Instalación y Configuracion de ENDIAN FIREWALL

Endian

Esta es una herramienta OpenSource, desarrollada para el funcionamiento de cortafuego (firewall), gestionar amenazas, servicios de VPN y PROXY, etc. endian esta basado originalmente en IPCop.

La inplemetacion de esta herramienta es totalmente gratis, ya que es una distribucio GNU/Linux y su licencia es OpenSource. Se puede descargar la iso en este link: http://sourceforge.net/projects/efw/files/Development/EFW-2.5.1/EFW-COMMUNITY-2.5.1-201201261800.iso/download .


Características

-Mejorar la distribución de su red implementando zonas (WAN, LAN, WiFi, DMZ), moldeo de tráfico y soporta VoIP.

-Incluye paquete dinámico de firewall para la seguridad de su red, detección de intrusiones, detección de escaneo de puertos, entre otros.

-Distribuye la carga de datos.
-Hacer comunicaciones seguras con otras sedes o clientes remotos a través de VPN .

-Antivirus y filtrado de contenido para un acceso a internet más seguro.

-Manejo de proxy.

-Enrutamiento.

-Antivirus y Antispam para el correo electrónico.

-Alta disponibilidad.

-Manejo de redes inalámbricas seguras, con posibilidad de suministrar tickets de acceso.

-Su administración es por via web.


En este manual enseñaremos a implementar un Endian como firewall, donde definiremos tres redes que son (WAN, LAN y DMZ). vamos a utilizar tres maquinas virtuales donde la de Endian hará las veces de firewall y salida a Internet (adaptador puente), la maquina virtual de la red LAN con el sistema operativo Windows XP (red interna), y la zona DMZ es donde tendremos los servicios de red con el sistema operativo centOS (red interna).
El firewall como tal nos ofrecerá las restricciones necesarias a nuestro caso de trabajo, el cual consiste en que los usuarios de red WAN no puedan tener acceso a la red LAN pero si puedan tener acceso a la Zona DMZ, también la zona DMZ no podrá tener acceso a la Red LAN pero si tendrá salida  a Internet, por otra parte la red LAN tiene acceso a la Zona DMZ y a la Red WAN (Salida a internet).


LAN: zona verde
Dirección IP 192.168.20.0/24
servicios de red: FTP

DMZ: zona naranja (DMZ)
Dirección IP 192.168.30.0/24
servicios de red: HTTP, FTP, DNS

WAN: zona roja
Dirección IP 192.168.10.101


Instalación de ENDIAN FIREWALL

Aca escogemos el idioma deseado en este caso es el ingles.

Hacemos clic en OK.

Aceptamos la instalación y hacemos clic en OK.

Aceptamos para la posibilidad de activar el servicio de consola a través de un cable serial conectado al puerto serial del PC, hacemos clic en OK.


En este paso es cuando el programa instalador toma la posesión de todo el disco duro para así crear las particiones correspondientes.

Acá ingresamos la dirección ip para mas adelante configurar el endian firewall desde un navegador de internet, hacemos clic en OK.


Acá debemos de retirar el CD de instalación para poder continuar con la instalación, hacemos clic en OK.


Hacemos clic en OK para finalizar la instalación del ENDIAN.


En estas dos imágenes nos muestra cuando esta terminando la instalación del ENDIAN.


Tras el reinicio de la maquina, escogemos la opción de la shell que es (0), y hacemos enter.


Después al escoger la opción de la shell nos logeamos con el comando LOGIN y la contraseña es ENDIAN. Para poder entrar como root.



Configuración de ENDIAN FIREWALL

Nota:

Para la configuración del endian necesitamos una maquina windows xp que este en el mismo rango de dirección de la maquina de endian, cuando las maquinas ya hagan ping entre ellas podemos ingresar al navegador de internet de esta forma http://192.168.20.2 que es la dirección donde esta instalada la herramienta endian, y procederemos a configurar el endian por via web.


En este imagen como lo pueden observar estamos configurando la red estática para que esta maquina de windows pueda comunicarse con la maquina de endian, para hallar la configuración por via web.


Para poder acceder a la configuración del endian ingresamos a un navegador web, y colocamos la dirección ip de la maquina donde se instaló la herramienta. Hacemos clic en la flecha de abajo como lo pueden observar en la imagen.



