domingo, 12 de agosto de 2007

Instalación de Smoothwall en vmware (III)



Bien, retomamos el tema de la instalación de este firewall llamado smoothwall en una maquina virtual.
En anteriores entradas,ya habíamos preparado el soporte de la maquina virtual, ya teníamos instalado el software smoothwall, y nos habíamos quedado en la ventana de login, listos para empezar la configuración y así funcionar ya con el firewall.


Lo primero que vamos a hacer antes de arrancar la maquina virtual, es ir, a la ventana de propiedades de la vm, y decirle que le vamos a añadir nuevo hardware. El hardware que le vamos a añadir es una tarjeta de red, ya que para la configuración que vamos a tener funcionando en nuestro escenario, vamos a necesitar que el firewall tenga dos tarjetas de red. Ya explicaremos el motivo y la función de cada una de estas tarjetas.


Le indicamos que el tipo de funcionamiento que va a tener esta tarjeta es bridge y obviamente que la conecte cuando arranque la maquina.


Ahora si, arrancamos el sistema, introduciremos nuestro login, recordar que por defecto es usuario "root", contraseña en blanco. y ejecutamos el comando setup
# setup
y accederemos a una ventana como esta:

Desde este interfaces podemos configurar todos los aspectos para dejar funcionando y listo nuestro firewall.
Las opciones que tenemos son las siguientes:

restore configuration: Si queremos restaurar la configuración desde un backup realizado en un disquete.
keyboard mapping: Para configurar el idioma de nuestro teclado
hostname: Nombre de la maquina en la red
web proxy: Para establecer la configuración de servidor proxy
isdn configuration: Si nos conectamos a Internet a través de una conexión rdsi
adsl configuration: Configuración del tipo de escenario si nos conectamos a través de una puerta de enlace
networking: Configuración de red
dhcp server configuration: Si queremos habilitar el servidor dhcp y su configuración
root password: Contraseña del usuario root
setup password: Contraseña de acceso para el menú de configuración a través del comando setup
admin password: Contraseña del usuario admin, a través del acceso web

Nosotros en este caso vamos primero a configurar el tipo de entorno de red en el que vamos a trabajar, accedemos a la opción "Network" e indicamos que nuestro escenario tiene dos zonas las cuales vienen definidas en la opción "GREEN + RED"

¿Que quiere decir GREEN + RED?
La mayoría de los firewall, por no decir todos, trabajan de una manera muy parecida. Identifica dos zonas, una segura y otra de peligro, y establece las reglas, y acciones a través de estos identificadores.
La zona segura, o en este caso la zona GREEN (verde), es la zona reservada para nuestra red. donde trabajan nuestros servidores, pc's. estaciones de trabajo, y todo aquello, que queramos proteger de las amenazas del mundo exterior, o por lo menos intentarlo, no dejando las puertas abiertas de par en par, si podemos poner un candado, mejor que nada si que es.
La zona RED(roja), es la zona expuesta al mundo mundial, es lo que esta abierto a internet, y es una zona, muy critica a recibir ataques ,y de todo lo que habita por la red.
Teniendo claro e identificado cada una de las zonas en nuestro escenario nos va a resultar muy sencillo, aplicar correctamente el funcionamiento de un firewall en nuestra red.


Ahora llega el punto en el que entra el juego la segunda tarjeta de red que hemos añadido anteriormente. Ya que una tarjeta de red esta asignada, a la zona GREEN y otra debe de asignarse a la zona RED.
Una vez que hayamos seleccionado este tipo de configuración, el asistente automáticamente lanzara un proceso, en busca de una tarjeta libre con la que poder trabajar y poder asignar a esta zona RED. Directamente nos encontrara la tarjeta y nos indicara si queremos asignarla a esta zona. Le diremos que si.

Una vez, asignada la tarjeta de red, deberemos asignar a cada zona, es decir a cada tarjeta de red una dirección ip.
Vamos a plantearnos un escenario para saber que dirección ip debemos de asignar a cada elemento.
Nos imaginamos una red la cual trabaja en un rango de este tipo 192.168.2.x. Todo lo que este en este rango, es la zona segura, es nuestra zona verde.
Bien, pues la ip de la zona verde de nuestro firewall, va a ser lo que los pc's van a ver como puerta de enlace, y va a ser a través de esta puerta de enlace, con lo que se comuniquen con el mundo exterior.
Supongamos que tenemos un router, que es por el cual, nuestros pc's acceden a internet, ese router, va a estar situado en la zona RED. y debemos asignarle una ip en un rango diferente a nuestra zona segura. En este caso vamos a asignarle la dirección ip 192.168.5.254.
Ahora lo siguiente sera configurar la zona RED de nuestro firewall, asignándole la dirección ip 192.168.5.1.También le indicamos que su puerta de enlace es la 192.168.5.254 y por supuesto también le tendremos que indicar sus servidores DNS.

