M0n0wall es un firewall de código abierto y enrutador inalámbrico desarrollado por Manuel Kasper, construido sobre un sistema operativo FreeBSD reducido. M0n0wall ofrece muchas de las mismas características que se encuentran en productos de cortafuegos comerciales, como Check Point Firewall-1 y Cisco Pix, incluido el filtrado de paquetes con estado. Con él, puede crear una red privada virtual (VPN) segura entre dos sitios, o puede usar m0n0wall como puerta de enlace VPN, para que pueda acceder a su LAN de forma segura desde Internet. Puede usar RADIUS para la autenticación de clientes con el fin de aumentar aún más la seguridad.
M0n0wall tiene una bonita interfaz web para configurar la configuración del firewall. La mayor parte de la configuración se puede realizar a través de la interfaz web y todos los valores se almacenan en un solo archivo XML. La configuración se puede guardar en un disquete, disco duro o tarjeta de almacenamiento externa. Esto facilita la implementación de varios firewalls con una configuración de hardware similar.
El firewall es estable, y parece un firewall comercial; la única diferencia es su falta de una etiqueta de precio comercial. He utilizado el firewall m0n0 en muchas configuraciones de PC diferentes durante más de un año sin ningún problema. Al igual que con todo el software de código abierto, puede descargar una versión completa y no dañada de m0n0wall para su evaluación y prueba.
Instalación de m0n0wall
Para probar m0n0wall, descargue un archivo de imagen. Puede elegir entre imágenes para un PC normal o para un dispositivo de hardware integrado especial. Cada enfoque tiene ventajas y desventajas. Las computadoras de repuesto antiguas (una 486 de 100 Mhz con 64 MB de RAM o mejor) están en todas partes; sin embargo, hacen mucho ruido y usan mucha energía. Los sistemas integrados hacen poco o ningún ruido y usan energía mínima, pero probablemente no tenga un sistema Soekris de repuesto en su sótano, por lo que tendría que comprar el equipo, que comienza en aproximadamente 2 200. Para configuraciones basadas en hardware como Soekris, puede realizar una actualización de firmware en m0n0wall siempre que haya actualizaciones disponibles en el proyecto m0n0.
Probé m0n0wall en un viejo Compaq ProLiant de 450 Mhz con 128 MB de RAM. Descargué la imagen adecuada y la grabé en un CD-ROM de arranque. Sugerencia: recuerde usar la opción de imagen en el software de grabación de CD; solo copiar el archivo no producirá una imagen de arranque. Coloque el CD en su futuro cortafuegos, desconecte todos los cables de red y encienda la alimentación.
Si todo es correcto, debería ver la siguiente pantalla :
*** Este es m0n0wall, versión 1.2b3
construido en Sun Dec 5 11:22:47 CET 2004 para generic-pc-cdrom
Copyright (C) 2002-2004 por Manuel Kasper. Todos los derechos reservados.
Visite http://m0n0.ch/wall para obtener actualizaciones.
Dirección IP LAN: 192.168.1.1
Configuración del puerto:
LAN – > sis0
WAN -> sis1
configuración de la consola m0n0wall
**********************
1) Interfaces: asigne puertos de red
2) Configure la dirección IP LAN
3) Restablezca la contraseña de WebGUI
4) Restablezca los valores predeterminados de fábrica
5) Reinicie el sistema
6) Host Ping
Primero elija la opción 1 para asignar las interfaces LAN y WAN, y una DMZ semi-confiable si elige tener una.
Si debe cambiar la dirección IP de la LAN a otra diferente de la IP predeterminada (192.168.1.1), elija la opción 2. Aquí también puede asignar un servidor DHCP si desea usar DHCP en su LAN.
Las siguientes cuatro opciones son para solucionar problemas; no debería necesitarlas en este momento.
Acceder a la interfaz gráfica de usuario de la Web
Ahora conecte un cable cruzado a la interfaz LAN de su firewall y use otro equipo de la red con un navegador para hacer el resto de la configuración. Apunte el navegador a http://192.168.1.1 (o a la dirección IP que haya configurado con la opción 2 en la consola). Utilice el nombre de usuario admin y la contraseña m0n0.
En la pantalla de configuración general, puede y debe cambiar el nombre de usuario/contraseña predeterminados. También puede cambiar el nombre de host del firewall y especificar si desea usar DNS. También puede especificar que desea utilizar el Protocolo de tiempo de red (NTP) para sincronizar la hora del sistema con un servidor NTP para garantizar que los tiempos de registro del sistema sean precisos.
Puede configurar muchas configuraciones diferentes para su interfaz WAN, incluidos PPPoE, PPTP, cable BigPond y otros.
El siguiente paso es configurar algunas reglas de firewall. Comience con algunas reglas simples, como «todo, desde la LAN hasta la WAN, está permitido.»En m0n0, el * significa «cualquiera», por lo que la regla a continuación permite cualquier cosa, desde su LAN hasta Internet.
Proto | Fuente | Puerto | Destino | Puerto | Descripción |
* | LAN net | * | * | * | LAN predeterminada -> cualquier |
Es muy fácil cambiar las reglas. Si solo desea permitir el tráfico HTTP a Internet desde la LAN, cambie la regla anterior a la siguiente:
Proto | Fuente | Puerto | Destino | Puerto | Descripción |
TCP | LAN net |
80 HTTP |
* | * | Sólo HTTP de LAN -> cualquier |
Usted puede configurar la traducción de direcciones de red (NAT) y permitir el tráfico de conformación. En la pestaña servicio, puede activar el servidor DHCP, pero si lo hace, asegúrese de que no haya otros servidores DHCP activos en su LAN.
Después de haber introducido la configuración actual, guárdela. A continuación, puede conectar el firewall a la WAN. Si ha hecho todo correctamente, los usuarios de su LAN ahora deberían poder disfrutar navegando por Internet.
Funciones más avanzadas
Si desea obtener acceso a su LAN desde Internet, puede configurar un túnel PPTP desde un cliente externo para acceder de forma segura a su LAN o usar un servidor RADIUS para la autenticación de los clientes externos. La configuración de PPTP depende en gran medida del sistema operativo de su máquina cliente y del cifrado que puede usar. Su configuración real debe ingresarse en el menú VPN.
También puede configurar una conexión VPN de sitio a sitio, siempre que pueda configurar el otro lado del túnel VPN. Me las arreglé para hacer una conexión VPN a una máquina de Check Point Firewall-1 con un mínimo de trabajo.
A pesar de sus buenos puntos, m0n0wall tiene algunos inconvenientes en comparación con los productos comerciales. Lo más importante es que no hay soporte 24×7 disponible. Hay una lista de correo muy activa con muchas personas útiles y un canal IRC, pero estás solo si tu firewall m0n0 de misión crítica muere en mitad de la noche.