Páginas

viernes, 29 de noviembre de 2013

Firewall ipfilterscript freebsd

Generar automáticamente reglas de firewall

Es muy importante estar protegido por un firewall y para configurarlo están las páginas de manual y la ayuda que los tutoriales ofrecen. Con el tiempo y la molestia suficiente, podrías escribir una configuración de cortafuegos para cualquier situación. Todos son razonablemente similares, aunque, es posible generar la configuración contestando unas preguntas.

Ese es el propósito de la secuencia de comandos de configuración de IPFilter script: para generar reglas de configuración de cortafuegos SOHO típicos utilizando FreeBSD y IPFilter.  Todos los beneficios de un servidor de seguridad sin tener que aprender la sintaxis. Con este script , debe ser capaz de establecer un cortafuegos típico sin conocimientos de configuración de FreeBSD en absoluto para proteger los ordenadores de la red interna (LAN).

Un gran guión para tener los pc's seguros a medida que descubre el FreeBSD server. Ahora usted puede estar tranquilo al pensar que sus máquinas están protegidas.

Servidor FreeBSD con dos internafes de red.

em1 = 192.168.1.0/24 wan
em0 = 192.168.3.0/24 lan

IP router = 192.168.1.1

nic_externa="em1" IP 192.168..250
nic_interna="em0" IP 192.168.3.1

Compilar estáticamente el soporte para IPF en el kernel:

Entrar al servidor a través de conexión segura SSH:

$ ssh -l carlos -p 2222 192.168.3.1
Password:

$ hostname
freebsdsvr.linux.bcn

Si el directorio /usr/src/sys no existe quiere decir que las fuentes del kernel no están instaladas.

Es necesario tener el código fuente completo de FreeBSD para poder compilar el kernel.

Descargar las fuentes del kernel 9.1-RELEASE:

$ cd ~/descargas
$ wget ftp://ftp.freebsd.org/pub/FreeBSD/releases/amd64/9.1-RELEASE/src.txz

Descomprimir el archivo a /usr/src:
# tar -C / -xzvf src.txz

Ahora desde el directorio arch/conf copiar el archivo de configuración GENERIC utilizando cualquier nombre:

# cp /usr/src/sys/amd64/conf/GENERIC /usr/src/amd64/conf/NEWGENERIC

Añadir las siguientes opciones a /usr/src/sys/amd64/conf/NEWGENERIC
# ee /usr/src/sys/amd64/conf/NEWGENERIC

....
options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK
....

# cd /usr/src
# make buildkernel KERNCONF=NEWGENERIC

# make installkernel KERNCONF=NEWGENERIC

El nuevo kernel se copiará al directorio raíz como /kernel y el viejo kernel tendrá de nombre kernel.old.

Reiniciar el sistema con el nuevo kernel

Descargar el script:
# wget http://www.bsdfreaks.nl/files/ipfilterscript.tar.gz

Instalación del script.

# cp ipfilterscript.tar.gz /tmp/ && cd /tmp
# tar -zxvf ipfilterscript.tar.gz
# ./ipfilter.pl

1: Would you like to setup PPPoE DSL connection (Choose 1)
2: Setup IP configuration, Firewalling and NAT (Choose 2) or
3: Setup a DHCP server (Choose 3 and hit enter)
4: Setup serial console support
5: Exit

#######################################################################

Elegir Nic externa, em1

#######################################################################

Elegir Nic interna, em0

#######################################################################

Ahora, el script necesita conocer la dirección IP del dispositivo de puerta de enlace, detrás de la cual están todas mis máquinas internas (lan).

Setting Internal nic IP 192.168.1.1

#######################################################################

192.168.3.1

Internal Nic netmask, Just hit enter for 255.255.255.0

255.255.255.0

#######################################################################

External Nic IP, or type "DHCP" for DHCP, for connections like ADSL type "NONE" for no dhclient on external nic

192.168.1.250

#######################################################################

External nic netmask, eg 255.255.255.0

255.255.255.0

#######################################################################

Do you want to enter a gateway default IP address? if you ISP provided you with a default gateway choose Yes Y/N, default = no

y

#######################################################################

Do you want statefull firewall or just allow everything and rely on IPNAT to protect you, I recommend firewalling :)
Choose: "y" for statefull firewall or "n" for allow everything

y

#######################################################################

y

#######################################################################

Do you want IP Filter to log denied packets? Y/N, default = yes
y

#### Denied packets will be logged to /var/log/firewall.log ####
#######################################################################

