Primeros pasos con el Firewall Vyatta

El objetivo de estas páginas es dar una guía de configuración del Firewall Vyatta, ofrecido de manera gratuita en el Virtual Data Center Claranet.

Configuración de las direcciones IP

Una vez haya creado una Aplicación Virtual, añada una dirección IP Pública para el dispositivo:

reserve-ip-thumb.png

Añada la imagen Vyatta desde la biblioteca de aplicaciones, seguidamente haga clic en el icono Configuración en la imagen.

Seleccione la etiqueta Red y haga clic en la etiqueta Pública, ahora seleccione la dirección IP Pública que desea asignar y haga clic en Aceptar.

Con el fin de tener Vyata en NIC 1 en la VLAN Privada (en lugar de la NIC 0, que es el valor predeterminado), y para la NIC 1 de Vyatta sea la puerta de enlace predeterminada para la VLAN Privada, realice los pasos siguientes:

  1. Seleccione el botón Eliminar en la ficha de red predeterminada.
  2. Elimine la dirección IP (lo que exime NIC 0).
  3. Añada una nueva dirección con el botón Add icon .
  4. Elija la dirección puerta de enlace predeterminada (normalmente 192.168.1.1).

Si ha creado una VLAN Privada, seleccione la dirección de puerta de enlace predeterminada que haya configurado en esa VLAN. También puede cambiar la dirección de puerta de enlace predeterminada en el panel de configuración de VLAN Privada para cualquier red, excepto la red predeterminada.

Despliegue la Aplicación Virtual para iniciar la Máquina Virtual.

Configuración del Firewall

Abra un navegador web https://<your_public_IP> con las credenciales de la página de detalles de inicio de sesión

y ahora se logueará en la Máquina Virtual del Firewall Vyatta.

Logging in

Quickstart sugerido

Modifique el password:

1.  expand: system → login → user → authentication
2.  Enter your password (accepts plaintext or encrypted) and click “set”
3.  Click the green “commit” button in the top right hand corner.
4.  Click “Save” to save your changes

O utilice la siguiente línea de comando:

1. set system login user vyatta authentication plaintext-password \<your_password_here\>
2. commit

Change password

Cree una traducción de direcciones genérica para que las máquinas puedan acceder a Internet

1.  expand: service → nat → rule
2.  type rule # 100 and press “set”
3.  expand: rule 100
4.  set as follows:
1.  outbound interface: eth0
2.  Description: Generic PAT
3.  type: masquerade
5.  click “set”
6.  click “Commit” green button in the top right hand corner
7.  Click “Save” to save your changes

O utilice la siguiente línea de comando:

1. edit service nat rule 100
2. set description "Generic PAT"
3. set outbound-interface eth0
4. set type masquerade
5. commit

Set up NAT

Cree una traducción de los port address para mapear los servicios comunes de los hosts dentro de la red

Vamos a utilizar el ejemplo de un servidor Linux que utiliza la red predeterminada con la dirección IP 192.168.1.3, y una traducción de una dirección pública del servidor Firewall para el servicio ssh.

1.  Expand: service → nat → rule
2.  type rule # 10 and press “set”

Configure las siguientes reglas:
3.  description: PAT to SSH onto 192.168.1.3
4.  protocol: tcp
5.  Inbound-Interface: eth0
6.  type: destination
7.  Click “set”

Después:
8.  expand “inside address” and create:
9.  Address: 192.168.1.3
10. port: 22
11. expand “destination address” and create:
12. Address: <your_public_ip>
13. port: 9022
14. Click “Commit” green button in the top right hand corner
15. Click “Save” to save your changes
16. Test this by trying an ssh session to port 9022

O utilice la siguiente línea de comando:

edit service nat rule 10
set description "PAT to SSH onto 192.168.1.3"
set destination address 195.157.12.15
set destination port 9022
set inbound-interface eth0
set inside-address address 192.168.1.3
set inside-address port 22
set protocol tcp
set type destination
commit

Y compruébelo ejecutando:

ssh sysadmin@195.157.12.15 -p 9022
sysadmin@195.157.12.15's password: \<enter the password\>

Ahora, debería visualizar:

Welcome to Ubuntu 11.10 (GNU/Linux 3.0.0-12-server x86_64)

Set up PAT

Crear un Firewall basado en zonas

Si desea permitir todo el tráfico de la red de confianza (LAN) de salida, pero que sólo permita un tráfico específico en el que no se confía (WAN) hacia su red de confianza (LAN).

1. Expand Firewall → name and type “LAN2WAN” and click set.

Name Firewall Rule

2. Change “default-action” to accept and type description “LAN to WAN traffic”. Click Set.

Default action

3.  Expand Firewall → name and type “WAN2LAN” and click set
4. Change “default-action” to drop and type description “WAN to LAN traffic”. Click Set 
5.  Expand Firewall → name → WAN2LAN → rule, type “1” in the rule box and click Set
6.  In rule 1, change action to “accept”, protocol to “icmp” and description to “Sample rule to allow ping replies” and click Set

ICMP rule

7.  Expand Firewall → name → WAN2LAN → rule → 1 → icmp and click the create button
8.  Change type-name to “echo-reply” and click Set
9. Expand Firewall → name → WAN2LAN → rule, type 5 in the rule box and click Set
10. In rule 5, change action to “accept”, protocol to “tcp” and description to “Allow PAT'd SSH” and click Set

SSH rule

11. Expand Firewall → name → WAN2LAN → rule → 5 → destination and click the create button
12. In the port box type 9022 and click Set 
13. Expand Firewall → name → WAN2LAN → rule, type 100 in the rule box and click Set 
14. In rule 100, change action to “accept” and description to “Allow established traffic” and click Set
15. Expand Firewall → name → WAN2LAN → rule → 100 → state and tick the box saying “Established” and click Set

Allow established rule

16. Expand zone-policy → Zone and type “WAN” and click create
17. Give it a description such as “WAN zone” and click the tick box next to “eth0” and click Set
18. Expand zone-policy → Zone and type “LAN” and click create
19. Give it a description such as “LAN zone” and click the tick box next to “eth1” and click Set

Zones

20. Expand zone-policy → zone → LAN → from and type “WAN” and click set
21. Expand zone-policy → zone → LAN → from → WAN → firewall and click “create”
22. In the drop down box select WAN2LAN and click set
23. Expand zone-policy → zone → WAN → from and type “LAN” and click set
24. Expand zone-policy → zone → WAN → from → LAN → firewall and click “create”
25. In the drop down box select LAN2WAN and click set.

Policies

26. Click commit
27. Click save

o puede utilizar la línea de comando:

edit firewall name LAN2WAN set default-action accept set description “LAN to WAN traffic” exit
edit firewall name WAN2LAN set default-action drop set description “WAN to LAN traffic”
edit rule 1 
set description “Sample rule to allow ping replies” 
set action accept 
set protocol icmp 
set icmp type-name echo-reply
exit
edit firewall name WAN2LAN rule 5
set description “Allow PAT'd SSH”
set action accept set protocol tcp set destination port 9022
exit
edit firewall name WAN2LAN rule 100
set description “Allow established traffic”
set state established enabled exit
edit zone-policy zone LAN
set description LAN
set interface eth1 exit
edit zone-policy zone WAN
set description WAN
set interface eth0 exit
set zone-policy zone LAN from WAN firewall name WAN2LAN
set zone-policy zone WAN from LAN firewall name LAN2WAN
commit