Modos de administración remota de Vyatta, SSH, Web GUI access (https) o Telnet
Para poder acceder remotamente de forma segura a una máquina Vyatta lo primero es configurar el servicio SSH, el servicio Web GUI access (https) o tambien el acceso remoto por Telnet, de esta forma podremos administrar y configurar de forma remota los sistemas Vyatta. Como recomendación lo mejor, más seguro y potente es la configuración y administración remota por SSH, recordemos que las conexiones Telnet no están encriptadas:
vyatta@vyatta:~$ configure
[edit]
vyatta@vyatta# set service ssh port 2022
vyatta@vyatta# set service ssh allow-root
vyatta@vyatta# set service telnet port 2023
vyatta@vyatta# set service https
vyatta@vyatta# commit
vyatta@vyatta# save
Una buena práctica de “seguridad por ocultación” es la de cambiar los puertos por defecto de escucha de los servicios de administración remota, así estaremos algo más protegidos ante ataques de diccionario o fuerza bruta a nuestros servicios de administración tras escaneos de puertos.
Una vez tenemos el servicio o servicios en escucha hay varias opciones según el sistema operativo desde el que vayamos a administrar nuestros sistemas Vyatta:
-
Desde Windows, para mí el pack más útil es WinSCP + PuTTY.
Con WinSCP (aplicación de software libre) tenemos un cliente SFTP gráfico para Windows que usa SSH y nos provee de un explorador de archivos seguro que resulta muy útil a la hora de navegar por la estructura de archivos de la máquina administrada, con lo que crear carpetas y archivos, administrar permisos, transferir archivos entre el sistema local y remoto o editar ficheros es mucho más rápido que por consola.
Podemos descargar de aquí la última versión (actualmente la 4.3.1 beta).
Con PuTTY (cliente opensource de SSH y Telnet) tenemos una terminal de comandos de la máquina a administrar directamente en Windows.
Podemos descargar el instalador aquí o solamente el ejecutable de PuTTY que no necesita instalación aquí.
Actualmente disponible la versión Beta 0.60, la misma desde 29/04/2007.
Actualización: El 12 de Julio de 2011 se liberó la nueva beta 0.61 en su web oficial.
PuTTY se integra perfectamente con WinSCP, con lo que podemos acceder a nuestra máquina a administrar desde WinSCP y si necesitamos ingresar algún comando por consola vamos al menú Comandos -> Abrir en PuTTY (Ctrl + p) y WinSCP se encarga de abrir PuTTY y pedir a la máquina remota una sesión TTY con el mismo usuario con el que WinSCP está conectado. Con lo que la combinación de ambas herramientas hace de cualquier máquina Windows un cliente perfecto de administración de servicios ofrecidos por máquinas GNU/Linux.
-
Desde cualquier GNU/Linux podemos acceder directamente desde la terminal al CLI de Vyatta ya que normalmente viene preinstalado un servicio de cliente SSH y otro de servidor SSH. El comando para acceder de forma remota a Vyatta sería:
ssh usuario@máquina_vyatta (puede ser la IP o su FQDN si es posible resolver mediante un server DNS).
Cuando el puerto SSH es el puerto por defecto 22 TCP.ssh -p puerto usuario@máquina_vyatta (puede ser la IP o su FQDN si es posible resolver mediante un server DNS).Cuando hemos modificado el puerto SSH por temas de seguridad.
A día de hoy WinSCP no cuenta con una versión para GNU/Linux, pero es posible instalar la versión de Windows mediante la genial aplicación Wine HQ que viene instalada por defecto en muchas distros y que nos permite instalar software para Windows en nuestras máquinas Linux. Con esto, podemos seguir disfrutando de la gran utilidad de WinSCP sin que el sistema operativo sea un obstáculo.
- Desde MAC OSX también podemos administrar nuestros servidores GNU/Linux por SSH ya que al igual que Linux también trae por defecto un cliente SSH instalado al que podemos acceder también por la consola de MAC de la misma forma que lo haríamos en cualquier Linux.
Personalmente cada vez que instalo una máquina con Vyatta lo primero que hago es hacer su configuración básica (asignarle IP a la interfaz de administración, puerta de enlace, nombre de host, dominio, DNS, borrar usuario Vyatta y configurar servidor SSH) desde consola local y después remotamente por SSH hago el resto de configuración de la máquina.
