Primeros pasos con m0n0wall
Esta documentación fue escrita en enero de 2004 para proporcionar documentación preliminar para el proyecto de firewall m0n0wall. Fue reemplazado por la documentación oficial del proyecto. Diez años más tarde, el propio muro m0n0 fue reemplazado por otro software de firewall, en particular OPNsense y pfSense. Esta página permanece disponible solo para fines históricos. (Todavía recibe golpes…)
Introducción
El proyecto m0n0wall es un firewall de código abierto basado en FreeBSD diseñado para su uso en hardware de PC mínimo, incluidos dispositivos integrados como las plataformas de hardware Soekris net4501 y net4801, al tiempo que proporciona todas las características esenciales de los dispositivos de firewall comerciales. Prácticamente toda la configuración y administración se realiza utilizando una interfaz basada en la web que hace que la configuración de un firewall robusto sea extremadamente fácil.
La interfaz web, aunque sencilla, asume una cierta comprensión mínima de la administración de red en general y de la pared m0n0 específicamente. Esta guía se escribió para explicar los pasos iniciales necesarios para configurar un sistema m0n0wall para proporcionar los dos servicios — configuración DHCP para clientes y uso compartido de conexiones basado en NAT-que son más útiles para una red doméstica típica.
Esta guía no intenta proporcionar información detallada sobre la configuración de un firewall. Recomendamos dos libros para aprender en profundidad sobre los cortafuegos:
Firewalls y Seguridad de Internet: Repeler al Astuto Hacker
Construir Firewalls de Internet
Importante: Usted es responsable de la seguridad de su propia red. No asumimos ninguna responsabilidad por la seguridad de su red, siga las instrucciones aquí o no.
Principios generales de Firewall y Dispositivos NAT
Fundamentalmente, un sistema basado en m0n0wall se utiliza para conectar dos (o más) redes separadas, permitiendo que dispositivos como computadoras y servidores en ambas redes hagan conexiones permitidas entre sí. Un dispositivo basado en m0n0wall puede agregar conexiones y capacidades a una red, como permitir que muchos sistemas compartan una sola dirección IP pública. También puede restringir las conexiones a los sistemas bajo su control, actuando como guardián para evitar el acceso no autorizado de los sistemas internos por parte de terceros.
A los efectos de esta guía, simplificaremos las posibilidades y solo discutiremos una de las situaciones más comunes en las que se usa con frecuencia el muro m0n0, conectando una red doméstica u de oficina pequeña a Internet a través de una conexión de banda ancha (el acceso telefónico no se analiza aquí):
En la Figura 1, m0n0wall se utiliza para conectar una pequeña red doméstica, la LAN, a Internet, que es la WAN más grande de todas.
]
Antes de comenzar
Antes de comenzar a hacer cambios en su red existente, es una muy, muy buena idea documentar su configuración actual de trabajo. Si su sistema operativo le permite hacer una copia de seguridad de su configuración de red, hágalo ahora.
Documentar una configuración de trabajo es el momento perfecto para recopilar información importante. Tener algunos detalles específicos sobre su red escritos en un solo lugar hará que la configuración y activación de m0n0wall sea mucho más rápida, así como que sea posible retroceder si las cosas salen mal.
El lugar ideal para recopilar esta información es el kit que te envió tu ISP cuando te registraste en tu conexión de red. La mayoría de las personas archivan y pierden esta información, pero afortunadamente, puede obtener la mayor parte simplemente abriendo la utilidad de configuración de red para un equipo cliente que actualmente tiene acceso a Internet:
La información que querrá recopilar es:
Elemento | Campo Cliente | Ejemplo |
---|---|---|
dirección IP de la WAN para m0n0wall dispositivo | Dirección de IP (Mac) dirección de IP (Win2K) |
66.123.45.3 |
Máscara de Subred | Máscara de Subred | 255.255.255.248 |
WAN Puerta de enlace | Router (Mac) Puerta de enlace Predeterminada (Win2K) |
66.123.45.1 |
los Servidores DNS | Servidores DNS (Mac) Preferido / servidor DNS Alternativo |
66.123.45.2 66.123.45.9 |
Si su ISP le dio más de una dirección IP para su red, tendrá que elegir una para darle a m0n0wall. Para simplificar, le recomendamos que elija la dirección IP más baja o más alta asignada a un sistema cliente (no a un servidor). Todos sus sistemas de escritorio obtendrán nuevas direcciones IP “internas”, proporcionadas automáticamente por m0n0wall, por lo que en realidad, elija cualquier dirección que desee.
