Hace unas semanas publique un post explicando  la conveniencia de tener un firewall de los de verdad, recomendando Cisco como la mejor opción y dando instrucciones sobre como configurar un firewall Cisco de la serie Pix, en esta ocasión voy a explicar como hacer exactamente lo mismo aunque en este caso con un Firewall de la serie que sustituyó a la serie Pix, cuya mejora más evidente es la de proporcionar mayor eficiencia (potencia/consumo), una seguridad más avanzada y un mayor ancho de banda (salida 100mbs en lugar de los 10mbs del Pix).

En este ejemplo voy a usar la red 10.0.0.0 como red local (la que está por detrás del firewall), y como red externa la 192.168.1.0 porque es la que utiliza mi router adsl para asignar direcciones internas, ambas con mask 255.255.255.0

Tanto si lo compráis nuevo como si es de segunda mano, lo normal es que venga configurado con sus valores de fábrica. Configurarlo a través de su entorno web es facilísimo si utilizamos su asistente, por lo que voy a explicar como hacerlo desde la consola para dar cobertura a aquellos casos en los que sea la única manera de hacerlo.

Si compráis un firewall usado, lo normal es que os lo entreguen con su configuración de fábrica, lo que obliga a utilizar un cable de consola para su configuración.

El cable de consola no es otra cosa que un cable de comunicaciones que por el lado del router tiene una clavija RJ45, y que por el lado del ordenador tiene un puerto serie o usb.

Se puede comprar en cualquier tienda de electrónica/informática, por unos 10 euros.

Una vez conectado el cable al Firewall y a nuestro ordenador, necesitaremos usar una aplicación de emulación de terminal.

Una vez iniciada la sesión del terminal, y habiendo accedido al router recomiendo (por seguridad) restablecer los valores de fábrica:

enable

Se nos pedirá el password, lo informaremos y pulsaremos ENTER

config t

write erase

Se pedirá que confirmemos.

reload

Nuestro Firewall se reiniciará.

enable

Se nos pedirá el password, no lo informaremos  y pulsaremos ENTER

config t

Configuraremos el interface de la vlan interna

interface vlan 1
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0
no shut

Configuraremos el interface de la vlan externa (conectada a internet)

interface vlan 2
nameif outside
security-level 0
ip address 192.168.1.1 255.255.255.0
no shut

Asignamos el puerto ethernet0/0 a vlan 2

interface ethernet0/0
switchport access vlan 2
no shut

Activamos el resto de puertos (en este ejemplo el ethernet0/1)

interface ethernet0/1
no shut

Configuramos PAT en el interface externo (el conectado a internet)

En versiones de inferiores a la 8.3

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

En la versión 8.3 y superiores

object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside, outside) dynamic interface

Para dar acceso al Firewall a través del entorno web y ssh, desde el interface interno:

http server enable
http 10.0.0.0 255.255.255.0 inside
ssh 10.0.0.0 255.255.255.0 inside

Configuraremos el servidor dhcp (interno):

dhcpd add 10.0.0.200-10.0.0.254 inside
dhcpd enable inside

Lo siguiente es configurar la ruta a la puerta de enlace predeterminada y de esa forma facilitar el acceso a internet. Suponiendo que el router que nos da acceso a internet tiene la ip 192.168.2.2

route outside 0.0.0.0 0.0.0.0 192.168.2.2 1

Guardaremos la configuración con

exit
write mem

Y reiniciaremos el dispositivo con

reload

Se reiniciará el Firewall, permitiendo a partir de ese momento la configuración remota desde cualquier equipo de nuestra red:

ssh root@10.0.0.1

o a través del navegador web con https://10.0.0.1

He intentado simplificar al máximo las instrucciones lo que puede hacer que dependiendo del nivel de conocimientos algún usuario pueda tener alguna duda, o quedarse atascado en alguno de los pasos. Si necesitáis cualquier tipo de ayuda no dudéis en contactarme.