Definición de la red

eth1: Interfase para conexión a internet (ip dinámica)
eth2: Interfase para la red local (192.168.8.0/24)

Hacemos una copia de la instalación anterior y eliminamos (si existe)

Descargamos e Instalamos

Documentación oficial
En toda instalación de un firewall hay particularidades, por lo que recomiendo leer la documentación oficial de shorewall. Iré poniendo links a la documentación oficial sobre cada acción.

[DOC] Sobre la estructura de los ficheros de configuración

Comandos necesarios para el arranque: /etc/shorewall/init

Que cargue con el modulo de IFB, creando solo un dispositivo que será ifb0.

/etc/shorewall/interfaces

/etc/shorewall/masq
[DOC] NAT – NAT2

/etc/shorewall/zones
[DOC] Zonas bajo control

/etc/shorewall/policy
[DOC] Politica general

/etc/shorewall/rules
[DOC] Reglas

* Hasta aquí es lo básico en cuando a seguridad y NAT, con esto la red ya funciona. A partir de aquí es QoS o Traffic Shaping.

/etc/shorewall/tcdevices
[DOC] Devices – Redirigir el tráfico a IFB

/etc/shorewall/tcclasses
[DOC] Clases

Ahora es donde voy a dar mi opinion sobre como deberían ir estas clases, esto depende de la experiencia de cada uno, pero en fin, esta es la mía:

• Dividir en tres partes VoIP y Video IP (1:10 y 2:10) , ICMP/DNS y puertos conocidos (1:11 y 2:11) y por último tráfico desconocido (1:19 y 2:19)
• Antes le daba mayor prioridad a SSH o ICMP y en mantenimientos he cortado llamadas y en alguna prueba de rendimiento también me quede sin teléfonos (que también puede ser un ataque DDoS u otros..)
• La segunda clase sera para icmp y dns y tráfico conocido, y esta esta dividida en subclases con el fin de garantizar un mínimo a cada conexión
• En mi red tengo un servidor DNS para que los equipos no vayan a buscar cada dominio en internet, de modo que al DNS le doy más prioridad que al trafico en si mismo ya que se realiza pocas veces y agiliza la navegación
• Y ya que tengo servicios dentro de la red que son utilizados en ocasiones desde fuera de ella considero que se aplican los mismos principios para el trafico entrante
• Sobre los porcentajes que he utilizado en este ejemplo es por el ancho de banda que tengo en esa instalación, esto cada uno lo tiene que mirar pero yo he intentado garantizar 128kbit a la voip tanto de subida como de bajada
• Lo de enviar el tráfico desconocido a la última clase es para evitar el esfuerzo y la complicación de identificar las conexiones P2P, hay otras técnicas pero al final después de muchas pruebas esto es lo que me ha resultado más fácil de mantener

/etc/shorewall/tcfilters
[DOC] Filtros para identificar el tráfico

Yo he identificado estos puertos como útiles para mi red, como decía antes, cada uno sabrá lo que le es útil y lo que no.

Esto es todo, ahora compilamos:

He realizado unas cuantas instalaciones de shorewall 4.2 en ubuntu server 8.04-LTS y están funcionando muy bien, lo recomiendo. Aún no he probado la última versión de shorewall 4.4 pero cuando lo haga lo publicaré. Tras un par de intentos fallidos de utilizar los repositorios PPA de Ubuntu creo que es mejor no utilizarlos, instalar el paquete es muy fácil y no requiere demasiadas actualizaciones.

El objetivo de una instalación de este tipo es mantener una buena calidad de conexión para todos los equipos en una red local, para evitar que ninguno de los ordenadores acapare la conexión (ni con p2p, http, ftp,…). En definitiva, QoS (Quality of services).

Antes de que alguien me meta caña por lo que voy a decir, puntualizo que esto es para una red de ordenadores, no para servidores. Si alguien quiere montar un firewall con QoS para servidores debe tomar en cuenta otras cosas como ataques DDoS, flush control, etc.. etc.. largo etc..

Instalar Ubuntu Server 8.04 (o el LTS del momento)

En la instalación solo hace falta OpenSSH (ni escritorio, ni apache, ni nada..)

* Definición de la red

eth1 Tarjeta ethernet que va a internet
eth2 Tarjeta ethernet que va al switch de la red local

* A partir veremos lo que es la instalación

Una vez instalado descargamos shorewall-comon y shorewall-perl

Descomprimimos

Instalamos shorewall-perl

Instalamos shorewall-common

Editamos /etc/default/shorewall y cambiamos una variable de 0 a 1.

Copiamos el fichero para que se ejecute al inciar el sistema y lo definimos en el arranque

* A partir veremos lo que es la configuración básica del firewall

Editamos /etc/shorewall/init
Con esto lo que hacemos es decir a shorewall que inicie el modulo ifb, lenbante la interface y cree un directorio donde pondrá el -PID- de shorewall

Ahora definimos las interfaces y sus funciones
Editamos /etc/shorewall/init
En este caso tenemos eth1 para internet y eth2 para la red local. En el caso de la red local yo utilizo un servidor de DHCP, que está en el mismo servidor donde instalo shorewall

Definimos las zonas.
Editamos /etc/shorewall/zones

Aquí tenemos un tema de conceptos:
fw se refiere al mismo servidor, al mismo firewall
net se refiere a internet, las conexiones desde fuera que NO la interface de conexión con internet
loc se refiere a la red local

Activamos la función de masquerading, es decir NAT (sería DNAT).
Editamos /etc/shorewall/masq

Ahora definimos las reglas generales por las que va a funcionar este firewall.
Editamos /etc/shorewall/policy
Aquí le diremos que todos las conexiones de la red local pueden ir a internet o bien lo contrario. En este caso es una red local con libre acceso a internet, pero no podrá entrar ninguna conexión desde internet. El mismo tiempo le decimos que las conexiones de internet en dirección al firewall no serán aceptadas pero si las de la red local.

Activamos la función de masquerading, es decir NAT (sería DNAT).
Editamos /etc/shorewall/masq

* A partir de aquí empieza todo lo referente a QoS

Definimos las interfaces que estarán en las reglas de QoS.
Editamos /etc/shorewall/tcdevices
En este caso tenemos 350kbit de subida y 6000kbit de bajada

Aquí esta todo en OUT-BANDWIDTH porque lo que hacemos realmente es redirigir todo el tráfico entrante de eth1 ha ifb0 para que esta pueda rechazar paquetes simulando que no tiene ancho de banda suficiente. Esto no se puede hacer directamente sin ifb ya que no podemos decir al driver de la tarjeta que rechace determinados paquetes.

Definimos las class para la red.
Editamos /etc/shorewall/tcclasses

Las clases son colas, igual que al llegar a aduanas. Una cola para personas del mismo país, otra para extranjeros, etc.. etc.. Pero al tratarse de una red lo que encolamos son paquetes. Con otro archivo diremos en que cola debe entrar cada tipo de conexión pero en este creamos los niveles. (más info)

Ahora definimos que paquetes van por cada class.
Editamos /etc/shorewall/tcfilters
El tráfico más importante es el de icmp para establecer las conexiones, luego los puertos de mantenimiento como SSH (DNS también está en esta clase para que no tarde en buscar el host cada solicitud), luego puertos más utilizados para la red local (web, mail, etc..) y todo lo que no coincida con lo anterior lo mandaremos a la última class, la de menos peso.

Y listo, ejecutamos y a probar:

ACTUALIZACIÓN (13/Oct/2009): Me equivoqué en la edición de ‘/etc/shorewall/tcfilters’, como está ahora mismo es la versión correcta.