Descripción general de la configuración de m0n0wall
La configuración de un nuevo dispositivo de m0n0wall consta de los siguientes siete pasos:
- Configuración de hardware, incluidas conexiones de cable de red
- Arranque y configure parámetros mínimos de m0n0wall a través de la interfaz de consola de m0n0wall
- Configure un sistema cliente para la nueva red y conéctese al dispositivo m0n0wall a través de la interfaz web
- Cambie la contraseña de administrador
- Configure m0n0wall
- Configurar la interfaz LAN
- Configurar la interfaz WAN
En su mayor parte, simplemente necesita conectar la información básica que recopiló anteriormente en los lugares correctos de m0n0wall. Ninguno de estos pasos es complicado, y para muchas redes puede aceptar los valores predeterminados, es decir, todo lo que necesita hacer es marcar el paso desactivado.
Configuración de hardware
Si planea ejecutar m0n0wall en el maravilloso hardware de estilo integrado de Soekris (ya sea la serie de dispositivos net4501 o net4801), el proceso de configuración del hardware no podría ser más simple. Esto se debe a que todas las interfaces de red están integradas y m0n0wall las conoce de forma predeterminada.
Si planea ejecutar m0n0wall en un PC estándar, debe asegurarse de que haya suficientes tarjetas de interfaz de red (o interfaces integradas) para poder conectar los cables necesarios al sistema.
En cualquier caso, desea conectar su LAN (probablemente a través de un cable Ethernet conectado a un concentrador o un conmutador) a la primera interfaz de red (Net0), y la WAN (probablemente un cable Ethernet conectado a su módem o enrutador por cable o DSL) a la segunda interfaz de red (Net1):
En los dispositivos Soekris, las interfaces Net0 y Net1 son conectores RJ-45 para 100 Mbps Etherentes, y se etiquetan como Net0 y Net1. Si está configurando su propio PC con múltiples interfaces de red, tendrá que decidir qué interfaz es cuál (y es una buena idea etiquetarlos con uno de esos fabricantes de etiquetas, ¡para que lo recuerde más tarde!).
Nota: en caso de que no sea obvio, sus computadoras de escritorio en su red doméstica deben conectarse entre sí utilizando el resto de los conectores en su concentrador o conmutador LAN Ethernet.
El primer arranque
Una vez que haya conectado su sistema m0n0wall a su red, es hora de encenderlo. Definitivamente, querrá ver el registro y los mensajes que m0n0wall imprime en la consola a medida que se inicia. Los sistemas Soekris se conectan a través de un cable serie a un terminal o al puerto serie de un PC. Un PC normal se puede conectar a un monitor estándar.
A medida que se inicia m0n0wall, verá que muchos mensajes pasan volando; la mayoría de las veces puede ignorarlos y esperar a que aparezca el menú de la consola m0n0wall (los otros mensajes pueden ser útiles cuando se soluciona la solución de problemas de hardware):
La figura 4 muestra la consola m0n0wall después del arranque con la configuración predeterminada de fábrica. Se muestran ajustes importantes, por ejemplo, la dirección IP de la LAN y la asignación actual de interfaces de red. Esta consola es donde debe editar algunos ajustes de configuración iniciales, a menos que su hardware funcione correctamente con los valores predeterminados de m0n0wall (es probable que solo los dispositivos Soekris lo hagan).
También puede usar la consola para restablecer m0n0wall, en caso de que realice cambios a través del WebGUI que hagan imposible conectarse a m0n0wall a través de la red. Por último, puede reiniciar m0n0wall, si ha realizado cambios de configuración que requieran reiniciar.
