MANUAL FIREWALL “PACKET FILTER ” EN OPENBSD 4.

Por:

Jennifer Julieth Murillo Areiza

Administración de Redes de Computadores

Docente

Fernando Quintero

SENA Centro De Servicios y Gestión Empresarial CESGE

MEDELLIN

2010

Firewalls “Packet Filter” en OpenBsd Página 1

 CONTENIDO

Pág.

INTRODUCCION

OBJETIVOS……………………………………………………………………….4

 Objetivos Generales
 Objetivos Específicos

1. Conceptos Previos …………………………………………………………...5

2. Caso Planteado ………………………………………………………………6
3. Configuración de Red………………………………………………………...7
4. Habilitar Reenvió de Paquetes………………………………………………7
5. Habilitar Packet Filter………………………………………………………....8
6. Planteamiento de las Reglas………………………………………………...8
7. Reiniciar Packet Filter………………………………………………………....9

CONCLUSIONES
BIBLIOGRAFIA

Firewalls “Packet Filter” en OpenBsd Página 2

 INTRODUCCION

En el siguiente documento se explicara brevemente como implementar un

Firewall con la herramienta Packet Filter, recreando un escenario que tendrá
una LAN, un DMZ y una WAN.

OBJETIVOS

Firewalls “Packet Filter” en OpenBsd Página 3

  Objetivos Generales

Configurar un firewall donde se muestre el funcionamiento de la

herramienta Packet Filter.

 Objetivos Específicos

Definir 3 zonas en el Firewall Internet, LAN y DMZ.

Tener 3 servidores en la red DMZ y 2 Servidores en la LAN
Permitir el acceso a Internet a los Usuarios de la LAN sin problemas
Filtrar el Tráfico proveniente de internet adecuadamente, permitiendo
que solo los servicios que se encuentran en la DMZ sean accesibles.

Firewalls “Packet Filter” en OpenBsd Página 4

 CONCEPTOS PREVIOS

¿Qué es un firewall?

Un firewall o cortafuegos es un sistema de defensa, puede ser por hardware o

por software. Básicamente lo que hace es poner una barrera entre la red
interna e Internet, permitiendo solo la entrada y salida solo de los paquetes que
se encuentren autorizados en el.

¿Qué es Packet Filter?

Packet Filter es el filtro de paquetes para OpenBSD, este nos permite hacer
NAT, normalizar el tráfico, proveer control del ancho de banda etc.

Packet Filter se diferencia de las otras herramientas por su facilidad para

manejarlo, ya que posee opciones que hacen que sea más entendible lo que se
pretende hacer, una de esas opciones son por ejemplo los “MACROS” ya que
con estos nos ahorramos un largo trabajo.

Firewalls “Packet Filter” en OpenBsd Página 5

2. Caso Planteado

INTERNA “LAN”
192.168.268.0/24

Según lo planteado en el diagrama anterior, el firewall cumplirá con lo

siguiente.
Los usuarios de la LAN podrán navegar en internet.
Los servidores que se encuentran en la DMZ deben ser accesibles
desde la LAN
El servidor de DB Mysql que se encuentra en la LAN debe ser accesible
desde la DMZ
Se permite el trafico DNS entre todas las interfaces
Los ping deben estar habilitados internamente entre la LAN y DMZ,
desde internet no.

Firewalls “Packet Filter” en OpenBsd Página 6

 3. Configurar Interfaces de Red

Para empezar primero se va a configurar las interfaces a utilizar. Los archivos

de configuración de las interfaces se encuentran en /etc./hostname.*. Entramos
a editar.

WAN

#cat < /etc/hostname.vic0

dhcp

INTERNA

#cat < /etc/hostname.vic1

Inet 192.168.238.2 255.255.255.0 NONE

DMZ

#cat < /etc/hostname.vic2

Inet 172.24.2.2 255.255.255.0 NONE

4. Habilitar el Reenvió de Paquetes

Para que las tarjetas se puedan comunicar entre si es necesario esta parte,
para ello entramos al archive /etc/sysctl.conf, aqui se busca la siguiente linea
net.inet.ip.forwarding y la des comentamos. Generalmente se encuentra en la
primera línea.

