Siguiente: Gestión
Subir: Firewall-1
Anterior: Arquitectura
Índice General
Antes de instalar Firewall-1 en un sistema Unix es muy importante
deshabilitar en el núcleo del operativo el IP Forwarding, de forma que
todo el reenvío de tramas sea gestionado por el software de
cortafuegos (esta opción se define durante la instalación). Esto permite
que el reenvío sólo sea posible si el firewall está ejecutándose - es decir, protegiendo nuestra red -, lo que
imposibilita que la máquina reenvíe paquetes si Firewall-1 no
está activo, algo que como vimos a la hora de hablar de diferentes clones de
Unix puede ser problemático para nuestra seguridad.
Teniendo en cuenta la consideración anterior, y asumiendo que en la
máquina donde vamos a instalar Firewall-1 no existen problemas ajenos
al cortafuegos (conectividad, resolución de nombres, reconocimiento de
interfaces de red...), la instalación del software no ofrece ninguna
dificultad: simplemente hemos de instalar los paquetes correspondientes con las
órdenes habituales de cada Unix (pkgadd en Solaris, swinstall en
HP-UX...) o, en algunas versiones del programa, ejecutar la orden fwinstall, que no es más que una instalación seguida de una
configuración del cortafuegos equivalente a la que veremos a continuación.
Una vez instalado el firewall hemos de configurarlo; para ello no
tenemos más que ejecutar la orden fwconfig (versión 4.0) o cpconfig (versión 4.1), que paso a paso nos guiará a través de la
configuración (o reconfiguración, una vez el cortafuegos esté ya
funcionando) de Firewall-1:
anita:/# fwconfig
Welcome to VPN-1 & FireWall-1 Configuration Program
=================================================
This program will let you re-configure
your VPN-1 & FireWall-1 configuration.
Configuration Options:
----------------------
(1) Licenses
(2) Administrators
(3) GUI clients
(4) Remote Modules
(5) SMTP Server
(6) SNMP Extension
(7) Groups
(8) IP Forwarding
(9) Default Filter
(10) CA Keys
(11) Exit
Enter your choice (1-11) : 11
Thank You...
anita:/#
Como podemos ver, esta herramienta permite realizar tareas como la
instalación de licencias, la planificación del software en el
arranque de la máquina o la definición de módulos de firewall
remotos. Aunque todo es
vital para el correcto funcionamiento del cortafuegos, existen dos apartados
especialmente importantes para la posterior gestión del firewall: la
definición de administradores y la definición de estaciones que actuarán
como clientes gráficos; si no definimos al menos un administrador y una
estación cliente, no podremos acceder al cortafuegos para gestionarlo
(evidentemente, en esta situación no estaría todo perdido, ya que siempre
podemos añadir ambos elementos, así como modificar su relación, a
posteriori).
El administrador o administradores que definamos serán los encargados de
acceder a las políticas del cortafuegos a través del gestor gráfico,
únicamente desde las estaciones que hayamos definido como cliente. Podemos
añadir elementos a ambas listas (la de administradores y la de estaciones
gráficas) ejecutando de nuevo fwconfig o cpconfig, o bien de forma
más directa ejecutando la orden fwm (para añadir administradores) y
modificando el archivo $FWDIR/conf/gui-clients (para añadir clientes
gráficos); este archivo no es más que un fichero de texto donde se listan
las direcciones IP (o los nombres DNS) de las máquinas que pueden acceder
a gestionar el firewall:
anita:/# cat $FWDIR/conf/gui-clients
192.168.0.1
192.168.0.2
192.168.0.3
158.42.22.41
anita:/# fwm -p
FireWall-1 Remote Manager Users:
================================
toni (Read/Write)
avh (Read/Write)
Total of 2 users
anita:/# fwm -a admin -wr
Password:
Verify Password:
User admin added succesfully
anita:/# fwm -p
FireWall-1 Remote Manager Users:
================================
toni (Read/Write)
avh (Read/Write)
admin (Read Only)
Total of 3 users
anita:/# fwm -r prova
User prova removed succesfully
anita:/#
Para acabar con la instalación de Firewall-1 es necesario definir la
variable de entorno $FWDIR, que apuntará al directorio /etc/fw/,
y añadirla en los scripts de inicio de sesión correspondientes.
También es recomendable añadir el directorio $FWDIR/bin/ a nuestro
$PATH, ya que ahí se ubican las utilidades de gestión del
cortafuegos, y hacer lo mismo con $FWDIR/man/ y la variable $MANPATH, ya que en este directorio se encuentran las páginas de manual del
firewall.
Antes de finalizar este punto quizás es necesaria una pequeña
advertencia: como Firewall-1 inserta
módulos en el núcleo del operativo, es dependiente de la versión del
kernel utilizada. Todas las versiones más o menos modernas funcionan
correctamente sobre Solaris 2.6 y la última también sobre Solaris 7; no
obstante, sobre este último el resto de versiones no funcionan bien, aunque
se instalen correctamente. Es posible, y esto lo digo por experiencia, que la
máquina no arranque tras instalar el software debido a las
modificaciones de los scripts de arranque (concretamente los ubicados en
/etc/rcS.d/), que al ser invocados desde /sbin/rcS producen errores
que impiden montar correctamente los discos y proseguir el arranque; para
solucionar estos problemas, lo más rápido es eliminar cualquier
modificación que la instalación de Firewall-1 haya realizado sobre
los programas ejecutados al iniciar el sistema.
Siguiente: Gestión
Subir: Firewall-1
Anterior: Arquitectura
Índice General
2003-08-08