Configuración de la consola
Nota: Si está ejecutando m0n0wall en un dispositivo integrado Soekris net45xx o net48xx, puede omitir esta sección, ya que la configuración predeterminada de m0n0wall debería funcionar bien.
La consola m0n0wall le permite indicar a m0n0wall los conceptos básicos de cómo conectarse a su red. Debe informar a m0n0wall sobre su red antes de poder usar la interfaz de configuración web, llamada WebGUI, porque WebGUI depende del acceso a la red. En otras palabras, no puede conectarse a m0n0wall a través de la red hasta que haya informado sobre su red.
La información crítica es asignar roles a las diferentes interfaces de red. Debe indicar a m0n0wall qué interfaz de red está conectada a su red interna (LAN) y cuál está conectada a Internet (WAN). Esta es la configuración de puertos que se muestra en el centro de la consola, y puede realizar cambios en la configuración seleccionando la primera opción en el menú de la consola, “Interfaces: asignar puertos de red”:
Cuando elige la opción 1, primero obtiene una lista de las interfaces de red que encontró m0n0wall cuando inicializó el hardware en el que se ejecuta. Estas son las interfaces de red que conoce, y son las únicas interfaces que puede asignar a los puertos m0n0wall. (Algo interesante para observar en la Figura 5 es que el valor predeterminado de fábrica asigna el puerto WAN a la interfaz sis1, pero cuando se enumeran las interfaces válidas, ¡no hay ninguna interfaz sis1 en la lista!)
En cada solicitud, introduzca el nombre de la interfaz que desea asignar al puerto solicitado. Solo introduce el nombre corto de la interfaz, por ejemplo, de0, sis0, etc. (la cadena larga de números y letras es la dirección MAC de Ethernet, y se muestra solo con fines informativos).
Nota: los nombres de la interfaz de red: sis0, de1, etc. – se derivan del nombre del “controlador” para el hardware de la interfaz. Es poco probable que sus interfaces de red tengan estos nombres en ellas. Es posible que tenga que hacer algunas conjeturas educadas sobre qué interfaz es cuál. Simplemente conecte sus cables Ethernet y, si no puede conectarse a WebGUI en la siguiente sección, intente intercambiar los cables.
Para el beneficio de los propietarios de dispositivos Soekris, las interfaces de red están etiquetadas, pero no con los nombres de los dispositivos. Aquí hay una asignación rápida de las etiquetas de la carcasa a los nombres de dispositivo que ve m0n0wall:
- Net0 – > sis0 (debe estar conectado a la LAN)
- Net1 – > sis1 (debe estar conectado a la WAN)
- Net2 – > sis2 (puede estar conectado a la DMZ, no se analiza en esta guía)
La otra configuración que puede querer cambiar es la dirección IP de la LAN. Esta es la dirección IP del sistema m0n0wall tal y como aparece en su red interna. La configuración predeterminada es usar una dirección IP especial para usar solo en redes privadas. Si planea usar NAT para permitir que varios sistemas internos compartan una sola dirección IP “pública”, entonces la dirección IP LAN predeterminada de m0n0wall debería funcionar bien para su configuración.
En esta guía se asume que se utiliza la configuración predeterminada en la red. Las redes y configuraciones más complicadas no se discuten en esta guía; sin embargo, hay una gran cantidad de información sobre este tema disponible en Internet.
Después de asignar interfaces de red a puertos, deberá reiniciar m0n0wall. Si m0n0wall no ofrece hacerlo por usted, simplemente elija la opción 5, “Reiniciar sistema” en el menú de la consola. Una vez que m0n0wall termine de reiniciarse, es hora de reconfigurar al menos un equipo cliente en la LAN para conocer m0n0wall y, a continuación, pasar a la interfaz de configuración web, WebGUI.
