo firewall linux, por el poco conocimiento que tengo el firewall contiene lo siguiente: Webmin + BASE + SARG + squid + iptables + snort + ntop Planteo hacerlo en un CENTOS 5.5, esta bien lo q contiene o sugieren quitarle algo para agregarle otro paquete parecido, lo que si deseo es algun paquete de control de filtro por contenido. Leere y leere para ver como lo hago =D Espero sus respuestas, saludos! __________ Información de ESET Smart Security, versión de la base de firmas de virus 5758 (20110104) __________ ESET Smart Security ha comprobado este mensaje. http://www.eset.com _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php __________ Información de ESET Smart Security, versión de la base de firmas de virus 5763 (20110105) __________ ESET Smart Security ha comprobado este mensaje. http://www.eset.com __________ Información de ESET Smart Security, versión de la base de firmas de virus 5763 (20110105) __________ ESET Smart Security ha comprobado este mensaje. http://www.eset.com _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