Do you want to install a /etc/ipfrestart script so you can easily reset
your rules? Handy if you are trying out new rulesets. Y/N, default = yes

y

#######################################################################

Do you want ftp active mode supprt? when ftping out behind a basic NAT
firewall, active mode ftp wont work.
This is because normal active mode ftp actually initiates a FTP
connection from the server back to YOU! and requires more then basic nat to work. The day FTP is gone and fully replaced by something more secure like  SSH's sftp will be a day when the internet is large degree more secure.
Choose: "y" to switch on active ftp support (recommended) or "n"

y

Going to write the data to these files
/etc/rc.conf
/etc/ipf.rules
/etc/ipnat.rules
/etc/newsyslog.conf


hit ctrl+c to abort

All done, type "reboot" for changes to take effect

########################################################################

Settings for internal machines behind the firewall:

Gateway: 192.168.3.1

Netmask: 255.255.255.0

DNS: (Your ISPS DNS)

Clients IP: 192.168.3.2 or higher

Settings for external

Gateway: 192.168.1.1

IP: 192.168.1.250

Netmask: 255.255.255.0

########################################################################

Por último, el script escribe la información necesaria a los archivos de configuración necesarios. Después de reiniciar, el sistema está completamente configurado para acceder al ISP y proporcionar servicios NAT y DHCP para la LAN interna, y protege todos los paquetes a través de su Firewall.

Listar reglas de NAT activas
#  ipnat -l


Listar reglas de filtrado input output:
# ipfstat -io


Listar la tabla de estados de IP Filter


Verificar el comportamiento del NAT


El archivo rc.conf modificado por el ipfilterscript:


Si queremos permitir conexiones al servidor web desde la www:

#permitir conexiones al servidor web /etc/ipnat.rules
rdr em1 0.0.0.0/0 port 80 -> 127.0.0.1 port 80 tcp/udp


Unix es genial!.

domingo, 17 de noviembre de 2013

FreeBSD server NAT IPFW dhcp-server dnsmasq squid

 Me encanta FreeBSD. Este servidor local es una pequeña máquina con un consumo muy bajo e incluye nat, firewall, dhcp-server, dnsmasq y squid y será el intermediario entre la red local e Internet. El sistema perfecto para esta tarea es FreeBSD.

Nuestro servidor FreeBSD está dotado con dos tarjetas de red.

em0 interface LAN IP 192.168.3.1/24
em1 interface WAN (internet) 192.168.1.254/24

Compilar kernel personalizado. Habilitar NAT + FIREWALL

Todo lo que existe dentro de un directorio de una arquitectura en particular, es específico para dicha arquitectura, el resto del código es común para todas las plataformas en las que FreeBSD funciona.

Si el dirctorio /usr/src/sys no existe quiere decir que las fuentes del kernel no están instaladas.

Es necesario tener el codigo fuente completo de FreeBSD para poder compilar el kernel.

Descargar las fuentes del kernel 9.1-RELEASE:

Instalar wget
# pkg_add -r wget

$ cd ~/descargas
$ fetch ftp://ftp.freebsd.org/pub/FreeBSD/releases/amd64/9.1-RELEASE/src.txz

Descomprimir el archivo a /usr/src:
# tar -C / -xzvf src.txz

Ahora desde el directorio arch/conf copiar el archivo de configuración GENERIC utilizando cualquier nombre:

# cp /usr/src/sys/amd64/conf/GENERIC /usr/src/amd64/conf/NEWGENERIC

Añadir las siguientes opciones a /usr/src/sys/amd64/conf/NEWGENERIC
# ee /usr/src/sys/amd64/conf/NEWGENERIC
...
options IPFIREWALL
options IPDIVERT

options IPFIREWALL_VERBOSE
...

# cd /usr/src
# make buildkernel KERNCONF=NEWGENERIC

# make installkernel KERNCONF=NEWGENERIC

El nuevo kernel se copiará al directorio raíz como /kernel y el viejo kernel tendrá de nombre kernel.old.

Reiniciar el sistema con el nuevo kernel.