Seleccionamos el idioma en este caso es español, hacemos clic en siguiente.




Aceptamos la licencia de la aplicación y hacemos clic en siguiente.


En esta imagen como lo pueden observar podemos realizar un respaldo de la aplicación pero en este caso no vamos hacer ningún respaldo, hacemos clic en siguiente.


En esta imagen como lo pueden ver podemos cambiar la contraseña por defecto de la herramienta, ya sea la contraseña del usuario admin y del root por el servicio de ssh, podemos utilizar la misma contraseña para ambos, hacemos clic en siguiente.


En esta imagen escogemos el primer ítem que es ( ethernet estático), aca señalamos el tipo de conexión que va a ver en la zona roja que es la WAN ya sea inalámbrico o por ethernet. Hacemos clic en siguiente.


Acá escogemos la zona naranja donde va a ir la DMZ ( zona desmilitarizada), hacemos clic en siguiente.


En esta imagen como lo pueden observar escogemos las preferencias de la red, donde decidimos que interface va hacer la zona verde donde es la red LAN, también le asignamos la dirección ip de la interface seleccionada y su correspondiente mascara de red, hacemos clic en siguiente.




En esta imagen como lo pueden observar es donde escogemos que interface va hacer la zona naranja donde es la DMZ, también colocamos la dirección ip de la interface y su correspondiente mascara de red, hacemos clic en siguiente.


En esta imagen como lo pueden observar escogemos que interface va hacer la zona roja donde va a salir a internet los usuarios de la zona verde y naranja, también especificamos la dirección y su mascara de red correspondiente, hacemos clic en siguiente.


Asignamos las direcciones ip de los DNS, hacemos clic en siguiente.


Este paso es opcional, acá colocamos la dirección de correo del administrador, hacemos clic en siguiente.


En esta imagen como lo pueden observar estamos finalizando con la configuración de la herramienta de endian, hacemos clic en acepta y aplicar la configuración.


En esta imagen como lo pueden observar esperaremos 20 segundos para acceder al endian.


Después de haber esperado los 20 segundos, nos pide el usuario y contraseña para acceder a la herramienta de endian.


Esta es la herramienta, lista para administrarla.


Asignación de reglas



LAN: zona verde
Dirección IP 192.168.20.0/24
servicios de red: FTP

LAN: zona naranja (DMZ)
Dirección IP 192.168.30.0/24
servicios de red: HTTP, FTP, DNS

WAN: zona roja
Dirección IP 192.168.10.101



Configuración del NAT PUENTE acceso a internet.


En esta imagen como lo pueden observar estamos haciendo un NAT FUENTE para que los de la zona verde puedan salir a internet por medio de la zona roja.


En esta imagen realizamos lo mismo pero para que la zona naranja (DMZ) pueda tener acceso a internet por medio de la zona roja que es la (WAN).

Configuración del trafico de ruteo (INCOMING ROUTED TRAFFIC).


Ahora nos dirigimos a (incoming routed traffic) para que la zona roja nunca se conecte con la zona verde, por el motivo de que los usuarios de la red WAN no puedan tener acceso a red LAN.

Configuración de reenvío de puertos (PORT FORWARDING/DESTINATION NAT RULE EDITOR).


En esta imagen como lo pueden observar estamos configurando para que los usuarios de la red roja puedan tener acceso a los servicios de la zona naranja (DMZ), en nuestro caso vemos que es el servicio FTP. Sucesivamente lo pueden realizar con los otros servicios.


En esta imagen como lo pueden observar estamos configurando para que los usuarios de la zona roja se puedan conectar a la zona naranja (DMZ).así mismo lo hacemos con todos los servicios de la DMZ.


Como lo pueden ver hemos agregado previamente los servicios que van a salir a la red WAN.


Configuración del Trafico entre zonas.

En esta imagen como lo pueden observar estamos permitiendo la conexión entre la zona verde con la naranja, para que los usuarios de la zona verde puedan acceder a los servicios de la zona DMZ.


En esta imagen como lo pueden observar estamos denegando la conexión entre la zona naranja y la zona verde, para que los usuarios de la zona roja no puedan acceder por ningún motivo a la zona verde.



Configuración del trafico de salida.

