Professional Documents
Culture Documents
normal (puede ser antiguo) de forma gratuita. Como sistema operativo para el cortafuegos utilizaremos
SmoothWall Express, una distribucin de GNU Linux gratuita especfica para este propsito.
Explicamos cmo instalar SmoothWall, cmo preparar el equipo (dos tarjetas de red) y cmo conectar
los equipos al switch y al router. Explicamos cmo administrar y configurar SmoothWall.
Definicin cortafuegos o firewall.
Requisitos necesarios para montar un firewall en la red de nuestra empresa.
Componentes hardware.
Componentes software para el firewall o cortafuegos.
Esquema y explicacin general sobre cmo montaremos el firewall en nuestra LAN.
Preparacin del equipo y las conexiones de red al router y switch.
Instalar el firewall SmoothWall Express en un equipo.
Cmo administrar el cortafuegos o firewall SmoothWall Express.
Men About de la administracin del firewall o cortafuegos SmoothWall.
Menu Services de la administracin del firewall o cortafuegos SmoothWall.
Probando el firewall o cortafuegos, monitorizar, ver log.
Configuracin de red de los equipos de la LAN.
Coste del montaje de un firewall o cortafuegos con SmoothWall Express.
Artculos relacionados.
Crditos.
En primer lugar, a nuestro equipo "viejo" (el que usemos como cortafuegos), le pondremos dos
tarjetas de red, esto es imprescindible para poder montar el firewall. Prepararemos el router (si an
no lo tenemos), conectaremos una de las tarjetas de red del equipo cortafuegos al router (ser la tarjeta
Como se observa en la foto, quedarn las dos tarjetas de red instaladas en el equipo, sern necesarias
(una para conexin con el router y la otra para conexin con el switch):
Una vez instaladas las dos tarjetas de red, utilizaremos dos latiguillos de red RJ45 para conectar la
tarjeta que ms adelante ser la interfaz RED con el router, como muestra la foto:
Conectaremos la segunda tarjeta (la interfaz GREEN) con el switch, al que irn conectados el resto de
los equipos de la LAN:
Y remarcamos que el switch no debe estar conectado con el router. En el router slo estar el cable de
red que va a la tarjeta RED (ms adelante explicamos este concepto) y en el switch estar el cable que
va a la tarjeta GREEN y el resto de cables de los equipos de la LAN (red privada de rea local):
En el equipo donde instalaremos SmoothWall Express que har de cortafuegos habrn quedado las dos
tarjetas de red y las dos conexiones al router y al switch respectivamente:
La pantalla anterior avisa de que los datos del disco duro del equipo sern eliminados para instalar el
nuevo sistema, obviamente esto hay que tenerlo en cuenta y haber hecho copia de seguridad de los
datos (si los hubiera) del disco duro del equipo. Pulsaremos INTRO para iniciar la instalacin del
cortafuegos SmoothWall Express.
Nos mostrar la ventana de bienvenida, con el texto: "Welcome to the SmoothWall Express installation
program. Please visit our homepage at http://www.smoothwall.org. Selecting Cancel on any of the
following screens will reboot the computer.".
Pulsaremos "Ok" (pulsando la barra espaciadora o INTRO, en la instalacin no funcionar el ratn):
Nos indicar que introduzcamos el CD de SmoothWall express, puesto que ya lo tenemos pulsaremos
"Ok" (pulsando INTRO o barra espaciadora):
A continuacin nos avisar de que se preparar el disco duro /dev/hda para ser particionado, con el
texto: "The installation program will now prepare the harddisk on /dev/hda. First the disk will be
partitioned, and then the partitions will have a filesystem put on them". Pulsaremso "Ok":
Nos volver a avisar de que el proceso de particionado eliminar todos los datos del disco duro, con el
texto: "You are about to PERMANENTLY ERASE the contents of the harddisk. This will
OVERWRITE ALL DATA ON ALL PARTITONS on your harddisk. If you would like to continue with
the installation of SmoothWall Express, press the Ok button. Otherwise press Cancel to ABORT the
installation process. There is NO UNDO FEATURE onde this has beed done".
Pulsaremos "Ok" para continuar:
Una vez instalado, nos avisar de que extraigamos el CD de instalacin y pulsaremos Ok para iniciar el
proceso de configuracin de SmoothWall, con el texto "SmoothWall Express was sucessfully installed.