Archivos de configuración:

$ cat /boot/loader.conf
ipfw_load="YES"
ipdivert_load="YES"
autoboot_delay="2"

$ cat /etc/rc.conf
hostname="freebsdsvr.linux.bcn"
keymap="spanish.iso.kbd"

# interface con acceso a Internet
ifconfig_em1="DHCP"
defaultrouter="192.168.1.1"
sshd_enable="YES"

# interface LAN
ifconfig_em0="inet 192.168.3.1 netmask 255.255.255.0"
moused_enable="NO"

# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

gateway_enable="YES"
firewall_enable="YES"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em1"
natd_flags="-f /etc/natd.conf"

# reglas personalizadas
# firewall_script="/etc/ipfw.rules"

# activer reglas dinamicas protegiendo LAN
firewall_script="/etc/rc.firewall"
firewall_type="simple"

$ ee /etc/natd.conf
use_sockets yes
same_ports yes
unregistered_only yes
dynamic yes

redirect_port tcp 192.168.3.60:80 8080
redirect_port tcp 192.168.3.60:22 2222

Guardar y salir

Reiniciar el servidor para comprobar que no tenemos mensajes de error.

# shutdown -r now

Todo perfecto. Seguimos con dhcp-server dnsmasq y squid:

Intalar y configurar dhcp-server

# pkg_add -r isc-dhcp41-server
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/amd64/packages-9.1-release/Latest/isc-dhcp41-server.tbz... Done.
===> Creating users and/or groups.
Creating group 'dhcpd' with gid '136'.
Creating user 'dhcpd' with uid '136'.

Así quedará el archivo dhcpd.conf:

# sed -e '/^[ ]*#/d' -e '/^$/d' /usr/local/etc/dhcpd.conf
option domain-name "linux.bcn";
option domain-name-servers 192.168.3.1, 192.168.1.1;
option subnet-mask 255.255.255.0;
default-lease-time 3600;
max-lease-time 86400;
ddns-update-style none;
subnet 192.168.3.0 netmask 255.255.255.0 {
 range 192.168.3.40 192.168.3.50;
 option routers 192.168.3.1;

}
Para iniciar dhcp-server con el sistema

agregar al archivo rc.conf:
dhcpd_enable="YES" # dhcpd enabled?
dhcpd_flags="-q" # command option(s)
dhcpd_conf="/usr/local/etc/dhcpd.conf" # configuration file
dhcpd_ifaces="em0"    # ethernet interface(s)
dhcpd_withumask="022"   # file creation mask

Iniciar el servidor dhcp:
# /usr/local/etc/rc.d/isc-dhcpd start
Starting dhcpd.

Dnsmasq

Instalar dnsmasq
$cd /usr/ports
$ make search name=dnsmasq
$ cd /usr/ports/dns/dnsmasq/
# make install clean

cp /usr/local/etc/dnsmasq.conf.example /usr/local/etc/dnsmasq.conf

Archivo de configuración dnsmasq.conf
Filtrando dnsmasq.conf con sed para eliminar líneas que empiezan con un espacio, líneas que comienzan con almohadilla y líneas vacías.

sed -e '/^[ ]*#/d' -e '/^$/d' /etc/dnsmasq.conf
port=53
domain-needed
bogus-priv
strict-order
interface=em0
listen-address=127.0.0.1
expand-hosts
domain=linux.bcn

También podemos utilizar dnsmasq como dns  + dhcp y prescindir del servidor isc-dhcp; en cuyo caso el archivo /usr/local/etc/dnsmasq.conf quedaría más o menos como sigue: (Acto seguido se detiene el servidor dhcd # killall dhcpd, comentar las líneas que hacen referencia a dchp en el archivo /etc/rc.conf y reiniciar el servicio dnsmasq:

port=53
domain-needed
bogus-priv
strict-order
interface=em0
listen-address=127.0.0.1
expand-hosts
domain=linux.bcn
dhcp-range=192.168.3.40,192.168.3.50,12h
dhcp-host= 00:21:9b:e2:cd:44,192.168.0.60,infinite

Iniciar dnsmasq
# /usr/local/etc/rc.d/dnsmasq start
Starting dnsmasq.

