Implantación de un Firewall (cortafuegos) DFL-200 en una red LAN con conexión a Internet mediante router

Este manual explica cómo implantar un cortafuegos (firewall) marca DLink, modelo DFL-200 en una red de área local, con conexión a Internet mediante un Router DLink, modelo DSL-G804V. Con este cortafuegos conseguiremos evitar cualquier intrusión no autorizada desde Internet a nuestra LAN. También podremos controlar el tráfico de salida desde nuestra LAN hacia Internet. Impide el tráfico P2P (eMule, Torrent, Kazaa, etc) que puede resultar nefasto para la velocidad de nuestra red.

1. Si tenemos un router el primer paso a llevar a cabo es el de situar el router en una subred distinta a la del firewall a instalar. Eso supone cambiar la puerta de enlace del router y para ello debemos asignar tanto una IP como una puerta de enlace alternativa, para que cuando se cambie dicha puerta de enlace, se puedan efectuar los cambios.

En el escritorio hacemos clic sobre Mis sitios de red, pulsamos con el botón derecho del ratón y seleccionamos la opción de menú "Propiedades". Nos mostrará la siguiente ventana, pulsaremos sobre la conexión activa o sobre la que queremos modificar (Conexión de área local), pulsaremos con el botón derecho del ratón y seleccionaremos "Propiedades":

En la siguiente ventana seleccionamos Protocolo Internet (TCP/IP) y pulsamos en el botón "Propiedades" como se observa en la imagen:

Pulsaremos en el botón "Agregar" dentro de "Direcciones IP":

Añadimos la IP y la máscara de subred y pulsamos en "Agregar":

Para agregar la puerta de enlace pulsamos en "Agregar" en "Puertas de enlace predeterminadas":

Añadimos la puerta de enlace y pulsamos en "Agregar":

2. Ahora procedemos a la configuración del router, para ello accedemos vía web introduciendo la puerta de enlace en nuetro Navegador de Internet. Nos pedirá usuario y contraseña para el acceso, lo introducimos y nos saldrá la siguiente ventana. Pulsamos en "LAN" y procedemos a cambiar la IP por una que esté en una diferente subred de la del firewall, como antes hemos indicado. Pulsamos "Apply" y para salvar los cambios pulsamos en "Logout":

y nos saldrá la siguiente ventana, donde pulsaremos en "Save" para guardar los cambios definitivamente:

3. Ahora procedemos a abrir los puertos que nos sean necesarios en el router, los cuales tendremos que abrir también en el firewall. Para ello pulsamos en el menú del router "Avanced" y luego en "Virtual Server", y procedemos a añadir los puertos rellenando los siguientes campos:

* "Name Helper": ponemos un nombre al puerto que se va añadir por ejemplo si es del emule, le ponemos "emule".

* "Public Port(s)": aquí ponemos el número de puerto que queremos añadir, por ejemplo "4662".

* "Private IP Candidates": añadimos la IP del equipo al que queramos redirigir el tráfico de este puerto, por ejemplo "192.168.1.2".

Y se nos añadirá el puerto en la lista como muestra la imagen inferior:

4. Una vez configurado el router procederemos con la configuaración del firewall, para que ejerza como tal. Para entrar en el menú web hacemos lo mismo que hemos indicado antes para entrar en el router. Tras acceder mediante el Navegador de Internet, la IP del firewall y el usuario y contraseña, pulsamos en el menú del firewall "System" y seguidamente en "Interfaces" para cambiar el tipo en el que el WAN obtiene la IP del router:

En nuestro caso, ya que lo tenemos conectado al router, seleccionamos la opción DHCP y pulsamos en "Apply Change":

Nota: debemos tener activo el DHCP en el router.

5. Como hemos hecho anteriormente con el router, tenemos que cambiar la puerta de enlace del firewall, para ello accedemos al menú del "System" del firewall, "Interfaces", después, en "Available interfaces", pulsamos "Edit" del interfaz LAN y cambiamos la IP. Como antes hemos puesto la 192.168.1.1 ahora le pondremos la 191.168.1.1, para que estén en distintas subredes. Pulsamos en "Apply" y guardamos los cambios:

6. Ahora procederemos ha añadir las reglas de seguridad para que el firewall haga su función, para ello pulsamos sobre la pestaña "Firewall" (menú superior) y a continuación en "Policy" (menú lateral):

Nos saldrá la siguiente ventana, pulsamos sobre [Add new] (parte inferior):

Introduciremos los datos de la regla, según el tipo de tráfico que queramos permitir o denegar:

* "Name": pondremos el nombre relativo a la norma a añadir o dejaremos el que nos ajudica por defecto el firewall.

* "Position": en este campo ponemos el número correspondiente a la posición que queremos que ocupe nuestra regla en la lista.

* "Action": Drop = Denegar el servicio, Allow =permitir el servicio. Por lo tanto, si queremos permitir el servicio "http" eligiremos "Allow".

* "Source Nets": con esta opción sólo permitiremos la entrada de tráfico de este servicio desde la IP seleccionada.

* "UsersGroups": Dejamos en blanco.

* " Destination Nets": red de destino, dejamos en blanco para permititirlo a toda la red.

* "UsersGroups": dejamos en blanco.

* "Services": elegimos el servicio que queremos añadir para denegar o permitir.

* "Custom source ports": dejamos en blanco.

* "... destination ports": dejamos en blanco.

* "Schedule": seleccionamos "Always".

* "Intrusion detection": lo dejamos sin seleccionar

Los servicios mas comúnes que tenemos que añadir para navegar por Internet son los siguientes: http-all, dns-all, ping-inbound, ping-outbound, telnet, smtp, pop3 y smtp-in. Todos estos servicios se añaden de la misma forma que hemos explicado anteriormente:

Salvamos los cambios pulsando en "Activate" (menú lateral), luego pulsamos "Activate changes":

y esperamos hasta que salga una segunda ventana que se nos muestra debajo de este texto, una vez aparezca dicha ventana los cambios se habrán guardado:

6. El último paso a llevar acabo es el de abrir los puertos que hemos abierto en el router, para permitir el acceso a aplicaciones externas a nuestra LAN que lo requieran (eMule, Remote Administrator, MySQL, Terminal Server, VPN, etc), para ello vamos a la pestaña "Firewall", a continuación pulsamos sobre "Port Mapping" (menú lateral) y pulsaremos en "Add new":

Introduciremos los siguientes datos:

* Name: pondremos el nombre del programa que hace referencia al puerto que queremos añadir.

* Source Nets: dejamos en blanco.

* ... Users/Groups: dejamos en blanco.

* Destination IP: dejamos en blanco.

* Service: elegimos el tipo de conexión que utilizará este puerto TCP, UDP, etc...

* Custom Source Ports: ponemos lo siguiente 0-65535.

* ... destination ports: es aquí donde hacemos referencia al puerto que queremos añadir (3306, 4899, 4662, etc).

* ... pass to port: dejamos en blanco.

* Pass to: ponemos la IP a la que queremos redirigir dicho puerto.

* Shedule: seleccionamos Always

* Intrusion Detection / Prevention: lo dejamos sin seleccionar.

* Delete this mapping: lo dejamos sin seleccionar.

Por último pulsamos en "Apply" y salvamos los cambios.