jueves, marzo 05, 2009

FreeBSD 7.1 + Firewall + Internet para nuestra LAN

Introduccion:
Instalaremos un servidor para dar salida a Internet a los usuarios de la LAN, implementaremos un firewall para controlar lo que sale o entra a nuestra LAN y los pondremos a salir por Squid-cache como proxy para controlar la navegacion.

Ultima actualizacion:
(DD-MM-AAA) 27-10-2009

Contenido:
Instalaremos FreeBSD 7.2
Activaremos un Firewall
Daremos salida a Internet
Configuraremos Squid-cache como proxy para optimizar y controlar la navegacion

Requerimientos:
1 Real server o en su caso, un buen PC
2 Tarjetas de red para para el equipo que compartira la salida a Internet

Diagrama de la configuracion:

Internet---Router---bge0-[FreeBSD]-bge1---Suiche---LAN

Proceso:
1) Instalar FreeBSD 7.1 (en mi caso como el procesador es un Intel Xeon con soporte para 64bits, instalare la version de FreeBSD 7.2 amd64 que se puede bajar de la web www.freebsd.org)

Se inicia con el cd-rom, se siguen unas instrucciones en pantalla, se usa todo el disco, se particiona por defecto y se instala solo lo basico
[X] 6 Kern-Developer Full binaries and doc, kernel sources only

En el proceso de instalacion se debe poner atencion en los nombres de las tarjetas que se muestran en la instalacion, por ejemplo: bge0 y bge1 , ya que luego se debera activar la segunda (la primera nos permite configurarla en el momento de la instalacion)

2) Actualizar nuestro FreeBSD
En el pasado lo hacia de otra forma, pero en este lugar encontre una forma mas facil
http://www.sarckz.com.ar/2009/01/06/freebsd-71-guia-de-instalacion/
Y la pondre aqui igualmente (seria una lastima perderla)

Copiamos al directorio de root 2 archivos importantes
# cp /usr/share/examples/cvsup/stable-supfile .
# cp /usr/share/examples/cvsup/ports-supfile .

Luego los editamos para especificar de donde puede bajar las cosas

# edit /root/
stable-supfile

Modificamos una linea para que quede asi:

*default host=cvsup.de.freebsd.org

Guardamos los cambios y salimos del editor

# edit /root/ports-supfile

Modificamos una linea para que quede asi (manteniendonos en 7.2):

*default host=cvsup10.us.FreeBSD.org
*default release=cvs tag=RELENG_7_2

Guardamos los cambios y salimos del editor

Actualizamos (kernel+base)

# csup -g -L 2 /root/stable-supfile

Descargamos/Actualizamos el arbol de ports con el supfile antes creado:
(el arbol de ports es el sistema para instalar aplicaciones)

# csup -g -L 2 /root/ports-supfile

Compilar un KERNEL personalizado para que tenga soporte para algunas cositas

Segun nuestro querido HANDBOOK
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig-building.html

Seguimos los pasos

(como estamos usando FreeBSD 7.1 amd64)
# cd /usr/src/sys/amd64/conf

(o en caso de que usaramos FreeBSD 7.1 i386)
# cd /usr/src/sys/i386/conf

# mkdir /root/kernels
# cp GENERIC /root/kernels/MYKERNEL
# ln -s /root/kernels/MYKERNEL

Es bueno darle una leida a UPDATING, pues tiene informacion importante
# edit /usr/src/UPDATING

Salimos del editor y continuamos

Editamos el archivo MYKERNEL en el cual especificamos que nuevas opciones queremos

# edit /root/kernels/MYKERNEL

Al final le ponemos estas lineas:

# Nuevas opciones

# 30.4 The OpenBSD Packet Filter (PF) and ALTQ
# 30.4.6 Enabling ALTQ
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build

Guardamos y salimos del editor

(segun el handbook, seguir estos pasos)

Building a Kernel

  1. Change to the /usr/src directory:

    # cd /usr/src
  2. Compile the kernel:

    # make buildkernel KERNCONF=MYKERNEL
  3. Install the new kernel:

    # make installkernel KERNCONF=MYKERNEL

Re-iniciar el equipo
# shutdown -r now

Al entrar nuevamente deberemos tener funcionando el nuevo kernel, para verificar

# uname -a
FreeBSD alpha.company.com 7.2-RELEASE-p2 FreeBSD 7.2-RELEASE-p2 #2: Sat Jul 4 12:17:17 COT 2009 angel@alpha.company.com:/usr/obj/usr/src/sys/MYKERNEL amd64

3) Activar la segunda tarjeta de red (ya que en la instalacion, solo activamos la primera)

(como en la instalacion anotamos el nombre de las tarjetas detectadas, ya sabemos el nombre de la segunda segun FreeBSD, que en mi caso es bge1)

