Tareas #6000

Tareas #5929: Nueva plataforma de servidores

Instalar el firewall Mate

Añadido por Daniel Viñar Ulriksen hace 3 meses. Actualizado hace 14 días.

Estado:ResueltaFecha de inicio:2018-06-26
Prioridad:NormalFecha fin:
Asignado a:Daniel Viñar Ulriksen% Realizado:

60%

Categoría:-Tiempo dedicado:86.00 horas
Versión prevista:-

Descripción

Para el firewall usamos un servidor 1U disponible en CCI y lo denominamos Mate.

Como appliance de cortafuegos, estuvimos mirando un poco de documentación sobre pfsense, su origen por fork en m0n0wall y otros forks de la familia, y vamos a probar OPNSense

Histórico

#1 Actualizado por Daniel Viñar Ulriksen hace 3 meses

  • Estado cambiado Nueva por En curso
  • % Realizado cambiado 0 por 10

Actualizado el firmware del servidor a la última versión 2.5.

#2 Actualizado por Daniel Viñar Ulriksen hace 3 meses

Descargado el opnsense, y vamos paso a paso:
  • OjO: luego de copiar la imagen a un pendrive, éste no parece contener nada,
  • no obstante arranca, en una configuración live
  • Por omisión, opnsense está configurado en enrutador,
  • accedemos sin problema a la interfaz web y otras configuraciones, a través de la IP LAN
  • para instalarlo, hay que ingresar con el usuario "installer",
  • instalamos el opnsense en el servidor, y ahora tenemos que lograr convertir la configuración a bridge

#3 Actualizado por Daniel Viñar Ulriksen hace alrededor de 2 meses

La configuración en bridge parece tener sus diferencias entre lo documentado y la versión actual, auqnque también experimentamos problemas con nuestro entorno de reproducción de la red 164.73.98/24 con viejos routercitos personales.

Empezamos de nuevo paso a paso, documentando:

  1. Por omisión el opnsense viene en enrutador, cliente DHCP en la interface WAN, servidor DHCP sobre la IP 192.168.1.1/24 en la interfaz LAN,
  2. Ingresamos en consola del servidor con el acceso por omisión (root/opnsense). Opción 3: cambiamos enseguida la contraseña por omisión,
  3. podríamos desde consola modificar la IP, probemos conectarnos primero, poniendo una dirección en 192.168.1/24 al cliente,
  4. el acceso web https://192.168.1.1 empieza por un Wizard, primera vez que veo donce personalizar el OPNsense.localdomain. Corramos el asistente,
  5. sorry, no Spanish for the GUI,
  6. El wizard solicita diversos parámetros (resolvedores, NS, servidores de tiempo, contraseña admin, etc.) pero sólo permite la configuración de red en enrutador, no en puente. completamos el wizard y aplicamos la configuración.

#4 Actualizado por Daniel Viñar Ulriksen hace alrededor de 2 meses

Instalación por wizard terminada, conectado a la pata interna del firewall con su dirección IP objetivo, pasmos a aplicar el howto para configurar un transparent filtering bridge

  1. Desactivamos el NAT saliente (sin completar con "Apply changeS", como documentado), todo ok,
  2. Activamos los filtros de paquetes por las interfaces puente y la desactivamos en sus puertos miembros, todo ok también,
  3. Creamos el bridge, todo ok,
  4. Configuramos una interfaz, para evitar conflictos, como le pusimos la IP de prod (164.73.98.2) a la interfaz LAN, cambiamos dos veces, poniendo otra IP para empezar y suprimiendo la IP de la interfaz LAN después. De paso también cambiamos los nombres de los puertos, que llmamos: RAU la externa y NUBE la interna.
  5. La desactivación de reglas de filtrado de IPs truchas también es casi igual,
  6. Desactivar el DHCP en la LAN, ok,
  7. Reglas que abren el firewall Agregamos las reglas en la interfaz puente y en la interfaz WAN (aunque esta última no debería tener efecto, por los tuneables anteriores)
  8. Desactivar las reglas anti-bloqueo. Diferencia: la opción está en "Advanced" (bastante abajo), no en "Admin Access".
  9. Tipo de interfaces LAN y WAN a none todo ok,
  10. Concluimos aplicando los cambios
Todo parece andar... mientras estamos conectados todos a un mismo pequeño router (con IP .98.1, y gestión del DHCP y de un NAT para salir, el firewall conectado desde su pata LAN). Pero en cuanto paso la pata interna y mi máquina a un pequeño switch sólo capa 2 y dejo la interfaz externa en el pequeño router precedente, el firewall parece trancarse:
  • desde el fw Mate a mi compu, ping funciona perfecto,
  • desde mi máquina (.98.100) al router no tengo nada de red: ni ping, ni ssh ni https. No obstante el FW ve los ping que llegan,
  • el fw funciona sin problema como bridge, desde mi máquina atras del mismo llego a todo internet.

Aunque reinicie todos los servicios y máquinas, no anda.

#5 Actualizado por Daniel Viñar Ulriksen hace alrededor de 2 meses

  • % Realizado cambiado 10 por 40

El firewall parece bien instalado, cuando se lo accede solo desde una de las dos patas del puente. Pero, cuando se lo configura efectivamente físicamente en puente, no logramos ni accederlo ni acceder en IP al otro lado del switch. No obstante, desde el firewall mismo, se llega tanto a internet como a la estación de trabajo interna. Y, desde la estación de trabajo, se llega en capa 2 (arping) hasta el firtewall mismo y hasta el otro lado del firewall, a la pasarela.

#6 Actualizado por Daniel Viñar Ulriksen hace alrededor de 2 meses

  • Estado cambiado En curso por Resuelta
  • % Realizado cambiado 40 por 60

Tráfico TCP a través del firewall resuelto. Con esto lo podemos llevar a SeCIU y ponerlo en producción.

Era cosa de NO definir una "Upstram Gateway" en la interfaz bridge.

No obstante, el tráfico de ciertos paquetes es algo extraño. Empezando por el ping:
  • llego a la gateway:
    ulvida@bourdieu:~$ ping 164.73.98.1
    PING 164.73.98.1 (164.73.98.1) 56(84) bytes of data.
    64 bytes from 164.73.98.1: icmp_seq=1 ttl=252 time=1.30 ms
    64 bytes from 164.73.98.1: icmp_seq=2 ttl=252 time=2.07 ms
    64 bytes from 164.73.98.1: icmp_seq=3 ttl=252 time=1.66 ms
    ^C
    --- 164.73.98.1 ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 2003ms
    rtt min/avg/max/mdev = 1.307/1.683/2.077/0.316 ms
    

    Pero no llego ni al mismo firewall (.2), ni a otra IP de la misma red pero situada del otro lado del bridge (yo soy la .101 y me dirijo ala .100):
    ulvida@bourdieu:~$ ping 164.73.98.100
    PING 164.73.98.100 (164.73.98.100) 56(84) bytes of data.
    ^C
    --- 164.73.98.100 ping statistics ---
    24 packets transmitted, 0 received, 100% packet loss, time 23552ms
    
    ulvida@bourdieu:~$ ping 164.73.98.2
    PING 164.73.98.2 (164.73.98.2) 56(84) bytes of data.
    ^C
    --- 164.73.98.2 ping statistics ---
    5 packets transmitted, 0 received, 100% packet loss, time 4088ms
    

    Haciendo ping a la .100, con tcpdump, no veo pasar buena parte de los paquetes, con cosas algo bizarras según la configuracion.

Exportar a: Atom PDF