En esta imagen como lo pueden observar estamos permitiendo que la zona naranja pueda abrir la conexión con la zona roja, para que los usuarios de la zona WAN ingresan a los servicios de red naranja.

Resultados de las reglas

Los usuarios de la zona verde se pueden conectar a internet satisfactoriamente.


Los usuarios de la zona verde se pueden conectar con el servicio FTP de la zona naranja (DMZ) satisfactoriamente.


Los usuarios de la zona verde se pueden conectar con el servicio HTTP de la zona naranja (DMZ) satisfactoriamente.



Los usuarios de la zona naranja se pueden conectar a internet satisfactoriamente.


La zona naranja nunca puede conectarse con la zona verde.


Como lo pueden observar desde la zona roja (WAN) no se puede obtener respuesta a la zona verde, por dicha configuración realizada anteriormente.




Vemos que desde la zona roja (WAN) podemos tener acceso a la zona naranja(DMZ) y por echo tener acceso a los servicios implementados en dicha zona, servicios como el WEB y el FTP.

49 comentarios:

zeus dijo...

buen dia tengo un problemita con una mac no me deja hacer actualizaciones de los servicios entonces desactive el proxy http y ya medejo que es lo que esta pasando me podrian ayudar?

Harrison Gonzalez Carmona dijo...

Buen día, de seguro alguna política asociada con hacer descarga esta activada, seria cambiar la política por otra diferente que tenga casi la misma función, otra solución seria cada vez que vayas hacer una actualización lo desactivas y cuando termines lo vuelves activar. Saludos espero que te haya servido.

Anónimo dijo...

Buenas Tardes,
Sobre esta instalacion EndianFW acabo de restaurar un bk que habia generado en mi antiguo FW por lo tanto al momento de crear otro server virtual quise importar ese bk y el sistema asume que ya se restauro pero ya no puedo llegar con un ping y no puedo acceder por el broser. tus sugerencias xfavor...

Harrison Gonzalez Carmona dijo...

Saludos...

Amigo debes fijarte en la dirección que se restauro con el backup....si no mira si tienes activado el proxy de Endian si es asi desactivarlo... y la ultima es apagar el Setenforce.... Saludos espero haberte ayudado

Seguimos en Conexión

Ing. José J. Jaramillo dijo...

Hola...

Tengo una duda:

Al realizar un df -h al servidor donde tengo instalado el EFW me muestra:

/dev/mapper/local-var 24GB 23GB %100 ocupped.

¿Para que sirve ese archivo y por qué esta tan lleno?

Gracias

Anónimo dijo...

Amigo una pregunta ¿Por qué en el gateway de la pc XP le pones 192.168.20.1? ¿No debería ser .2?

Unknown dijo...

Hola! necesito de su ayuda, resulta que tengo contratado Internet con un proveedor de servicios cuyo rango de direcciones ip empieza con 192.168.0.1 y ahora me cambiare con otro proveedor cuyo rango empieza en 192.168.1.1, lo que necesito saber, es como le cambio la dirección ip a mi endian firewall comunnity sin alterar lo que ya tengo configurado... Agradezco el apoyo!!

Harrison Gonzalez Carmona dijo...

Hola Rous La solución mas sencilla y eficaz que encuentro seria hacerle un NAT ala dirección 192.168.1.1 para mapearla a la 192.168.0.1, otra seria añadir una regla al firewall seria lo mismo y muy parecido al NAT hecho anteriormente, El mismo Endian trae esta opción. . Rous espero haberte ayudado... Seguimos en conexión...

Unknown dijo...

Gracias!! se resolvió el asunto

Anónimo dijo...

Hola tengo un problema, se apago mi servidor (endian) por un problema de energía electrica, se ha vuelto a a encender ... por el putty entro sin ningún problema, pero por la web no acceso.
Podrías indicarme a que se debe o que debo hacer para accesar por la web

Saludos

JR

Anónimo dijo...

VAle mira la solucion es ver que direccion se a asignado en la maquina. ifconfig.... ya si luego quieres asiganarle una tu mismo ifconfig (direccion) eth1.

Harrison Gonzalez Carmona

Seguimos en conexion...

JorGe dijo...

tengo un servidor endian que no me permite ingresar correctamente las póliticas de acceso ... alguien que me pueda ayudar es urgente!

