Firewall con Kerio Win Route

En esta prctica utilizaremos tres mquinas con Windows XP, una que har de router con dos tarjetas de red (una interna y otra con adaptador puente y con el software de cortafuegos instalados), y dos clientes con tarjeta en modo red interna. Este un esquema de mi red. En la interfaz eth0 del PC1 tiene la IP 10.0.0.20 ya que la red de mi casa el router tiene un rango de IP 10.0.0.X siendo la del router la 10.0.0.1

As quedara la configuracin de red de cada equipo en la siguiente tabla:

Realizamos un ipconfig del PC2. Luego un ping al eth1 (LAN) y al eth0 (PUENTE) del pc1 para ver que hay conectividad. Por ltimo, un ping a www.google.es para comprobar que tenemos conexin a internet.

Descargamos el software y desactivamos los Firewalls de Windows de las tres mquinas. Nos vamos a la pgina web del desarrollador www.kerio.com y en download seleccionamos kerio control y descargamos en nuestro caso, la versin de 32 bits.

Procedemos a la instalacin y en la ventana en la que nos pide registrar el producto, hacemos clic abajo en la izquierda en saltar registracin Ahora vamos activar la opcin de IP routing en la mquina que tiene instalado el Firewall. Para eso vamos a Inicio/ejecutar y escribimos el comando regedit. Tenemos que seguir la siguiente ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Buscamos el IPEnablerouter y cambiamos el valor a 1. Es bueno reiniciar en este caso para asegurarnos que funciona correctamente este cambio que hemos hecho en el registro de Windows.

El siguiente paso es configurar el cortafuegos. Podemos escribir en el navegador http://127.0.0.1:4080/admin/login o bien podemos Inicio/Programas/Kerio/Kerio Control Administrador. Hacemos clic en la primera opcin, configure conexin a Internet y red local...

En la siguiente pantalla elegimos un nico enlace de Internet. Elegimos nuestra tarjeta que tiene salida a Internet y cual tenemos para la red local.

Vamos a crear una regla para denegar un ping (protocolo ICMP) de la mquina PC2 al PC1 que es el que tiene el Firewall instalado, pero permitir realizar un ping del PC1 al PC2. En el men de la izquierda, vamos a configuracin/polticas de trfico/reglas de trfico. En rojo estn las prohibidas y en verde las permitidas. A travs de la flechas podemos poner un orden en la que la primera regla tiene prioridad sobre la segunda. Crearemos una regla nueva haciendo clic con el botn derecho agregar. Podemos elegir el origen, el destino el servicio y la accin (permitir, denegar, colocar)

Quedara as la configuracin. Vamos a realizar las pruebas...

Hacemos un ipconfig y realizamos un ping a la mquina PC2. Vemos como llega el ping.

Y ahora nos vamos a la mquina PC2 y realizamos el ping PC1, podemos comprobar como el cortafuegos realiza su trabajo impidiendo el trfico del protocolo ICMP.

Ahora la siguiente prctica consistir en bloquear el servicio telnet de las mquinas clientes PC2 y PC3 al Firewall, pero el Firewall podr hacer telnet a las dos clientes. Habilitamos el servicio ejecutando el comando services.msc buscamos telnet y lo iniciamos.

Como se puede ver, le estamos diciendo que el trfico de origen de los interfaces locales al destino que es el firewall con el servicio telnet, sea denegado.

Hacemos un telnet del PC1 al PC2

Vemos que podemos conectarnos a la mquina y ejecutar el comando dir sin complicaciones.

Ahora vamos al PC2 y realizamos un telnet al equipo PC1 ...

Vemos como nos bloquea el servicio telnet hacia el PC1 incluso nos muestra un error que no se puede conectar al puerto 23 (telnet) Ahora probamos del PC3 al PC1

Y nos vuelve a mostrar el mismo mensaje.