Configuración del cliente
Una vez que m0n0wall esté configurado para su red y se haya reiniciado para activar esa configuración, querrá que los sistemas de su red interna (LAN) se conecten a Internet a través de m0n0wall. Para la mayoría de las situaciones, esto no podría ser más sencillo. m0n0wall puede enviar configuraciones de red a todos los clientes de su red, automáticamente, cuando los sistemas cliente se inician. Todo lo que necesita hacer es configurar los sistemas cliente para obtener sus configuraciones de red a través de DHCP:
m0n0wall es muy flexible sobre cómo trabajar con clientes LAN. Existen otras posibilidades de configuración, incluidas las direcciones IP estáticas configuradas en el lado del cliente, la asignación DHCP de direcciones IP fijas a los clientes en función de su dirección MAC Ethernet, y otras. Con frecuencia hay buenas razones para querer estas configuraciones, pero para la mayoría de las redes domésticas es excesivo. Esta guía no aborda estas configuraciones más complejas.
Presentamos la Aplicación de Configuración Web (WebGUI)
La aplicación de configuración web m0n0wall, WebGUI, es donde se realizan la mayoría de los cambios de configuración en m0n0wall. Las interfaces web permiten una experiencia de usuario mucho más agradable que intentar configurar desde la consola todas las diferentes funciones integradas en m0n0wall. WebGUI es fácil de usar y agradable de ver, proporcionando una interfaz de aspecto profesional de alta calidad para m0n0wall.
Para conectarse al WebGUI m0n0wall, escriba en el campo de ubicación de su navegador la dirección IP de LAN que aparece en la consola m0n0wall. Por defecto, esto sería http://192.168.1.1/. Se le pedirá un nombre de usuario y una contraseña. El inicio de sesión es ” admin “y la contraseña predeterminada es”mono”. (¡Esto se cambiará en el siguiente paso!)
Después de ingresar la información de autenticación, si ha configurado correctamente su red física, la configuración de la consola m0n0wall y la configuración de red de su cliente, se le debe presentar la pantalla de presentación WebGUI de m0n0wall:
¡Felicitaciones! ¡Ha realizado el 80% del trabajo para configurar m0n0wall para servir y proteger su red! Casi todo el trabajo duro ha quedado atrás.
Configuración general
Una vez iniciada la sesión en la interfaz de configuración de WebGUI, es posible finalizar la configuración de m0n0wall para su red. El primer paso es cambiar la contraseña administrativa predeterminada, que se realiza en el panel Sistema / Configuración general:
Ingrese la nueva contraseña de administrador en los campos de contraseña a mitad del panel de configuración general y haga clic en el botón Guardar en la parte inferior. No te preocupes por los otros ajustes todavía, solo cambia la contraseña. (Olvidarse de cambiar las contraseñas predeterminadas es el agujero de seguridad número uno en la infraestructura de red.) m0n0wall debe informar que ha guardado correctamente los cambios.
Después de cambiar la contraseña de administrador, el resto de las opciones del panel de configuración general se pueden revisar y actualizar. Los ajustes importantes a introducir son:
- Dominio, si tiene uno
- Servidores DNS (el suyo o los suministrados por su ISP)
- Zona horaria (elija una ciudad en su zona horaria; a menos que tenga suerte, su propia ciudad no estará en la lista)
Si alguna vez administrará m0n0wall de forma remota desde una red pública, también debe cambiar el protocolo WebGUI a HTTPS. Si lo hace, recuerde que la URL para acceder a WebGUI cambiará a https://192.168.1.1/ (si está utilizando la dirección predeterminada); tenga en cuenta que la URL ahora comienza con https, no http.
Además, al acceder a la nueva URL, es posible que su navegador le avise de que no puede verificar la autenticidad del sitio. Puede eliminar este mensaje entregando al servidor un certificado SSL en la sección Certificado/clave SSL de WebGUI del panel Diagnóstico / Configuración avanzada. Esto está más allá del alcance de esta guía. ]
Las otras configuraciones aquí pueden ser útiles para modificar, pero no las trataremos en esta guía.
Configurar la interfaz LAN
Para configurar o revisar la configuración de la interfaz LAN, vaya al panel Interfaces / LAN:
La configuración aquí le permite configurar el rango de direcciones IP que se pueden usar en su red interna. Si tiene una red relativamente pequeña (menos de 200 sistemas) y planea usar NAT para conectarlos a Internet, no hay una buena razón para realizar cambios en la configuración predeterminada de m0n0wall para la interfaz LAN.
