Esta es nuestra topologia donde tendremos una red LAN, una DMZ y una WAN, con servicios alojados en la LAN y en la DMZ.
Requerimientos:
* en la LAN deben haber dos servicios privados solo accesibles desde la LAN.
* la LAN debe salir a Internet
* la DMZ debe tener dos servicios públicos que sean accesibles desde cualquier host en cualquier red ya sea de la LAN la DMZ o la WAN
* la DMZ debe salir a Internet
* la WAN no debe ver la LAN
Para nuestro firewall (monowall) lo crearemos en una maquina virtual con tres adaptadores de red, ya que es una simulacion.
debe haber un adaptardo para la LAN otro para la DMZ y otro para la WAN
Crearemos nuestros tres adaptadores
para nuestro firewall monowall
Este adaptador sera red interna con el
nombre LAN
El segundo adaptador sera el de nuestra
red WAN lo ponemos en adaptador puente y con el nombre por defecto
(dependiendo de nuestra conexión)
El tercer adaptador lo configuraremos
en red interna con el nombre DMZ, una vez configurados nuestros
adaptadores, seguimos con la instalacion del monowall.
En esta parte ponemos el nombre de
nuestro disco, que nos parece después de darle la opción 7, y luego
confirmamos con y
luego de esto empezamos a ingresar el
nombre de cada interfaz, que como podemos ver nos salió al principio
después de darle la opción 1, agregamos una por una y confirmamos
con y.
Ahora haremos un ping a internet,
seleccionando la opción 6, ping 8.8.8.8, si es exitoso proseguimos,
si no verificaremos nuestras conexiones, hasta que sea exitoso.
En este paso le daremos la opcion 2 para configurar un dhcp en la LAN, si queremos cambiamos la dirección de nuestro monowall o dejamos la que por defecto tiene poniendo 192.168.1.1.
Damos el rango que usaremos y listo
Desde un equipo en nuestra lan
verifiquemos haciendo un ping a la interfaz LAN del monowall que por
defecto es la 192.168.1.1, si es exitoso
abrimos la interfaz web de mono wall poniendo esta dirección en
nuestra barra de dirección.
Si nos pide login, el login por defecto
es admin y la contraseña mono.
Configuración de interfaces
Si queremos cambiar la dirección de
nuestra LAN nos dirigimos a interfaces y seleccionamos LAN, y la
cambiamos, lo mismo para la WAN, y para la DMZ hacemos click en OPT1
(interfaz opcional) y la habilitamos, le cambiamos le nombre si
queremos en Description, y agregamos una dirección ip para nuestra interfaz de la siguiente manera.
Configuración del NAT
Tenemos los servicios ftp y web en la
DMZ para que sean accesibles para todos, y los de la LAN (ftp y web)
son privados, y no podemos acceder a ellos desde ningún host fuera
de la red, entonces para que los servicios de nuestra DMZ sean
accesibles configuraremos las reglas del NAT de la siguiente manera.
TCP o el protocolo por el que corra
nuestro servicio, en external port range
el puerto externo, en NAT IP la
direccion a la cual serán redireccionadas las peticiones en este
caso la de la DMZ y en local port el
puerto local y si queremos una descripción al final.
Crearemos otra regla igual pero esta
vez para nuestro servicio WEB, solo cambiando los puertos a HTTP.
Y tendremos dos reglas en el NAT una
para el FTP y otra para el WEB que permitiran el acceso a estos desde
un host en la WAN.
Reglas del FireWall
Nuestros requerimientos para reglas del
firewall son: en la LAN que salga a internet, tenga acceso a los
servicios de la DMZ y que ninguno de sus servicios sean accesibles
para un host fuera de la LAN.
Esto quiere decir que permita todo el
paso hacia el puerto 80. (disculpen el recorte)
Asi quedaron nuestras reglas en la LAN
DMZ
Esta no debe tener acceso a los
servicios de la LAN, debe salir a internet y hacer pin con cualquier
host de la WAN.
Al habilitar la casilla not
en el cuadro Destination le estamos
diciendo que no tenga acceso a la LAN.
Así quedaron nuestras reglas en la
DMZ, una que no permita el trafico hacia la LAN y otra que permita
todo el trafico desde cualquier red al servicio WEB alojado en la
DMZ.
WAN
En la WAN tenemos las reglas que
permitan el trafico http desde la wan hacia cualquier destino menos
la LAN, otra que permita el trafico ftp desde la WAN hacia la DMZ, y
la ultima que permita toda peticion ICMP (ping).
Ahora verificaremos estas reglas desde
una maquina en la LAN:
Como podemos ver tenemos acceso al FTP
de la DMZ desde la WAN.
Tambien tenemos acceso al servidor WEB
de la DMZ.
También tenemos acceso a los servicios
privados de la LAN, pero solo desde esta.
Y tenemos acceso a internet.
Ahora desde la DMZ.
Como podemos ver no tenemos acceso a
los servicios en la LAN.
Y tenemos acceso a internet.
Desde la WAN vemos que tenemos acceso a
los servicios de la DMZ, mas no de la LAN.
Y esto evidentemente nos funcionaron
las reglas y el NAT.
No hay comentarios:
Publicar un comentario