Iniciar dnsmasq con el sistema
agregar esta línea al archivo /etc/rc.conf
dnsmasq_enable="YES"

Archivo resolv.conf del servidor

#permite a las maquinas locales obtener información DNS.
nameserver 127.0.0.1

#OpenDNS
nameserver 208.67.222.222
nameserver 208.67.220.220

# Otra opcion es utilizar los DNS del proveedor ISP.
# nameserver 192.168.1.1

Impedir cambios en el fichero resolv.conf
Añadir esta línea al archivo de configuración de resolv.conf (resolvconf.conf)
# ee /etc/resolvconf.conf
resolv_conf="/dev/null"

Archivo resolv.conf de las máquinas cliente: $ cat /etc/resolv.conf
# Archivo inmutable resolv.conf
search linux.bcn
nameserver 192.168.3.1

Realizar consultas desde un cliente, comprobar que dnsmasq funciona:
$ nslookup # sustituido por drill en FreeBSD 10
> freebsdsvr
Server:        192.168.3.1
Address:    192.168.3.1#53

Non-authoritative answer:
Name:    freebsdsvr.linux.bcn
Address: 67.215.65.132

Squid

Instalar squid como paquete
# pkg_add -r squid
# squid -v
Version 2.7.STABLE9

Archivo de configuración squid.conf
Copiar archivo squid.conf
# cp /usr/local/etc/squid/squid.conf.default /usr/local/etc/squid/squid.conf

Filtrando el archivo /usr/local/etc/squid/squid.conf para ver las opciones del archivo de configuración de squid.:
Utilizando las opciones por defecto squid en freebsd funcionará a la primera.

# sed -e '/^[ ]*#/d' -e '/^$/d' /usr/local/etc/squid/squid.conf
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80  # http
acl Safe_ports port 8080  # also http
acl Safe_ports port 21  # ftp
acl Safe_ports port 443  # https
acl Safe_ports port 70  # gopher
acl Safe_ports port 210  # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280  # http-mgmt
acl Safe_ports port 488  # gss-http
acl Safe_ports port 591  # filemaker
acl Safe_ports port 777  # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/squid/logs/access.log squid
refresh_pattern ^ftp:  1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern .  0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
coredump_dir /var/squid/cache
cache_log /var/squid/logs/cache.log
logfile_rotate 10
minimum_object_size 0 KB
maximum_object_size 1024 MB
request_body_max_size 0
cache_dir ufs /var/squid/cache 5000 16 256
cache_mem 32 MB
visible_hostname freebsdserver

Crear los directorios swap
# squid -z

Desactivar test DNS inicial
# squid -D

Iniciar con el sistema.
Agregar al archivo /etc/rc.conf
squid_enable="YES"

El proxy ha sido configurado como transparent de manera que no hace falta configurar el navegador de los clientes:
Comprobar puertos abiertos:
# sockstat -4
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS     
carlos   sshd       1572  3  tcp4   192.168.3.1:2222      192.168.3.60:41422
root     sshd       1569  3  tcp4   192.168.3.1:2222      192.168.3.60:41422
root     sendmail   1496  3  tcp4   127.0.0.1:25          *:*
root     sshd       1493  4  tcp4   *:2222                *:*
squid    squid      1483  6  udp4   *:14091               *:*
squid    squid      1483  13 tcp4   192.168.3.1:3128      *:*
squid    squid      1483  14 tcp4   192.168.3.1:8080      *:*
squid    squid      1483  15 udp4   *:3130                *:*
dhcpd    dhcpd      1470  7  udp4   *:67                  *:*
nobody   dnsmasq    1368  3  udp4   *:53                  *:*
nobody   dnsmasq    1368  4  tcp4   *:53                  *:*
root     syslogd    1356  7  udp4   *:514                 *:*
root     natd       1318  3  div4   *:8668                *:*

Descargar e instalar parches de seguridad:

# freebsd-update fetch
# freebsd-update install

Si al kernel se ha aplicado algún parche tendrá que reiniciar. A partir de este momento el sistema está parcheado. freebsd-update puede ejecutarse utilizando cron con una entrada en /etc/crontab:

@daily  root  freebsd-update cron

Esta línea hará que una vez al día se ejecutr freebsd-update. El argumento cron pasado a freebsd-update intentará saber si existen actualizaciones. Si hay parches disponibles automáticamente los descargará al disco local sin instalarlos. El usuario root recibirá un mail informándole que puede aplicarlos.

Si algo ha fallado freebsd-update puede dar marcha atrás (roolback) hasta el último conjunto de cambios con la siguiente orden:

# freebsd-update rollback

Instalar portaudit

# pkg_add -r portaudit
Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/amd64/packages-9.1-release/Latest/portaudit.tbz... Done.

