[Solar-tecnica] firewall

Ricardo Frydman ricardo en sinectis.com.ar
Mar Jun 21 15:49:19 CEST 2005


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Fernando Toledo wrote:
> casi todos los "firewalls" que ves por ahi son interfaces para manejar las reglas de iptables que como bien decis son parte del kernel de linux
> por ejemplo tiene un tilde que diga compartir tu conexion de internet y temrinan haciend iptables -t nat -o ppp0 -j MASQUERADE 
> =)
> como dice ricardo lo mejorcito como siempre es saber como funcionan las cosas despues si por comodidad o gusto usas una interface u otro es lo mismo , lo importante es entender como es el filtrado de paquetes para saber que reglas aplicar , la interface es lo de menos 
> salute.
> mi "firewall sencillo":
> 
> #pongo por defecto el input en drop, esto hace que no ingrese absolutamente nada.. si el mismo localhost
> iptables -P INPUT DROP
> 
> #dejo responder lo pings 
> iptables -A INPUT -p icmp -j ACCEPT
> #dejo entrar paquetes de conexion que hayan salido primero o sea que conecionexiones nuevas no se permitirian hacia la pc
> iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED
> iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED
> 
> #dejo acceder al localhost
> iptables -A INPUT -s 127.0.0.1 -j ACCEPT
> #ahora dejo pasar a los puertos que quiero
> #ssh
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> #web y mail
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -p tcp --dport 25 -j ACCEPT
> iptables -A INPUT -p tcp --dport 110 -j ACCEPT
> 
> #opcional le doy acceso full a la red interna 
> iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
> 
> con esto tenes algo basico par empezar , despues deja volar tu imaginacion
> una vez que las escribis, en las distros derivadas de RH podes hacer algo asi como /etc/init.d/iptables save
> y te guarda las reglas en /etc/sysconfig/iptables
> para debian y otras distros tiene sus scripts y bien podes:
> guardar las reglas
> iptables-save >/etc/iptables

en Debian /etc/init.d/iptables save active te las guarda y al reiniciar
te las levanta tal cual.

> y depsues en el /etc/init.d
> podes crear un archivo ejecutable "firewall" que sea
> #!/bin/bash
> iptables-restore < /etc/iptables
> y listo , te repito algo basico pero util para empezar
> 
> 
> El Mon, 20 Jun 2005 12:58:02 -0300
> Gerardo Diaz <gerardo.diaz en gmail.com> escribió:
> 
> 
>>>>>En fin, tengo una pregunta, que firewall basado en linux me recomendarían?
>>>>
>>>>Yo te recomendaria que hagas un script a mano. Iptables es algo
>>>>sencillo, practico y poderoso.
>>
>>gracias,  busqué sample scripts firewall  linux y encontre'algunos para mirar a
>>ver que sale.
>>
>>
>>>iptables suele llevar un tiempo su comprension si uno empieza de cero en su uso.
>>
>>
>>Es mi caso. No me asusta aprender algo nuevo, pero también veo que puedo 
>>mandarme un montón de cagadas que  provoquen que un paquete entre en loop, o
>>muchos otros efectos indeseados. :-(
>>
>>Estoy considerando IP Cop porque me dijeron que tiene unas
>>estadísticas *excelentes*
>>--y así parece-- La gente que lo adoptaría lo haría para reemplazar un firewall
>> integrado en un hw que es muy lindo pero que no tienen idea de lo que
>>pasa ahí adentro,
>>a veces detecta ataques y en forma automática cierra todo, pero cuando van a ver
>>las  estadísticas, como son muy limitadas no saben si fué un ataque
>>real o imaginario,
>>ni de donde, ni a qué hora, ni un pomo. Por eso quieren probar otra cosa.
>>
>>Por lo que leí hasta ahora, ¿linux tiene las funciones de firewall
>>directamente integradas
>>a nivel de kernel, y los llamados "firewalls" lo único que hacen es
>>modificar las reglas,
>>es así?? Y si es así, l"oguea" (o, ¿se puede hacer que loguee?) e n
>>algún lado lo que
>>hace con los paquetes que entran y salen, y lo que hizo?
>>
>>(por las nuevas sugerencias: ¡mil gracias!, estoy como turco en la
>>neblina pero de
>>a poco saldre con el SoL,  jajaja)
>>
>>--
>>Gerardo Díaz
>>gerardo.diaz en gmail.com
>>
>>_______________________________________________
>>Solar-tecnica mailing list
>>Solar-tecnica en lists.ourproject.org
>>http://lists.ourproject.org/cgi-bin/mailman/listinfo/solar-tecnica
> 
> 
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Solar-tecnica mailing list
> Solar-tecnica en lists.ourproject.org
> http://lists.ourproject.org/cgi-bin/mailman/listinfo/solar-tecnica


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
jabber: eureka en jabber.sk - http://www.eureka-linux.com.ar

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFCuBrfkw12RhFuGy4RAiSwAJ9mkIZN1vuXk0Oq8Oqzp+/p/YsQlQCfSH/T
o5a+5qSB/u3iRyp4ir1B8KQ=
=asMq
-----END PGP SIGNATURE-----



Más información sobre la lista de distribución Solar-tecnica