[Solar-tecnica] firewall

Fernando Toledo ftoledo en docksud.com.ar
Lun Jun 20 19:03:53 CEST 2005


casi todos los "firewalls" que ves por ahi son interfaces para manejar las reglas de iptables que como bien decis son parte del kernel de linux
por ejemplo tiene un tilde que diga compartir tu conexion de internet y temrinan haciend iptables -t nat -o ppp0 -j MASQUERADE 
=)
como dice ricardo lo mejorcito como siempre es saber como funcionan las cosas despues si por comodidad o gusto usas una interface u otro es lo mismo , lo importante es entender como es el filtrado de paquetes para saber que reglas aplicar , la interface es lo de menos 
salute.
mi "firewall sencillo":

#pongo por defecto el input en drop, esto hace que no ingrese absolutamente nada.. si el mismo localhost
iptables -P INPUT DROP

#dejo responder lo pings 
iptables -A INPUT -p icmp -j ACCEPT
#dejo entrar paquetes de conexion que hayan salido primero o sea que conecionexiones nuevas no se permitirian hacia la pc
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED

#dejo acceder al localhost
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
#ahora dejo pasar a los puertos que quiero
#ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#web y mail
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT

#opcional le doy acceso full a la red interna 
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT

con esto tenes algo basico par empezar , despues deja volar tu imaginacion
una vez que las escribis, en las distros derivadas de RH podes hacer algo asi como /etc/init.d/iptables save
y te guarda las reglas en /etc/sysconfig/iptables
para debian y otras distros tiene sus scripts y bien podes:
guardar las reglas
iptables-save >/etc/iptables
y depsues en el /etc/init.d
podes crear un archivo ejecutable "firewall" que sea
#!/bin/bash
iptables-restore < /etc/iptables
y listo , te repito algo basico pero util para empezar


El Mon, 20 Jun 2005 12:58:02 -0300
Gerardo Diaz <gerardo.diaz en gmail.com> escribió:

> > > > En fin, tengo una pregunta, que firewall basado en linux me recomendarían?
> > > Yo te recomendaria que hagas un script a mano. Iptables es algo
> > > sencillo, practico y poderoso.
> 
> gracias,  busqué sample scripts firewall  linux y encontre'algunos para mirar a
> ver que sale.
> 
> > >
> > 
> > iptables suele llevar un tiempo su comprension si uno empieza de cero en su uso.
> 
> 
> Es mi caso. No me asusta aprender algo nuevo, pero también veo que puedo 
> mandarme un montón de cagadas que  provoquen que un paquete entre en loop, o
> muchos otros efectos indeseados. :-(
> 
> Estoy considerando IP Cop porque me dijeron que tiene unas
> estadísticas *excelentes*
> --y así parece-- La gente que lo adoptaría lo haría para reemplazar un firewall
>  integrado en un hw que es muy lindo pero que no tienen idea de lo que
> pasa ahí adentro,
> a veces detecta ataques y en forma automática cierra todo, pero cuando van a ver
> las  estadísticas, como son muy limitadas no saben si fué un ataque
> real o imaginario,
> ni de donde, ni a qué hora, ni un pomo. Por eso quieren probar otra cosa.
> 
> Por lo que leí hasta ahora, ¿linux tiene las funciones de firewall
> directamente integradas
> a nivel de kernel, y los llamados "firewalls" lo único que hacen es
> modificar las reglas,
> es así?? Y si es así, l"oguea" (o, ¿se puede hacer que loguee?) e n
> algún lado lo que
> hace con los paquetes que entran y salen, y lo que hizo?
> 
> (por las nuevas sugerencias: ¡mil gracias!, estoy como turco en la
> neblina pero de
> a poco saldre con el SoL,  jajaja)
> 
> --
> Gerardo Díaz
> gerardo.diaz en gmail.com
> 
> _______________________________________________
> Solar-tecnica mailing list
> Solar-tecnica en lists.ourproject.org
> http://lists.ourproject.org/cgi-bin/mailman/listinfo/solar-tecnica


-- 
Fernando Toledo
http://www.docksud.com.ar
telnet://bbs.docksud.com.ar
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 189 bytes
Descripción: no disponible
Url        : /pipermail/solar-tecnica/attachments/20050620/1cad7436/attachment.pgp


Más información sobre la lista de distribución Solar-tecnica