Si su red interna es grande y, por lo tanto, necesita una gama más amplia de direcciones IP, puede realizar ese cambio aquí. Introduzca la dirección IP de m0n0wall en su red interna y, a continuación, con el menú emergente máscara de red de estilo CIDR, diga qué tamaño debe tener la red. Si su red tiene más de 200 sistemas, también puede ir todo aquí e ingresar 10.0.0.1 / 8 para asignar un rango muy grande de direcciones IP a su red interna.
Si bien el número de campos de configuración en este panel es pequeño, el rango de posibilidades y las razones para realizar cambios a partir de los valores predeterminados es bastante grande. Si los valores predeterminados no satisfacen sus necesidades, probablemente necesite una referencia de red mucho más grande que esta guía. ]
Configurar la interfaz WAN
El paso final para configurar m0n0wall por primera vez es configurar la interfaz WAN. Esto se hace utilizando el panel de configuración de interfaces / WAN:
La configuración aquí indica a m0n0wall cómo conectarse a la red externa, generalmente la conexión de su ISP a Internet. Hay una variedad de formas en las que las redes externas permiten las conexiones, por lo que este panel de configuración parece tan complicado. ¡No te preocupes, no tienes que llenarlo todo!
Primero, debe decirle a m0n0wall qué tipo de conexión debe realizar. Hay cuatro tipos diferentes de interfaz WAN, que se configuran a través del menú emergente Tipo. El tipo que elija dependerá del tipo de red a la que se conecte. Las tres primeras opciones (DHCP, Estática y PPPoE) se utilizan con mayor frecuencia para conectarse a Internet a través de un ISP. La última opción (PPTP) se usa comúnmente para conectarse a redes privadas, es decir, conectar una oficina satélite con la red corporativa principal. PPTP no se discutirá aquí.
Para cada tipo de conexión, hay una sección más abajo en el panel, que le permite ingresar los detalles de la conexión. Solo necesita completar los detalles para el tipo de conexión que ha elegido. Toda la otra información puede y debe dejarse en blanco. Esto significa que el panel de configuración de la interfaz WAN es mucho más simple de lo que parece.
Interfaz WAN DHCP
De la misma manera que m0n0wall puede usar DHCP para distribuir la configuración de red a sus sistemas cliente, su ISP puede usar DHCP para proporcionar la configuración de red que m0n0wall puede usar para sí mismo. Si la red de su ISP proporciona DHCP, entonces esta es, con mucho, la forma más fácil de configurar. De hecho, debido a que esta es la configuración predeterminada, es posible que su conexión de red ya esté funcionando. (Siga adelante y pruebe, como se describe en Probar la conexión de red a continuación.)
La única configuración que puede necesitar proporcionar para una conexión DHCP es el nombre de host, en la sección Configuración del cliente DHCP del panel. Su ISP tendrá que decirle qué, si es que hay algo, poner en este campo. Pero si tu conexión ya está funcionando, puedes dejarla en blanco.
Una vez que haya introducido la información adecuada en la sección de interfaz WAN DHCP, haga clic en el botón Guardar en la parte inferior del panel.
Interfaz WAN estática
Si recibió una dirección IP fija de su ISP (en lugar de una dirección IP dinámica, que cambia regularmente), querrá configurar una interfaz WAN estática. Este es comúnmente el caso si tiene un acuerdo de servicio de” conexión de clase empresarial ” con su ISP, que entre otras cosas le permite ejecutar sus propios servidores sin violar los términos de servicio de su ISP. Pero hay una variedad de razones por las que es posible que tenga una dirección IP fija o estática que le proporcione su ISP. En cualquier caso, si le dieron una dirección IP y una máscara de red para usar en su configuración de red, este es el camino a seguir.
Configurar una interfaz WAN estática no es mucho más difícil que una interfaz WAN DHCP, una vez que haya recopilado la información necesaria como se describe al principio de este documento. Necesitará los siguientes detalles:
- dirección IP m0n0wall
- Dirección IP de puerta de enlace de red
- Máscara de red de red
Introduzca la dirección IP m0n0wall en el campo Dirección IP y la dirección IP de puerta de enlace de red en el campo Puerta de enlace.