# nano /etc/sysctl.conf

Firewalls “Packet Filter” en OpenBsd Página 7

 5. Habilitar Packet Filter

Para ello entramos a /etc/rc.conf, aquí se busca la siguiente línea “pf=YES”, se

verifica que este en YES, si no se cambia a este valor.

6. Planteamiento de Reglas

Después de esto se puede proceder a hacer las reglas que cumplan con el
caso plateado.

# $OpenBSD: pf.conf , v 1.44 2009/06/10 15:29:34 sobrado Exp $

#Definir los macros

externa=”vic0”
interna=”vic1”
dmz=”vic2”
web=”172.24.2.3”
mysql=”192.168.238.2”
moodle=”172.24.2.4”
chat=”172.24.2.4”
lan=”192.168.238.0/24”
red_dmz=”172.24.2.0/24”
port_web=”{80 443}”
port_chat=”{9090 9091}”
port_mysql=”3306”

#Permitir trafico en la loopback

Set skip on lo

#Hacer NAT desde LAN a WAN

Nat on $externa inet from ¡($externa) to any -> ($externa)

#Redireccion de los Puertos

rdr log on $externa proto tcp from any to ($externa) port $port_web -> web
rdr log on $externa proto tcp from any to ($externa) port $port_web -> moodle
rdr log on $externa proto tcp from any to ($externa ) port $port_chat -> chat

#Acceptar conexiones en los servidores

pass in log quick on $externa proto tcp from any to $web port $port_web
pass in log quick on $externa proto tcp from any to $moodle port $port_web
pass in log quick on $externa proto tcp from any to $chat port $port_chat
pass out log quick on $interna proto tcp from any to $web port $port_web
pass out log quick on $interna proto tcp from any to $moodle port $port_web
pass out log quick on $interna proto tcp from any to $chat port $port_chat

Firewalls “Packet Filter” en OpenBsd Página 8

#Permitir el paso desde LAN hacia DMZ
pass in log quick on $interna proto tcp from $lan to $web port $port_web
pass in log quick on $interna proto tcp from $lan to $chat port $port_chat
pass in log quick on $interna proto tcp from $lan to $moodle port $port_web
pass out log quick on $dmz proto tcp from any to $web port $port_web

pass out log quick on $dmz proto tcp from any to $moodle port $port_web
pass out log quick on $dmz proto tcp from any to $chat port $port_chat

#Permitir acceso al DMZ a MYSQL

pass in log quick on $dmz proto tcp from $red_dmz to $mysql port $port_mysql
pass out log quick on $dmz proto tcp from $red_dmz to $mysql port $port_mysql

#Permitir el PING
pass in log quick on $dmz proto icmp from any to any
pass in log quick on $interna proto icmp from any to any
pass out log quick on $dmz proto icmp from any to any
pass out quick on $interna proto icmp from any to any

#Habilitar la salida desde la Lan hacia cualquier destino

Pass in log quick on $interna from $lan to any

#Habilitar salida de paquetes para la Wan

Pass out log quick on $externa from any to any

#Bloquear el resto de peticiones

Block in quick on $externa
Block in quick on $interna
Block in quick on $dmz

7. Reiniciar PF
Luego de terminar de hacer las reglas se guarda el archivo y se recarga el
firewall.

# pfctl –f /etc/pf.conf

Si no saca fallos entonces se procede a las pruebas.

Firewalls “Packet Filter” en OpenBsd Página 9

 CONCLUSIONES

De anterior ejercicio pude concluir que para poder montar un firewall primero se
debe tener muy claro que es lo que en realidad se quiere hacer, ya que a la
hora de hacer las reglas siempre es un poco enredado. Sin embargo la
facilidad de PF facilito mucho el desarrollo rápido del ejercicio.

Firewalls “Packet Filter” en OpenBsd Página 10

BIBLIOGRAFIA

Documentos de la página de OpenBSD Colombia.

http://www.openbsd.org/faq/pf/es/nat.html

Firewalls “Packet Filter” en OpenBsd Página 11