1 Laboratorio firewalls

2 Servicios firewalls ● NAT ● DMZ ● Reglas de filtrado ● Squid ● DNS ● DHCP ● SSH ● OpenVPN ● RSync

3 NAT ● Permitir acceso a equipos de la LAN y de la DMZ a Internet.

4 DMZ ● Crear una zona desmilitarizada que albergará los servidores existentes o los futuros.

5 Reglas de filtrado ● Permitir acceso a Internet solo a determinados puertos “seguros” (como 21, 22, 80, 443, etc) ● Denegar todo el resto de los accesos. ● Redireccionar tráfico al puerto 80 de la LAN al servidor Squid. ● Permitir el acceso desde la granja de servidores directo a Internet. ● Port forwarding solo a la granja de servidores.

6 Squid ● Crear básicamente 4 ACL: – ip_denegadas: usuarios sin Internet. – ip_libres: lista de usuarios VIP. – sitios_denegados: sitios o palabras en url que estén prohibídos. – sitios_aceptados: sitios que no queremos que sean filtrados por sitios_denegados.

7 DNS ● DNS externos. ● Los DNS internos se encontrarán en la granja, no nos preocuparemos de eso.

8 DHCP ● Servir DHCP solo a la LAN. ● La DMZ estará toda con IP fijas.

9 SSH ● Bloquear acceso de root por SSH. ● No permitir el acceso por SSH desde Internet. ● Se deberá utilizar VPN para entrar al servidor SSH.

10 OpenVPN ● Configuración de VPN en modo tunel para unir las dos redes. – Se unirán tanto LANs como DMZs. ● Configuración de VPN en modo roadwarrior para permitir el acceso de clientes desde puntos móviles desde Internet. – Accederán a cualquier parte, LANs y DMZs.

11 RSync ● Respaldo de archivos, base de datos, correos, etc, desde una red a la otra.

12 Equipos ● 1 router con GNU/Linux u otro – killua: 4 interfaces de red. ● 2 firewalls Debian GNU/Linux – bart y krusty: 3 interfaces de red ● 1 router Linksys WRT54GL ● Computadores para realizar pruebas de conectividad desde fuera de los firewalls.

13 Topología

14 Rutas bart

15 Rutas krusty

16 Rutas edward

17 FIN!!