La máscara de red es un poco complicada. La mayoría de los ISP y sistemas operativos de escritorio muestran la máscara de red como una serie de cuatro números separados por puntos (muy similar a una dirección IP), por ejemplo, 255.255.255.248. m0n0wall utiliza la notación de estilo CIDR, que es una barra diagonal ( ” / ” ) y un número entre 1 y 31. Lo ingresa a través del menú emergente después del campo de dirección IP.
Explicar las diferencias o la fórmula de conversión es más complicado de lo que vale la pena. Aquí hay una tabla de traducción que puede usar para convertir de las máscaras de red de estilo tradicional más probables a máscaras de red de estilo CIDR:
Traditional Netmask | CIDR Netmask |
---|---|
255.255.255.254 | 31 |
255.255.255.252 | 30 |
255.255.255.248 | 29 |
255.255.255.240 | 28 |
255.255.255.224 | 27 |
255.255.255.0 | 24 |
255.255.0.0 | 16 |
Una vez que haya introducido la información adecuada en la sección de interfaz WAN estática, haga clic en el botón Guardar en la parte inferior del panel.
Interfaz WAN PPPoE
PPP era la forma estándar de conectarse a Internet a través de una conexión de acceso telefónico utilizando un módem regular y una línea telefónica. PPPoE es una forma de hacer PPP a través de Ethernet, en lugar de una línea telefónica.
Aunque suena complicado, la buena noticia es que PPPoE es el segundo tipo de interfaz WAN más fácil de configurar, después de DHCP. Solo necesita conectar su nombre de usuario y contraseña de PPPoE en la sección de configuración de PPPoE del panel de configuración de la interfaz WAN.
Es posible que también necesite el nombre del servicio en esta misma sección, pero como sugiere la interfaz m0n0wall, probablemente pueda omitirlo. Intente conectarse con él en blanco, y si no funciona, busque esto en la información que le envía su ISP, etc.
Una vez que haya introducido la información adecuada en la sección de interfaz WAN de PPPoE, haga clic en el botón Guardar en la parte inferior del panel.
Probar la conexión de red
Una vez que haya introducido la configuración necesaria como se describe anteriormente, estará listo para probar su conexión de red. La forma más sencilla de hacerlo es visitar un sitio web público utilizando el mismo navegador web que acaba de usar para configurar m0n0wall. Trate de yahoo.com, google.com o itunes.com para empezar. Si alguno de los sitios se carga, su configuración de m0n0wall probablemente esté funcionando bien. ¡Felicitaciones!
Es posible que desee probar otros tipos de conexiones de red además de las conexiones web, porque algunos protocolos de red se comportan de manera diferente al protocolo HTTP que subyace a la web.
Un ejemplo que merece ser revisado es FTP, que definitivamente necesita configurarse correctamente para funcionar detrás de m0n0wall. De forma predeterminada, m0n0wall solo admite FTP “pasivo”, y es probable que el FTP” activo ” falle. (La diferencia entre FTP activo y pasivo es complicada.) Es posible que necesite realizar cambios de configuración en su sistema o herramientas de transferencia de archivos:
Otras aplicaciones que puede probar en este momento incluyen reproductores multimedia de streaming. Ve a QuickTime.com y ver algunos trailers de películas. Ir a NPR.org y escuchar algunas noticias, o el último episodio de Fresh Air. Usa iTunes para escuchar algunas muestras de música de iTunes Music Store.
Probar el firewall
Probar efectiva y completamente un firewall es un tema que va mucho más allá del alcance de esta guía. Sin embargo, usted puede hacer uso de ShieldsUP de Gibson Research Corporation! servicio para probar rápidamente su nueva puerta de enlace m0n0wall. Si bien no es un sustituto de una evaluación profesional de la seguridad de su red, es una excelente manera de identificar algunos de los orificios más fáciles de tapar que puede haber pasado por alto.
Solución de problemas
]
Leave a Reply