La situación seria algo así:

zona segura192.168.2.x ->(green)192.168.2.254<->Smoothwall->(red)192.168.5.1->192.168.5.254<--> router->INTERNET

Con lo cual,y poniéndonos manos a la obra lo siguiente a realizar seria establecer la dirección ip de la zona GREEN:


Asignaríamos la dirección ip de la zona RED:



Configuraríamos los servidores DNS (isp o servidor dns de nuestra red) y la puerta de enlace, que nos comunica con INTERNET:


Y ya estaríamos listos para funcionar a través del firewall.

Por ultimo indicaremos una serie de observaciones para que este todo listo para funcionar:
-La configuración de red de los puestos de nuestra red, deben de tener como puerta de enlace, la dirección ip de la zona verde del firewall.
-Debe de haber una comunicación directa entre la tarjeta de red de la zona RED con el router que de acceso a Internet
-Debe de haber una comunicación directa entre la tarjeta de red de la zona GREEN y nuestros PC's y todo lo que este en nuestro escenario que deba salir a Internet a través del firewall.
-El acceso a la interfaces web, desde la zona GREEN al firewall se realiza desde cualquier navegador de un pc de la zona GREEN y debemos introducir la ip de la tarjeta GREEN con conexión segura, y a través del puerto 441
Es decir en este caso seria así:

https:/192.168.2.254:441

Nos saldrá un certificado en la conexión del firewall, el cual debemos de aceptar para poder acceder a la interfaces de configuración.


Y después de todo esto, si todo nos ha ido bien, ya tendremos el smoothwall listo para funcionar y preparado para configurarlo , desde esta bonita ventana de tonos anaranjados.

En una próxima entrada veremos que potencial y que variables son manejables desde este interfaces web.
No se si en algunos aspectos a lo mejor me he explicado mal, o me he liado, si es así, hacérmelo saber, e intentare, si es que soy capaz, de aclararlo mejor.

Saludos

7 comentarios:

Gabriel dijo...

Muy buen instructivo. Ahora te hago una pregunta.... se puede configurar 2 WAN en el smoothwall? tipo tener redes GREEN-RED-RED ?

Gracias

David dijo...

Hola Gabriel:
Gracias por el comentario.
Entre el tipo de configuración que admite smoothwall hay una la cual es:
GREEN + ORANGE + RED
Puedes asignar una tarjeta de red a cada una.
La zona ORANGE se suele usar como otro segmento de red, Yo normalmente la uso para segmentos con acceso wifi, y asi tenerlos por separado, pero como zona de conexion WAN, unicamente permite acceder a traves de un interface y en este caso es la unica zona RED.
Las fotos que he puesto se ven un poco mal, pero en la 4ª empezando desde arriba, se puede apreciar si t fijas un poco esta opción. (justo debajo de la que esta marcada)
Saludos.

Gabriel dijo...

Muy bueno, muchas gracias!!!

Anónimo dijo...

muy bueno el manual de verdad, pero tengo una dudacon la configuracion de las tarjetas de red... aca timofonica provee internet adsl con ip's dinamicas, nos da una configuracion asi +- mascara 255.255.255.0 un par de DNS's, y la puerta de enlace 192.168.1.1, ahora por lo general nadie cambia eso (puerta de enlace en el router) y aca en la explicacion la pones 192.168.2.1 para la sona segura entiendo...
ahora segun esto cual seria la mejor alternativa de configuracion (cambiar todo a otra capa de red o adecuar mi red a lo que tengo por defecto), pues todo esto es un poco confuso para mi, espero me ayuden un saludo

Anónimo dijo...

no me reconoce una de mis tarjetas de red la d-link dfe-520tx es pc , como la puedo configurar desde ya muchas gracias

rodrigo andres dijo...

hola como lo ago para conectar mis equipos por wifi ,,,,,,,,

resulta que tengo una red wifi
pero todos los routers de 1 watt de potencia o access point traen 20 mac filter ,,,, un amigo me sugirio el smoothwall ,,,,,, pero como lo ago para que los pc que se conecten por wifi ...........

mauricio dijo...

hola q tal mi pregunta es la siguiente tengo una red wifi cuantas pc me soportaria el smoothwall y si es compatible con wifi.