Firewall

davidbvega · #1 (**permalink**) 26/11/2015, 02:16

Hola buenas! no es la primera vez que me paso por forosdelweb pero si la primera que escribo.
Les comento mi situacion:
Tengo que montar un servidor que haga de firewall dhcp y proxy.
De momento he conseguido hacer funcionar el dhcp, me da IPs por dos interfaces del servidor (tiene 3).
El equipo que tengo es el servidor firewall (ubuntu server), router de fibra de telefonica y un switch VLan TP-Link tl sg108E.
El esquema es este:

Router IP - 192.168.1.1
p2p1 IP - 192.168.1.2
p4p1 IP - 192.168.2.1
p4p2 IP - 192.168.3.1

El dhcp me da ips a p4p1 y p4p2 y lo hace correctamente.

/etc/network/interfaces
auto p2p1
iface p2p1 inet static
address 192.168.1.2
netmask 255.255.255.0
gateway 192.168.1.1

#Salida a LAN
auto p4p1
iface p4p1 inet static
address 192.168.2.1
netmask 255.255.255.0

#Salida WiFi
auto p4p2
iface p4p2 inet static
address 192.168.3.1
netmask 255.255.255.0

iptables
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

route
Tabla de rutas IP del núcleo
Destino Pasarela Genmask Indic Métric Ref Uso Interfaz
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 p2p1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 p2p1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 p4p1
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 p4p2

Configuracion del switch

/proc/sys/net/ipv4/ip_forward
1

La idea es:
Desde el rack haya salida a internet y no vea a los equipos WiFi.
Los dispositivos WiFi salgan a internet pero no vean los equipos del rack.
El servidor actue como proxy y bloquear ciertas paginas (esto si se hacerlo).
El firewall con politicas de DROP e ir permitiendo conexiones.
Servidor de DHCP (Funciona).

La cosa es que desde el rack puedo ver todas las interfaces del firewall, pero no salir a internet, desde los puntos de acceso es igual. Desde el firewall puedo hacer ping a cualquier equipo y a internet (IP y nombre)

No se si estara claro lo que me hace falta
Gracias y un saludo

Jose789 · #2 (**permalink**) 29/11/2015, 10:56

Para la salida a internet

tienes que ir a /etc/sysctl.conf y des comentar la linea la siguiente linea net.ipv4.ip_forward=1

Ahora ve a /etc/rc.local y añade las siguientes lineas

/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE

Si tienes el interfaces bien configurado debería de poder salir a internet.

davidbvega · #3 (**permalink**) 30/11/2015, 06:00

Muchas gracias, el tema de salir a internet ya lo tengo solucionado =D

Ahora me falta el tema del proxy, tengo instalado squid3. La cosa es que solo me filtra el contenido HTTP, el HTTPS no le hace caso. Ejemplo:
Entro a http://youtube.es y no deja
Entro a https://youtube.es y si deja

Como se podria solucionar?

Gracias y un saludo

lauser · #4 (**permalink**) 30/11/2015, 08:55

HTTPS no se filtra cuando usas Squid Transparente. De todas formas existe alguna solución como:

Centos
http://www.ajayadas.com/e110body-anchor/

Debian
http://pen-testing-lab.blogspot.com....-for-http.html

davidbvega · #5 (**permalink**) 30/11/2015, 09:57

Perfecto, lo probare. Gracias.

davidbvega · #6 (**permalink**) 14/12/2015, 10:08

Lo de squid queda fuera.
Hay algun otro servidor proxy para ubuntu?
Ahora me han pedido que tengo que montar una VPN tambien. He instalado pptpd pero no consigo conectar. Hay alguna regla para iptables? por que siguiendo los tutoriales que hay por internet no consigo hacerlo funcionar.

Gracias y un saludo

BrujoNic · #7 (**permalink**) 14/12/2015, 10:36

Mira, yo he montado algo similar con pfSense, si investigas que hace, algunas de sus funciones son servidor proxy, dhcp, VLan, firewall, filtro de contenido, VPN, etc.

Te lo menciono para que tengas un todo en uno sencillo, con requerimientos de equipos de acuerdo a sus necesidades, por que hasta en P III lo podes montar, pero dependiendo de la cantidad de gente que tenga que servir, es mejor pensar en algo más robusto y si tienen un servidorcito DE VERDAD modesto, con eso tenes suficiente.

davidbvega · #8 (**permalink**) 12/01/2016, 04:25

Hola buenas, por diferentes cosas no he conseguido hacer funcionar el firewall... si se puede navegar y todo bien, pero no he sido capaz de aceptar conexiones desde fuera (un servidor web que hay que la lan).
Voy a probar lo de pfSense. Alguna buena guia en español?

BrujoNic · #9 (**permalink**) 12/01/2016, 11:59

En internet hay muchas guías en cualquier idioma tanto escrita como videos. Simplemente escribí "pfsense Firewall" y te saldrán muchos resultados.

Como tiene muchas funciones es mejor buscar lo que te interesa.