Unknown dijo...

Hola amigo me puedes ayudar a configurar te doy el acceso a mi Endian para que lo hagas tu por favor

Unknown dijo...

Hola Amigo quisiera saber donde podria obtener mayor informacion de utm edian, debido a que quiero empesar un proyecto..con referencia a esto.
Por favor si sabes de sitios donde podria tener capacitacion sobre el tema ..
Te agradeceria ..

Harrison Gonzalez Carmona dijo...

Disculpen la demora andaba lejos del teclado, en lo que les pueda ayudar.

Seguimos en conexion...

Sakoda dijo...

hola una consulta estoy probandolo con vmware con un XP virtual y un endian virtual pero com debo configurar las interfaces de red en modo nat, host only porque no consigo que se vean ambas maquinas por mas que estén en la misma red:S

Harrison Gonzalez Carmona dijo...

Alan Wake, vale te sugiero que Las dos maquinas, las pongas en Host-Only e igualemente le configures direcciones IP que esten dentro del mismo rango. ejemplo Maquina XP= 192.168.1.10, Maquina Endian= 192.168.1.11, de este modo conseguiras que la red sea Convergente y que las que las maquinas se hagan PING entre ellas.

Seguimos en conexion...

Unknown dijo...

el endian me lo bloquea algunos puertos como puedo habilitar puertos por ejemplo los puertos SAT

Unknown dijo...

buenas como habilito estos puertos tcp 970,980,990,1040 y 1060

Anónimo dijo...

Saludos: Como puedo habilitar el antivirus desde el Endian 2.4.0 ya que no permite actualizarlo.

wilman sanchez dijo...

como hago para que mis maquinas clientes tomen el proxy como gateway????

Anónimo dijo...

Tengo un problema e ignoro si es por falta de conocimientos:

Tengo Endian Firewall Community release 2.5.1
Necesito abrir el puerto 7000 para que una máquina externa tome datos de un equipo local desde una BB.DD. Para ello, he cogido la IP pública y le he indicado que abra el puerto TCP 7000 y que la IP local es la 192.x.x.x . En ese punto también tengo que indicar que el puerto para la máquina local es el 7000?

Es normal que al aceptar el crear la regla no se muestra en la lista? Ni reiniciando la máquina se muestra o es que tiene limitación de reglas por ser una versión free?

Mi mail es saulortizalfonso@gmail.com

Gracias y un Saludo.

Conectividades y Redes dijo...

Tengo un servidor con proxmox.

creo una maquina virtual para instalar endian,

lo instalo pero al terminar y querer ingresar desde otro equipo para configurar endian no puedo ingresar. le doy pin al endian da pin pero no puede ingresar al navegador

in

Anónimo dijo...

como puedo acelerar la velocidad de internet (descargas, etc)con el endian firewall

Anónimo dijo...

Muy buen articulo, se agradece desde Argentina :D
Estoy cerca de implementar este sistema en una vieja PC

Conectividades y Redes dijo...

puedo instalar endian dentro de proxmox?

Alexander Restrepo Jimenez dijo...

Buenas, no envia ni recibe correos desde outlook, he intentado de todo, desde permitir los puertos 995 y 587 hasta por port forwaring pero siempre sale el mensaje:"No se puede encontrar el servidor de correo electronico". Por favor ayudeme que llevo una semana en esto. PD: El servidor de correo es externo(gmail).

Gracias

Unknown dijo...

Muy bueno gracias por al aporte

Mauricio Guaño dijo...

Buenas acabo de implementar un endian quiero personalizarlo para que en lugar de que me muestre la página de error cuando no accede a una web me redirija a una pagina por ejemplo a google, como se puede hacer esto.

Agradezco tu ayuda.

Anónimo dijo...

Necesito ayuda para saber como puedo configurar diferentes direcciones virtuales en una misma interfaz fisica utilizando la interfaz web del endian

jhonymartinez dijo...

tengo una un problema, la respuesta de mi ping es muy grande cuando estoy usando endian es de alrededor de 350-400, uso un viejo proxy ClearOS y mi ping esta entre 100-140, quiero saber si puedo mejorar eso, me esta afectando mucho con la velocidad de internet.

erickjreyesc dijo...