===>  To check your installed ports for known vulnerabilities now, do:

      /usr/local/sbin/portaudit -Fda

# portaudit -Fda                     auditfile.tbz                                   0% of   90 kB    0  Bpauditfile.tbz                                 100% of   90 kB  222 kBps
New database installed.
Database created: Sat Nov 16 20:10:00 CET 2013
Affected package: perl-5.14.2_2
Type of problem: perl -- denial of service via algorithmic complexity attack on hashing routines.
Reference: http://portaudit.FreeBSD.org/68c1f75b-8824-11e2-9996-c48508086173.html

Affected package: squid-2.7.9_1
Type of problem: squid -- denial of service.
Reference: http://portaudit.FreeBSD.org/c37de843-488e-11e2-a5c9-0019996bc1f7.html

2 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.

Para una lista de todas las reglas de funcionamiento de ipfw en secuencia:
# ipfw list




Para una lista de reglas dinámicas, además de reglas estáticas:
 


Unix es genial!.

domingo, 3 de noviembre de 2013

Mover Sistema a disco nuevo

Mover FreeBSD a disco nuevo

Moveri instalación FreeeBSD (9.1) desde un disco duro a otro utilizando las herramientas dump/restore.

Saber más: todo sobre particionado freebsd

Disco duro nuevo (ada1). Disco duro viejo (ada0)

Para cambiar un disco duro por otro nuevo:

Particionado perzonalizado del disco ada0

/dev/ada0a 10GB ufs  /
/dev/ada0b 4GB  none swap
/dev/ada0e 2GB  ufs  /var
/dev/ada0f 30GB ufs /usr

1) Particionado (manual) del nuevo disco (ada1):

/dev/ada1a 10GB ufs  /
/dev/ada1b 4GB  none swap
/dev/ada1e 2GB  ufs  /var
/dev/ada1f 80GB ufs  /usr

2) Hacer una mínima instalación de FreeBSD en el nuevo disco con las mismas particiones del disco antiguo.

3) Asegurarse de que el nuevo disco sea bootable y comprobarlo.

4) Conectar el disco antiguo en el sistema como master y el nuevo como esclavo.

5) Arrancar con el disco duro Master (desde la Bios)

6) Iniciar el sistema en modo single user.

Pulsar la barra espaciadora en la cuenta atrás de 10 segundos y luego pulsar 6 (single user)

Presionar Intro para la shell por defecto.

Desde el símbolo del sistema teclear:

# fsck -p
# mount -u /
# mount -a
# swapon -a
# adjkerntz -i

A continuación, asegúrese de que tiene los archivos de dispositivos creados para montar las particiones del disco esclavo:
# ls /dev
....
/dev/ada1a
/dev/ada1e
/dev/ada1f
.....

Ahora creamos los puntos de montaje para las particiones de la nueva unidad de disco (ada1):

Teclear:
# mkdir /backup
# mkdir /backup/root
# mkdir /backup/usr
# mkdir /backup/var

Por último:

1 - Crear nuevos sistemas de ficheros
2 - Montar las particiones
3 - Volcar los datos del disco duro antiguo (ada0), y restaurarlos en el nuevo disco (ada1)
4 - Desmontar las particiones de la nueva unidad
5 - Permitir softupdates en la nueva unidad

newfs /dev/ada1a
newfs /dev/ada1e
newfs /dev/ada1f

mount /dev/ada1a /backup/root
mount /dev/ada1e /backup/var
mount /dev/ada1f /backup/usr

( dump -0fv - / ) | ( cd /backup/root ; restore -rf - )
( dump -0fv - /var ) | ( cd /backup/var ; restore -rf - )
( dump -0fv - /usr ) | ( cd /backup/usr ; restore -rf - )

umount /backup/root
umount /backup/var
umount /backup/usr

tunefs -n enable /dev/ada1a
tunefs -n enable /dev/ada1e
tunefs -n enable /dev/ada1f

Llegados a este punto, todo lo que tiene que hacer es apagar el sistema, quitar el disco viejo, colocar la nueva unidad como master e iniciar el sistema. Su sistema iniciará ahora su vieja instalación de FreeBSD en su nuevo disco duro.

http://www.freebsd.org/doc/handbook/
http://www.geekvenue.net/chucktips/

Unix es genial!.