19/12/2010
Hola que tal!
Necesito saber si tu me puedes ayudar, mi problema es que no quiero que se pueda acceder desde cualquier maquina de mi red a la GUI…
Solo quiero que una maquina tenga acceso… quiero deshabilitar el servicio http y ssh. Pero no se como…
Gracias
Hola Efren, supongo que hablamos de Vyatta.
Para deshabilitar los servicios de https y ssh solo tienes que ejecutar el comando:
vyatta@vyatta#delete service ssh
[edit]
vyatta@vyatta#delete service https
[edit]
vyatta@vyatta# commit
pero entonces no podrias acceder desde ninguna máquina de forma remota.
Lo mejor en este caso es crearte una regla de firewall que permita acceso al puerto ssh o https solo a la IP que tu quieras, por ejemplo:
vyatta@vyatta# edit firewall name LANlocal
[edit firewall name LANlocal]
vyatta@vyatta# set action accept
[edit firewall name LANlocal]
vyatta@vyatta# set destination port ssh (o https)
[edit firewall name LANlocal]
vyatta@vyatta# set protocol tcp
[edit firewall name LANlocal]
vyatta@vyatta# set source address IP_de_tu_maquina_remota
[edit firewall name LANlocal]
vyatta@vyatta# top
[edit]
vyatta@vyatta# commit
[edit]
vyatta@vyatta# run show firewall
[edit]
name LANlocal {
rule 10 {
action accept
destination {
port ssh (o https)
}
protocol tcp
source {
address IP_de_tu_maquina_remota
}
}
}
vyatta@vyatta# set interfaces ethernet eth0 (o interfaz que este en la red de tu maquina remota) firewall local name LANlocal
[edit]
vyatta@vyatta# commit
[edit]
vyatta@vyatta# save
[edit]
Espero que te sirva el ejemplo, aunque en breve pondré un HOWTO de como configurar a fondo el firewall en Vyatta.
Saludos!
Perfecto…
Muchas gracias.
Pingback: Vyatta en español | openredes - Networking Open Source
Pingback: Instalación de Nagios en Vyatta | openredes - Networking Open Source
Pingback: Configuración de VPNs (vtun) en Vyatta con OpenVPN | openredes - Networking Open Source
Pingback: Configuración de parámetros básicos de sistema en Vyatta | openredes - Networking Open Source
Pingback: Gestión y colocación de certificados para configurar VPNs con OpenVPN en Vyatta | openredes - Networking Open Source
Pingback: Configuración del módulo firewall de Vyatta. Parte 1 - Consideraciones previas y establecimiento de políticas | openredes - Networking Open Source
Te hago una consulta, el modo configure de vyatta es una vty parecida a lo que usa cisco? te pregunto esto por que no se donde configura las ip. ademas me gustaria ver el codigo. Saludos
Hola Marcos, si, los comandos del CLI de vyatta son muy similares a los de Cisco.
Para asignar IPs:
set interfaces ethernet eth0 address 192.168.1.1/24
commit
Saludos!
Hola soy nueva, con respecto a la configuracion de vyatta, ya tengo configuradas mis 2 tarjetas, mi gateway y dns tengo conectividad total y acceso a internet, pero quisiera saber, como puedo hacer que solo ciertas ips de mi red tengan acceso a internet?
Hola Susana, lo puedes hacer mediante el firewall, pero lo mas óptimo sería mediante el servicio webproxy.
hola, lo que hice es aplicar una regla de firewall para excluir un rango de direcciones ip, pero el problema es que tengo que excluir 2 rangos mas de Ips, y no me acepta las 3 reglas en la interfaz eth1, que viene a ser mi WAN, como podria hacerlocon web proxy???, en ese servicio solo configure mi listen address que supuse viene a ser la ip de mi WAN(corrigeme si estoy equivocada) e hice un update de mi webproxy de las listas negras.
Tienes que generar un grupo de reglas y asignar el grupo completo a un sentido de tráfico en la interfaz.
Hay mucho que leer.
En cuanto al webproxy, es sencillo de configurar pero yo aun no tengo ningún tutorial de webproxy de Vyatta hecho así que tendrás que tirar de la documentación de Vyatta o de google.