Hermano tengo una duda, hago los pasos tal cual como lo indicas y no me da salida a Internet, la dirección IP 192.168.10.101, se refiere a la ip ejemplo de tu maquina o lo pusiste aleatorio? Otra cosa en la configuración de los enlaces no me aparece activo ninguno que podría ser?

Unknown dijo...

tengo una consulta puedo integrar dos tipos de de red osea de dos empresas diferentes

Unknown dijo...

como lo gestiono

Anónimo dijo...

Buen día. En proxy: se requiere que los equipos que tengan configurado el proxy puedan acceder a unos sitios solamente. Cómo puedo lograrlo?

Unknown dijo...

Hola tengo un problema no puedo hacer que las maquinas descarguen actualizaciones de windows

Unknown dijo...

Buen dia desearia bloquear youtube.com por HTTPS sin bloquear google.com ni gmail.com , mediante el firewall . Alguien pudo hacerlo .
El facebook si esta bien bloqueado en mi caso con las sgtes regla

31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.72.0/24
31.13.73.0/24
31.13.75.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.80.0/24
31.13.81.0/24
31.13.82.0/24
31.13.83.0/24
31.13.84.0/24
31.13.85.0/24
31.13.86.0/24
31.13.96.0/19
66.220.144.0/21
66.220.152.0/21
69.63.176.0/21
69.63.184.0/21
69.171.224.0/20
69.171.239.0/24
69.171.240.0/20
69.171.255.0/24
74.119.76.0/22
103.4.96.0/22
173.252.64.0/19
173.252.96.0/19
204.15.20.0/22
190.113.193.35
64.15.112.0/20
208.65.152.0/22
208.117.224.0/19
72.51.34.221/32
72.51.34.222/31
72.51.34.224/29
72.51.34.232/30
72.51.34.236/32
72.51.35.205/32
72.51.35.206/31
72.51.35.208/30
72.51.35.212/32
Espero puedan ayudar con las ips para PERU, entodo caso como obtener la mascara ya que la ip se puede sacar con NSLOKUP youtube.com

gracias

Anónimo dijo...

Muy bueno.

AAtehortua dijo...

Buenos días,

Me parece que es un articulo muy bueno.

Quisiera preguntarte una sola cosa.

Tengo un Endian configurado pero cada mañana se me consume todo el ancho de banda de subida, evitando así que toda la red pueda navegar o conectarse a algún aplicativo que tengo en la WEB.

¿Que debo de hacer para que Endian no se consuma toda la red y me deje trabajar?

Cordialmente,

Andrés Atehortúa

Unknown dijo...

Buenas tardes,

Como hago para que endian proxy guarde la cache, sin estar conectado a internet?

Muchas gracias....

Unknown dijo...

buenas tardes tengo un problema con el servidor endian 3.0
me baja la velocidad de descarga

Mariano Agüero dijo...

Hola muy bueno el tutorial, una consulta si yo quisiera poder comunicar un solo host de la zona naranja contra la zona verde como tendría que hacer ? Muchas gracias!!

Unknown dijo...

Hola, seria posible que me facilitaras el archivo donde se vean las imagenes. Por aqui ya ninguna imagen se puede visualizar.

Saludos.

Unknown dijo...

Hola a Todos;
Podrian ayudarme? El firewall esta bloqueandome la pagina www.gnbsudameris.com.co y es la pagina de un banco. Hasta el momento valide mis reglas y nada a cambiado. Tengo al area financiera encima por este bloqueo.

Les agradezco su ayuda

Unknown dijo...

amigo como puedo mirar las imagenes

Anónimo dijo...

En todos los blogs de Endian, y nadie explica fisicamente como van conectadas las 3 tarjetas. Entiendo que una va al Router ISP, la otra va a Swich de la LAN, y LA TERCERA A DONDE VA.... AYUDA...

Miguel Angel dijo...

lastima que no se ven las imagenes

Unknown dijo...

Hola amigo como puedo hacer para que denegar en escaneo de puerto con Endian

JuanMa dijo...

amigo.. como puedo ver los servicios de la publica (wan) desde la LAN, ya que los ping me responden pero no puedo acceder a ningun servicio a menos de que apunte a las ip locales. pero desde fuera me suncionan perfectamente.

Publicar un comentario