Zentyal Como Puerta de Enlace: La Configuración Perfecta - Página 2

3.3. Conmutación por error

Zentyal Server puede hacer conmutación por error en puertas de enlace. Si una de las puertas de enlace falla, se detectará y el tráfico pasará por la otra. Esto garantiza una conexión a Internet equilibrada (a menos que ambos enlaces fallen al mismo tiempo).

Para configurar la conmutación por error, el módulo de Eventos debe estar habilitado (en Estado del Módulo). También necesitas habilitar la Conmutación por Error WAN en la sección de Eventos. Finalmente, debes agregar reglas de verificación de conectividad. El evento de conmutación por error las utilizará para detectar el estado del enlace roto (Red -> Conmutación por Error WAN):

El ping a la puerta de enlace verifica si la puerta de enlace está activa, no la conexión a Internet en sí, el ping a un host externo también prueba la conectividad de manera rápida, la prueba de resolución DNS es un poco más lenta pero también verifica la resolución DNS, y la última, la solicitud HTTP, hará una solicitud completa a una página web, es más completa pero también más lenta.

Con esta configuración, Zentyal hará ping a 8.8.8.8 cada 30 segundos. Si dos o más pings fallan para una puerta de enlace, se desactivará. Si la puerta de enlace se recupera, se habilitará nuevamente. Ninguno de estos eventos afectará la conectividad de los usuarios finales. Es importante establecer un tiempo correcto entre pruebas, calculando los tiempos máximos de duración de las pruebas. En este caso, tenemos seis pings x dos puertas de enlace, que deben hacerse en menos de 30 segundos.

3.4. Infraestructura básica

Para proporcionar una infraestructura básica para la red interna, necesitas instalar los módulos DNS y DHCP usando la sección de Gestión de Software -> Componentes de Zentyal.

Ahora debes habilitar estos componentes en Estado del Módulo. DNS actuará como un servidor de caché, por lo que puedes configurar Red -> DNS a 127.0.0.1 para hacer que Zentyal lo use (si configuras más de un servidor DNS, 127.0.0.1 debería ser el primero):

DHCP también se puede configurar para servir en la red interna: configurará automáticamente a los clientes para usar Zentyal como puerta de enlace y DNS. Solo tienes que agregar un rango predeterminado de IPs que deseas para los clientes, 10.0.0.20-10.0.100 en este caso:

4. Cortafuegos

En este punto tienes una red funcional, con toda la infraestructura básica de red necesaria. Ahora, echemos un vistazo al Cortafuegos de Zentyal y cómo configurarlo.

Zentyal es seguro por defecto, el cortafuegos aplica reglas estrictas en las interfaces externas y permite el tráfico saliente de la LAN interna. Puedes encontrar las reglas configuradas en Cortafuegos -> Filtro de Paquetes:

• Reglas de filtrado de redes internas a Zentyal
• Reglas de filtrado para redes internas
• Reglas de filtrado para el tráfico que sale de Zentyal
• Reglas de filtrado de redes externas a Zentyal
• Reglas de filtrado de redes externas a redes internas
• Reglas añadidas por los servicios de Zentyal (Avanzado)

Todas estas tablas prohíben las conexiones por defecto, si deseas permitir algún tipo de conexión, necesitas crear una nueva regla para esto (las reglas se aplican en orden). Aquí hay algunos ejemplos comunes:

Permitir a los clientes internos usar algunos servicios excepto LDAP:

Permitir todo el tráfico de los clientes a Internet:

5. Proxy HTTP

El último paso de este tutorial es la configuración del Proxy HTTP. El Proxy HTTP de Zentyal almacenará en caché la navegación web de los usuarios, disminuyendo realmente el uso de ancho de banda y también filtrará contenido, desautorizando sitios o tipos de contenido prohibidos.

Desde Proxy HTTP -> General puedes configurar el Proxy HTTP como transparente, para que los navegadores de los clientes no necesiten ser reconfigurados, las solicitudes HTTP (puerto 80) se redirigirán automáticamente a través del proxy. También puedes aumentar el tamaño de la caché dependiendo de tu hardware y uso.

Finalmente, puedes agregar una URL a las excepciones de caché, para que el proxy nunca la almacene en caché. Esto es útil si necesitas acceder a la página web siempre en su última versión.

Configurar el Filtro como política predeterminada obligará a que la solicitud pase por el filtro de contenido. Ahora puedes configurarlo para permitir y desautorizar tus páginas deseadas. En el menú Proxy HTTP -> Perfiles de Filtro encontrarás perfiles de filtrado definidos. Puedes configurar el predeterminado, que se aplicará a todos los usuarios.

Además, aquí puedes configurar el umbral del filtro de contenido y agregar listas de dominios prohibidos. También, si instalas el módulo antivirus, el proxy lo usará para filtrar descargas de virus.

Como puedes ver, has bloqueado facebook.com (solo como ejemplo) pero ten en cuenta que el Proxy HTTP solo filtra HTTP en el puerto 80. En este caso, los usuarios aún pueden acceder a la versión HTTPS de la página, por lo que también creamos una regla de cortafuegos bloqueando ese tráfico. Necesitarás un objeto (menú Objetos) que contenga el grupo de direcciones de facebook.com:

Si no existe, también puedes crear un nuevo servicio para coincidir con el tráfico deseado. En este caso HTTPS (TCP con puerto de destino 443):

Finalmente, puedes agregar la regla de cortafuegos para redes internas bloqueando el tráfico que coincida con tu nuevo objeto y servicio como destino:

6. Conclusiones

Hemos configurado completamente Zentyal Server como una puerta de enlace con balanceo de carga, conmutación por error y caché de proxy HTTP. Zentyal también se encargará de la infraestructura básica sirviendo DHCP y DNS.

Acerca de

Zentyal, el Servidor Linux para Pequeñas Empresas, ofrece a las pequeñas y medianas empresas una infraestructura de red asequible y fácil de usar a nivel empresarial. Al utilizar el servidor Zentyal, las PYMEs pueden mejorar la fiabilidad y seguridad de su red informática y reducir sus inversiones en TI y costos operativos. El desarrollo del servidor Zentyal comenzó a principios de 2004 y actualmente es la alternativa de código abierto al Servidor para Pequeñas Empresas de Windows. Zentyal es un servidor todo en uno que puede actuar como una Puerta de Enlace de Red, Gestor Unificado de Amenazas (UTM), Servidor de Oficina, Gestor de Infraestructura, Servidor de Comunicaciones Unificadas o una combinación de ellos. El servidor Zentyal se utiliza ampliamente en pequeñas y medianas empresas, independientemente del sector, industria o ubicación, así como en las administraciones públicas o en el sector educativo. Se estima que hay más de 50,000 instalaciones activas de Zentyal en todo el mundo.

El autor, Carlos Pérez-Aradros Herce (también conocido como exekias), trabaja como desarrollador de Zentyal Server y Zentyal Cloud.