-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Sábado, 28 de Febrero de 2004 12:25, alejo escribió:
*This message was transferred with a trial version of CommuniGate(tm) Pro* Victor gracias por tus ayuda.
He mirado la pagina y mi problema es que no entiendo nada, si me tiro dos semanas seguro que acabo entendiendolo pero no me veo.
Yo estoy acostumbrado como no a windows. Y con windows uso Zone Alarm firewall, que es muy userfriendly. Y la verdad ¿Porque no podemos tener algo similar??? y tan facil de usar.
* Por razones evidentes el netfilter de linux se parece a zone-alarm en que uno lleva una a y otro dos en el nombre. * El filtrado inteligente de paquetes a nivel de kernel no tiene nada que ver con abro un puerto cierro un puerto. * Y ya comprenderas que tener un tio en el gateway aceptando o denegando "aplicaciones" que no filtrando es absurdo.
Considero que el firewall es imprescindible. Pues si la herramienta mas importante (o casi) no es de facil uso... ¿Tendre que usar Linux desconectado? ¿Como puedo recomendar a mis amigos que se pasen a Linux si se que tendran problemas con el firewall?
* No recomendandoselo, si tus amigos creen tener un firewall es cosa de ellos, tienen un programa al que le pinchas y cierra una puerta y le vuelves a pinchar y la abre, pero no audita e identifica a quien pasa, ni les "cachea" a ver que llevan en los bolsillos, o si van donde dijeron que ivan.
Bueno despues de quejarme (perdon que te llore a ti)
¿Como doy acceso a una IP de la red?
¿Sabeis de otro firewall util y facil de usar?
* NO, no hay nada que pueda llamarse firewall, para ningun sistema operativo que sea facil si no se sabe lo basico de redes o de los protocolos de comunicaciones, mi recomendacion es que des un vistazo a un iptables-howto, y cuando te des cuenta que es zone-alarm y que es el netfilter de linux, empezamos. * Lo primero que tienes que tener claro es que es lo que quieres, lo de menos es dar acceso a una ip o abrir un puerto, empieza por saber cuantas interfaces de red tienes, de que tipo, ethernet, ppp, pppoe, etc, cual es la que atiende al exterior la que atiende al interior, procurar no activar enmascaramiento y routing, etc, y a partir de hay iras viendo que es cada vez mas facil, en resumen una indicacion clara de cual es la extructura de la red aunque sea de un solo ordenador, busca tambien en el historico de la lista se ha puesto en mas de una ocasion ejemplos de configuraciones sencillas pero potentes. 1.- De que tipo es tu conexion (modem analogico, router ethernet, etc) 2.- Si es adsl con ip-fija como tienes el router, (en monopuesto o en multipuesto haciendo nat) 3.-Cual es la interfaz externa (su denominacion eth0, ppp0, etc) 4.- Carga una ip fija o tienes que autorizar a que tu isp te la asigne por algun medio como dhcp por ejemplo, ademas de la ip ¿te asigna servidores de nombres automaticamente y nombre de maquina?, que cosas de estas debes o puedes configurar estaticamente. 5.- Que servidores tienes corriendo, dns, ftp, www, correo, etc, y cuales quieres que sean accesibles desde internet o desde la red interna, cuales quieres que no sean accesibles y desde donde (desde que ips o rangos). 6.- donde estan esos servidores, en la propia maquina, en una zona desmilitarizada, dentro de la red interna, se debe saber que servicios deben ser reenviados por el gateway-bastion a tercera maquinas, si estas estan enmascaradas o disponen de ip-publica, etc. 7.- ¿Tienes que servir de gateway a una red interna o no? 8.- Quieres poner servicios en puertos no standar de tu gateway?, habra que reenviar esos puertos a otros de la propia maquina. 9.- Necesitas admitir icmp de tu isp o no para que no se crea que estas fuera de linea?, denegar paquetes fragmentados, proteger las tablas arp, syn-cookie etc, etc. 10.- Esto es lo basico, no hemos tocado marcado de paquetes, enrutado multiple, QoS, etc, y veras que a la version pro de zone-alarm ya le faltan un monton de iconos. * Quien te haya dicho que con un firewall esta todo solucionado es que es un memo, el sistema operativo, es el primer y maximo responsable de su propia seguridad, debe disponer de herramientas propias, cosas de las que dispones en algunos sistemas operativos como linux, para el caso de que sea accedida un robo de contraseña, por ejemplo, de uno de tus usuarios, este no pueda escalar privilegios, cargar modulos, abrir sockets, fisgorenear en grupos generalistas como users, se deben generar los usuarios con su propio grupo, configurar ulimits, quotas, etc, ¿no pensarias que esto lo tenias en windows, verdad? por que visitando una pagina web te pueden formatear el disco, y cuando un crio tumba un millon de maquinas en internet con un scriptillo programado en visual-mierda no pensaras que es porque no tenian zone-alarm instalado, aunque indudablemente tambien se pueden cerrar los ojos y creer que uno esta adminsitrando una maquina conectada a internet dandose un garbeo por mi-pc o scandisk. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQXssAXFL65CppEIRAhJFAJ9PU/56ZsMtdeAVcQZPSN5sIC6ATACfemXt s+ZFLn0ZW/sg9BhvYuvtzuY= =sKS/ -----END PGP SIGNATURE-----