# edit /etc/rc.conf

defaultrouter="192.168.0.1"
hostname="alpha.company.com"
ifconfig_bge0="inet 192.168.0.1 netmask 255.255.255.0"
sshd_enable="YES"

# Segunda tarjeta
ifconfig_bge1="inet 192.168.1.1 netmask 255.255.255.0"

Guardar y salir

Re-iniciar el equipo
# shutdown -r now

Al entrar nuevamente, debemos tener 2 tarjetas levantadas, para verificar
(se mostrara algo como esto)
alpha# ifconfig
bge0: flags=8843 metric 0 mtu 1500
options=9b
ether 00:13:21:e9:dc:0e
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (100baseTX )
status: active
bge1: flags=8843 metric 0 mtu 1500
options=9b
ether 00:13:21:c8:fd:c2
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (1000baseTX )
status: active

4) Compartir el Internet con la LAN
(Se supone que ya tenemos internet en nuestro FreeBSD 7.1 de modo que lo podemos compartir)

Editamos este archivo y le agregamos estas lineas al final

# edit /etc/rc.conf

# Activamos OpenBSD Packet Filter (PF)
pf_enable="YES" # Enable PF (load module if required)
pf_rules="/etc/pf.conf" # rules definition file for pf
pf_flags="" # additional flags for pfctl startup
pflog_enable="YES" # start pflogd(8)
pflog_logfile="/var/log/pflog" # where pflogd should store the logfile
pflog_flags="" # additional flags for pflogd startup
gateway_enable="YES" # Enable as LAN gateway (PF)

5) Generar nuestro archivo de politicas del firewall (que es el que compartira el Internet)

Aqui toca leer un poco el manual oficial de PF, que se puede ver aqui
http://www.openbsd.org/faq/pf/

Un ejemplo basico para una red pequena
http://www.openbsd.org/faq/pf/example1.html

Aqui el que yo tengo que puedes adaptar segun tus necesidades (muy completo y bien explidado)
http://alpha.telemedellin.tv/public/pf.conf

El archivo con las reglas es /etc/pf.conf

Ya con nuestro archivo creado re-iniciamos el servidor y los equipos de la LAN deben navegar si tienen los datos correctos de IP, MASK, GATEWAY y DNS

Nota:
Si usas como ejemplo mi archivo pf.conf debes tener cuidado con estas lineas:

# mejor solo les permito ftp a algunos usuarios, por lo de los .exe y otros
rdr pass on $eth_if1 proto tcp from $usuarios_ftp to !$eth_if1 port ftp \
-> 127.0.0.1 port 8021
# rdr allow outgoing WWW requests to the squid, but not from LAN to my server
rdr pass on $eth_if1 proto tcp from any to !$eth_if1 port www \
-> 127.0.0.1 port 3128

Esto ya que la primera hace una redireccion para las conexiones FTP a un proxy llamado pftpx y la segunda hace igualmente una redireccion para las conexiones WWW a un proxy llamado Squid-chache

Tanto pftpx como Squid-cache, se pueden instalar mediante los ports asi:
Istalando PFTPX
# cd /usr/ports/ftp/pftpx
# make install clean

Activandolo al iniciar el sistema, poner esta linea en /etc/rc.conf
# Activamos pel pftpx proxy
pftpx_enable="YES"

Iniciar pftpx
# /usr/local/etc/rc.d/pftpx start

Instalando Squid-chache
# cd /usr/ports/www/squid30
# make install clean

Activandolo al iniciar el sistema, poner esta linea en /etc/rc.conf
# Activamos el Squid para cachear y controlar la navegacion WWW
squid_enable="YES"

Iniciar el directorio donde se cacheara el contenido de Squid
# /usr/local/sbin/squid -z

Iniciar Squid
# /usr/local/etc/rc.d/squid start

Squid es todo un mundo, hay infinidad de cosas que se pueden hacer o bloquear, aqui
el que actualmente uso y con el cual torturo a los usuarios de mi LAN ;-)

http://alpha.telemedellin.tv/public/squid.conf

Aqui un manual mas explicativo de como poner a funcionar Squid con mas detalle
http://www.freebsddiary.org/squid.php

NOTA 2:
En mi archivo squid.conf se navega libremente con Firefox, Opera, y todos los otros
buenos navegadores. Con el Internet Explorer solo les dejo navegar en algunos sitios
mal construidos y que solo funcionan con ese navegador.