Please remove any floppy disks or CDROMs in the computer. Setup will now run where you may
configure ISDN, network cards, and de system passwords. After Setup has been completed, you should
point your web browser at http://smoothwall:81 or https://smoothwall:441 (or whatever you name your
SmoothWall Express, and configure dialup networking (if required) and remote access. Remember to
set a password for the SmoothWall Express 'dial' user, if you wish non SmoothWall Express 'admin'
users to be able to control the link".
Pulsaremos "Ok":
Introduciremos un nombre para el equipo corgafuegos en la red (hostname), por ejemplo "ajpdsoftfw":
(dispositivo que nos proporciona la conexin a Internet) y la GREEN ser la tarjeta de red conectada al
swith donde estn conectados el resto de equipos de la LAN:
A continuacin deberemos indicar los drivers y la asignacin de las dos tarjetas a RED y a GREEN,
para ello seleccionaremos "Drivers and card assignments" y pulsaremos "Ok":
A continuacin pulsaremos "Ok" para que el sistema detecte las tarjetas de red instaladas en nuestro
equipo:
A continuacin pulsaremos "Probe" para que el sistema autodetecte las tarjetas de red de nuestro
equipo, si no las detecta pulsaremos "Select" para seleccionarlas de una lista o para aadir los drivers
manualmente:
Si el sistema detecta las tarjetas de red mostrar un mensaje como el siguiente, si es correcta la
deteccin pulsaremos "Ok", en caso contrario pulsaremos "Skip":
A continuacin, SmoothWall pedir que se asigne el color GREEN o RED a la tarjeta de red indicada
por la MAC:
Si a la anterior le hemos asignado la GREEN (tarjeta de red que ir conectada del equipo al swith
donde estn el resto de los equipos de la LAN), la queda ser la RED (tarjeta de red que ir conectada
al router o dispositivo que nos proporciona la conexin a Internet):
Nos indicar que las tarjetas han sido correctamente identificadas, pulsaremos "Ok":
A continuacin podremos configuar las direcciones IP de cada tarjeta de red del equipo, para ello
seleccionaremos "Address settings":
Nos avisar de que si cambiamos la IP, las conexiones remotas se desconectarn y tendremos que
volver a conectarnos de nuevo con la nueva IP. En nuestro caso, puesto que es una instalacin desde
cero de SmoothWall, no habr conexiones remotas, pulsaremos "Ok":
Si hemos seleccionado la interfaz GREEN, se corresponder con la red LAN (red local), por lo que esta
tarjeta de red tendr que tener una IP y una mscara de red correspondiente a la del resto de equipos de
la LAN. Adems, hay que tener en cuenta la IP que le asignemos a esta interfaz de red GREEN ser la
puerta de enlace o gateway de todos los equipos.
En nuestro caso, puesto que los equipos de la red tienen IPs del rango 192.168.1.xxx, asignaremos a la
interfaz GREEN la IP: 192.168.1.1 y la mscara: 255.255.255.0:
A continuacin configuraremos la IP para la interfaz RED (la tarjeta de red conectada al router):
Es importante que se entienda lo siguiente: la subred de los equipos de la LAN y de la tarjeta de red
GREEN debe ser diferente a la de la tarjeta de red RED y la del router. Por ejemplo, si la subred de la
LAN es la 192.168.1.xxx, la subred de la tarjeta RED y del router pueden ser 192.168.0.xxx.
Explicamos esto ms detenidamente: el router (o dispositivo de conexin a Internet) debe tener una IP
perteneciente a un rango diferente al de la red LAN (local o privada). En nuestro caso, el router tiene la
IP: 192.168.0.1. En el caso de que el router tenga la IP correspondiente a la subred de la LAN (que es
lo normal antes de tener el cortafuegos o firewall), habr que cambiarle la IP por una de una subred
diferente.
Puesto que la interfaz de red RED est conectada al router, esta tarjeta de red debe tener una IP del
mismo rango. Por ejemplo, si el router tiene la 192.168.0.1, esta tarjeta de red podra tener la
192.168.0.2.
Adems, SmoothWall Express permite que si el router tiene activado el servicio DHCP, la tarjeta de red
RED puede obtener una IP y una mscara de forma automtica que le ser proporcionada por el router,
para ello habr que marcar "DHCP" en la siguiente ventana.
Si queremos establecer una IP fija manual para la interfaz RED marcaremos "Static" e introduciremos
la IP para la interfaz RED:
En resumen: el rango de red del router y de la interfaz RED debe ser diferente al de la LAN y la
interfaz GREEN.
En nuestro caso:
IP del router: 192.168.0.1.
IP de la interfaz RED: 192.168.0.2.
IP de la interfaz GREEN: 192.168.1.1.
