Configuración del cortafuegos

Índice

• Configuración del cortafuegos
  • Teoría del cortafuegos basado en zonas
  • Cortafuegos (firewall)
    • Pestaña de configuración general
      • Configuración general
      • Enrutamiento/descarga NAT
      • Zonas
  • Limitación del acceso externo

Este capítulo cubre la configuración y teoría del cortafuegos (firewall) para el sistema Opuntia. Opuntia es un sistema operativo basado en Linux. El subsistema de cortafuegos utiliza las herramientas y métodos estándar del proyecto Netfilter de Linux para proporcionar el filtrado de paquetes de IPv4 e IPv6.

Principales características de Netfilter

• Filtrado de paquetes sin estado
• Filtrado de paquetes con estado
• Traducción de direcciones de red
• Traducción de direcciones de puerto

En esta sección del manual de Opuntia proporcionaremos ejemplos de uso de estas características. A modo de revisión, aquí se presenta el flujo general de paquetes[1] a través de las cadenas y tablas de Netfilter de Linux.

Teoría del cortafuegos basado en zonas

Las funciones estándar de cortafuegos de Linux pueden dar lugar a configuraciones largas y repetitivas si se desea que una regla se aplique a varias interfaces. Para ayudar a superar estos problemas, Opuntia implanta el sistema de cortafuegos (firewalling) basado en zonas. Las zonas le permiten agrupar varias interfaces en una Zona y luego aplicar una única regla de cortafuegos a la Zona. Esto simplifica la configuración del conjunto de reglas del cortafuegos al reducir el número total de reglas.

Opuntia implanta dos Zonas predeterminadas Gestión y Wan.

Dependiendo de su plataforma de hardware; las interfaces pueden estar incluidas en las zonas predeterminadas Wan o Gestión. Consulte su Guía de inicio rápido para obtener más información.

Por defecto, Opuntia permite el acceso a la GUI Web en CUALQUIER dirección de interfaz IPv4/IPv6. El

Cortafuegos (firewall)

Navegar a la página de configuración del cortafuegos (firewall).

Menú principal - Red –> Firewall

Pestaña de configuración general

La pestaña Configuración general del cortafuegos (Firewall) tiene tres secciones principales.

• Configuración general
• Enrutamiento/descarga NAT
• Zonas

Configuración general

Sé que es extraño que la pestaña de la GUI sea «Configuración general» y que exista una subsección que también se llame «Configuración general», pero así es como la GUI organiza estos ajustes. Hay dos ajustes en esta sección. Habilitar la protección Inundación-Syn y Rechazar paquetes no válidos. La protección Inundación-Syn está activada por defecto en todas las plataformas Opuntia. Es poco probable que esta opción cause problemas.

La opción Drop Invalid Packets (Rechazar paquetes no válidos) no está habilitada por defecto en ninguna plataforma de Opuntia. Esta opción crea una serie de reglas de cortafuegos cuyo objetivo es descartar los paquetes no válidos que circulan por el sistema. Esta suele ser una opción segura para activar. La regla más impactante que crea esta opción es una regla para descartar los paquetes que no se conocen en la tabla de seguimiento de conexiones (conntrack) de Netfilter.

En la mayoría de los casos en los que hay una sola puerta de acceso a Internet, esta configuración es aceptable. Pero si se utiliza algún tipo de enrutamiento multitrayectoria Multi-Path Routing), esta opción provocará la pérdida de paquetes y la interrupción de las conexiones. Así que tenga cuidado si decide habilitar esta configuración y tiene enrutamiento multitrayectoria.

Además, en esta sección están las tres selecciones de políticas predeterminadas. El valor predeterminado de Opuntia tiene todas las anteriores configuradas para aceptar. Es posible cambiar estas opciones pero debe hacerse con cuidado si se modifica la cadena INPUT o FORWARD.

Enrutamiento/descarga NAT

Esta sección tiene dos opciones. Software flow Offloading (descarga de flujo por software) y si activa esa opción también verá la opción Hardware flow Offloading (descarga de flujo por hardware). Estas opciones pueden permitirle reducir el uso de la cpu omitiendo parte del procesamiento de paquetes predeterminados de Netfilter para los flujos de paquetes conocidos. Esto a veces puede causar problemas con las aplicaciones. Por lo tanto, no están activados por defecto.

Pero si el diseño de su red es sencillo, con una sola puerta de enlace de Internet o sin enrutamiento multitrayectoria, la Software flow Offloading puede reducir en gran medida la carga de la cpu a un rendimiento determinado.

La descarga de flujo de hardware, Hardware flow Offloading, sólo es compatible en determinadas plataformas de hardware. Verifique su Guía de inicio rápido para comprobar si su plataforma admite esta función.

Zonas

Esta sección describe el mapeo de las relaciones de las zonas del cortafuegos con la política de paquetes predeterminadas en estas zonas. Aquí hay una captura de pantalla detallada de la sección de zonas.

Aquí puede ver las dos zonas predeterminadas que están configuradas en Opuntia. Las zonas Wan y Gestión.

Analizando en la zona de Gestión, puede ver la flecha que indica el sentido del tráfico. De la zona de Gestión a la zona Wan.

Limitación del acceso externo

Por defecto, Opuntia es permisivo con el acceso a los servicios locales como la interfaz gráfica de usuario (GUI) web y el inicio de sesión ssh. Aunque es muy útil para permitir el acceso del administrador al equipo, esto puede ser un riesgo para la seguridad. En esta sección del manual se detallará cómo eliminar algunas de las reglas predeterminadas del cortafuegos que permiten el acceso a estos servicios de forma remota.

[1]	Esta imagen es de https://commons.wikimedia.org/wiki/File:Netfilter-packet-flow.svg Es una obra de Common Creatives que se basa en la obra de Joshua Snyders (autor de este manual).