Igualmente mi squid.conf hace referencias a algunos archivos como:
/usr/local/etc/squid/deny_sites.conf
# ejemplo de contenido:
playboy.com

usr/local/etc/squid/sites_hours.conf
# ejemplo de contenido:
facebook.com

/usr/local/etc/squid/msn_overhttp.conf
# ejemplo de contenido:
msnmessenger.com

/usr/local/etc/squid/msn_domains.conf
# ejemplo de contenido:
gateway.messenger.hotmail.com

/usr/local/etc/squid/accept_domains.conf
# ejemplo de contenido:
.grupoaval.com

/usr/local/etc/squid/accept_domains_system.conf
# ejemplo de contenido:
.microsoft.com
.windowsupdate.com
.windowsmedia.com
.mcafee.com
.nai.com
.mcafeeasap.com

/usr/local/etc/squid/FreeDB.conf
# ejemplo de contenido
freedb.org
cddb.com
music-city.org
allmediaguide.com
allmediaguide.com/lasso
allmusic.com
musicbrainz.org
microsoft.com
windowsmedia.com

Nota:
Recientemente al mirar los log de cache de squid
# tail -f /usr/local/squid/logs/cache.log
2009/09/15 11:58:48| clientNatLookup: PF open failed: (13) Permission denied

Para solucionar esto, debemos modificar el archivo /etc/devfs.conf
# edit /etc/devfs.conf

y agregar esta linea al final:

# Le doy permiso a squid en /dev/pf
own pf root:squid
perm pf 0640

6 comentarios:

Toni dijo...

Hola Angel

Me ha surgido un problema. Quiza sea una estupidez, pero como soy novato, no logro encontrar que es lo que que estoy haciendo mal. Primero intente hacer cp /usr/share/examples/cvsup/stable-supfile pero esta sintais no me la admite.Para el comando copy (cp) me da una serie de formas en que se deben de introducir los datos, y no me deja introducir estas intrucciones en ese orden.No se como se deberian de introducir entonces. Lo segundo es que consegui recompilar el kernel, eso fue una verdadera alegria, ya que nunca lo habia hecho y me salio bien. Lo hize añadiendo las opciones que dejas en el post para compartir internet. Mi version de FreeBSD es 7.0 no pude actualizarla dado que no pude hacer una instalacion con el metodo que indicas. Me hubiera gustado lograrlo, pero no pude. No consegui una vez compilado el kernel que me permitiera compartir internet con la LAN. Creo que mejor sera que te los detalles de como tengo el montaje. Tengo un moden Router SpeedTouch. conectado a la maquina FreeBSD, que tiene dos tarjetas. La tarjeta xl1 es la que conecta a Internet y recibe una Ip por DHCP. La otra es la LAN y su ip es estatica xl2 192.168.1.100. Segun he visto la puerta de enlace del router es 192.168.0.1 y tambien he visto que tambien hay una direccion de 192.168.0.128 que me parece es o la broadcast o la ip del propio router, no lo se, como ya te comento, soy novato.Lo que ahora quiera hacer, por el momento, es compartir internet, pero no lo logro ni tan siquiera siguiendo el manual de FreeBSD donde se esplica como hacer un router. Mi problema es que una tarjeta no tiene direccion estatica, sino que me la da por DHCP, y ahi es donde yo me pierdo. Te agradecere algun consejo, para ver como puedo configurar ambas tarjetas y lograr que copartan internet con este sistema.Gracias

AngelV dijo...

Saludos Toni

Disculpa la demora en responder, no vi tu comentario :-(

Si miras con cuidado el comando es asi:
# cp /usr/share/examples/cvsup/stable-supfile .

Mira que al inicio del comando hay un # esto indica que estas logueado como root, caso contrario seria $ que indica que estas como un usuario normal.

Al final del comando hay un . (punto) que indica el directorio del usuario que ejecuta el comando, que es root en nuestro caso.

Tambien puedes meter el comando asi:

cp /usr/share/examples/cvsup/stable-supfile /root/

Buen dia.

Toni dijo...

Hola Angel

Muchas gracias por tu respuesta. Consegui a partir de la minimal meter todo los parametros que indicas, pero surgio otro problema, que truca toda la instalacion:

*default host=cvsup.de.freebsd.org

Cuando quieres hacer una actualizacion del kernel -creo que es eso- sale un mensage que dice que no soporta la autentificacion, o que no se puede conectar a esa direccion porque creo que dice que no es vaida. Probe a cambiarla por otras, pero el resultado es el mismo. FreeBSD es mas dificil de lo que me imaginaba. Con solo que algo no funke, ya esta todo ahi parado, y tu sin saber que hacer. Lo que no comprendo como es que a ti te funka y a mi no... debe ser porque algo no hare bien. Gracias angel por tu ayuda. Seguire el blog atentamente hasta aprender mas y volvere a intentarlo.

AngelV dijo...

Hola Toni...

default host=cvsup.de.freebsd.org

Debes cambiarlo por alguno de esta lista

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/cvsup.html#CVSUP-MIRRORS

Es que parece que el que tenia originalmente lo cambiaron

ANCrae dijo...
Este comentario ha sido eliminado por el autor.
ANCrae dijo...
Este comentario ha sido eliminado por el autor.