Una vez configuradas las IPs de la interfaz GREEN y RED pulsaremos "Done":
A continuacin configuraremos las DNS y el Gateway, para ello seleccionaremos "DNS and Gateway
settings":
Introducremos el servidor DNS primario (Primary DNS), el servidor DNS secundario (Secondary
DNS) y la puerta de enlace (Default Gateway). La puerta de enlace deber ser la IP del router de
nuestra red (dispositivo que nos proporciona conexin a iInternet y que estar conectado nicamente a
la tarjeta RED de nuestro equipo cortafuegos), en nuestro caso 192.168.0.1:
Para activar el servidor de DHCP, para que el equipo con Smooth Wall, adems de cortafuegos, sea
servidor de DHCP, marcaremos "Enabled" y estableceremos los siguientes parmetros:
Start address: direccin IP del rango de la interfaz GREEN a partir de la cual se empezar a
asignar IPs.
End address: direccin IP final, a partir de esta no se asignarn mas IPs.
Primary DNS: direccin IP del servidor de DNS primarios, si hemos establecido en las ventanas
anteriores el servidor de DNS primario y segundario, introduciremos aqu como servidor DNS
la propia IP de la interfaz GREEN: 192.168.1.1.
A continuacin estableceremos tambin la contrasea para el superusuario "root" de GNU Linux (del
sistema operativo):
Con los parmetros anteriores habr quedado instalado y configurado SmoothWall Express, pulsaremos
"Ok" para reiniciarlo e iniciar por primera vez el cortafuegos o firewall SmoothWall Express:
Nos pedir usuario y contrasea, introduciremos como usuario "admin", como contrasea la que
hayamos asignado en pasos anteriores:
Y tendremos acceso a la consola de administracin del firewall SmoothWall Express, desde donde
podremos ver el estado actual, habilitar o deshabilitar servicios, aadir o eliminar reglas de seguridad,
ver log y monitorizar, actulizar SmoothWall, etc.:
Advanced: informacin general del sistema operativo y de las interfaces de red: memoria usada
y libre, disco usado y libre, tabla de rutas, paquetes enviados y recibidos por cada interfaz de
red, mdulos cargados, versin del kernel, etc.:
Traffic grahs: informacin del trfico por cada interfaz de red y por cada equipo de la red
(trfico en tiempo real, trfico acumulado por hora, por da, por semana y por mes).
Bandwidth bars: trfico entrante y saliente en tiempo real por cada IP (equipo) de la red.
Interesante utilidad para ver posibles equipos realizando subidas o bajadas que consuman trfico
en exceso:
Traffic monitor: muestra un grfico con el trfico saliente y entrante por cada equipo de la red
y por cada interfaz del cortafuegos
IM proxy: permite activar los servicios de Instant Messenger Proxy, para capturar las
conversaciones de chat de los distintos servicios: MSN, ICQ, IAM, IRC, Jabber, GTalk, Yahoo,
Gadu-Gdu:
POP3 proxy: posibilidad de activar el servicio POP3 proxy, de forma que el trfico del correo
electrnico ser analizado por el antivirus incluido en SmoothWall: ClamAV, en busca de virus,
de esta forma, antes de que llegue un correo con virus a un usuario, ser analizado y eliminado
por SmoothWall:
SIP proxy: activar/desactivar Session Initiation Protocol, servicio de captura de protocolo VoIP
para llamadas tipo Skype, MSN o Google Talk:
DHCP: activar servicio de DHCP, con esta utilidad el equipo con SmoothWall podr asignar
direcciones IP y configuracin de red (IP, DNS y gateway) al resto de los equipos de la red de
forma automtica, ser suficiente con que los equipos de la red tengan habilitada la optencin de
la IP mediante DHCP:
In Out: desde qu interfaz de red hacia qu interfaz de red del cortafuegos se enva el paquete.
Tipo de protocolo (TCP, UDP, etc.).
Source: IP origen del paquete, desde donde procede el paquete.
Src Port: puerto origen por el que se enva el paquete.
Destination: IP destino del paquete enviado.
Dst Port: puerto de destino del paquete.
COSTE
0,00 euros
70,00 euros
10,00 euros
16,00 euros
Total
96,00 euros
Hay que tener en cuenta que esta solucin firewall, si bien no es tan profesional como otras de pago,
merece la pena para determinadas empresas por su reducido, casi nulo, coste.
Las soluciones de pago profesionales, si bien suelen tener ms y mejores rendimientos y opciones,
pueden ser bastante caras, desde 3.000,00 euros en adelante.