Jose Maria: Gracias por tu respuesta. (¿Eres informatico o similar?) Si soy un informaticamente-MEMO, soy informaticamente cuasi-analfabeto. Cada vez que hablo con vosotros es una cura de humildad pues veo un monton de cosas que desconozco. (no me ha quedado claro un tema. ¿Zone Alarm no es bueno?) El Link http://grc.com/x/ne.dll?rh1dkyd2 ¿Es bueno para testear la seguridad? Respondo tus preguntas: 1- Conexion- tengo dos oficinas. -1a)- 3 ordenadores y un router que me conecta con ADSL. todos los ordenadores conectan directamente. (un PC con w98 otro con XP y el otro con SUSE 9.0). -1b)- 2 ordenadores y un modem ADSL. (un PC con XP conectado a internet permitiendo ICS, otro PC con SUSE 9.0 usando internet via el PC con XP) 2- router multipuesto 3- Interfaz externa. (Me has pillado- No lo se, pero si sirve estoy en España con Telefonica) 4- -4.1)-con el router, la IP, puerta de enlace y DNS son fijas -4.2)-con el modem ADSL es todo automatico DHCP 5-(no se si lo te entiendo bien)-Yo intento solo tener varios ordenadores conectados entre si para compartir archivos y poder ver paginas web y recibir/mandar correo. Y que cada ordenador sea autonomo. No tengo paginas web alojadas ni nadie desde fuera tiene que conectar conmigo para consultar mus archivos o su correo. -puntos 6, 7, 8, 9, 10 -(no te entiendo, soy inexperto)- -Otras consideraciones (quizas filosoficas): Entiendo que los que sabeis de informatica considereis que deberiamos estudiar un monton de cosas. Pero es que Yo solo quiero ser usuario y estar relativamente protegido (me parece que para estarlo del todo lo mejor es no conectarse pero claro no me convence). Segun me han dicho en este mundo informatico es como si estuviesemos en una pecera, todo el mundo nos ve y no nos damos cuenta. Me gusta que con Linux el Sistema esta mas protegido, y quiero instalar el cortafuegos (y cuando lo instalo no veo la red Samba). Pero entiendeme que si todo el mundo para usar un ordenador con internet se tuviera que aprovar un examen con todo lo que me dices seguramente se venderian muy pocos PC´s. Bueno que me estoy enrrollando mucho ¿Por cierto en Linux hay algun modo de mirar si te han colado programas espia? Saludos y muchas gracias Alejo * No recomendandoselo, si tus amigos creen tener un firewall es cosa de ellos, tienen un programa al que le pinchas y cierra una puerta y le vuelves a pinchar y la abre, pero no audita e identifica a quien pasa, ni les "cachea" a ver que llevan en los bolsillos, o si van donde dijeron que ivan.
Bueno despues de quejarme (perdon que te llore a ti)
¿Como doy acceso a una IP de la red?
¿Sabeis de otro firewall util y facil de usar?
* NO, no hay nada que pueda llamarse firewall, para ningun sistema operativo que sea facil si no se sabe lo basico de redes o de los protocolos de comunicaciones, mi recomendacion es que des un vistazo a un iptables-howto, y cuando te des cuenta que es zone-alarm y que es el netfilter de linux, empezamos. * Lo primero que tienes que tener claro es que es lo que quieres, lo de menos es dar acceso a una ip o abrir un puerto, empieza por saber cuantas interfaces de red tienes, de que tipo, ethernet, ppp, pppoe, etc, cual es la que atiende al exterior la que atiende al interior, procurar no activar enmascaramiento y routing, etc, y a partir de hay iras viendo que es cada vez mas facil, en resumen una indicacion clara de cual es la extructura de la red aunque sea de un solo ordenador, busca tambien en el historico de la lista se ha puesto en mas de una ocasion ejemplos de configuraciones sencillas pero potentes. 1.- De que tipo es tu conexion (modem analogico, router ethernet, etc) 2.- Si es adsl con ip-fija como tienes el router, (en monopuesto o en multipuesto haciendo nat) 3.-Cual es la interfaz externa (su denominacion eth0, ppp0, etc) 4.- Carga una ip fija o tienes que autorizar a que tu isp te la asigne por algun medio como dhcp por ejemplo, ademas de la ip ¿te asigna servidores de nombres automaticamente y nombre de maquina?, que cosas de estas debes o puedes configurar estaticamente. 5.- Que servidores tienes corriendo, dns, ftp, www, correo, etc, y cuales quieres que sean accesibles desde internet o desde la red interna, cuales quieres que no sean accesibles y desde donde (desde que ips o rangos). 6.- donde estan esos servidores, en la propia maquina, en una zona desmilitarizada, dentro de la red interna, se debe saber que servicios deben ser reenviados por el gateway-bastion a tercera maquinas, si estas estan enmascaradas o disponen de ip-publica, etc. 7.- ¿Tienes que servir de gateway a una red interna o no? 8.- Quieres poner servicios en puertos no standar de tu gateway?, habra que reenviar esos puertos a otros de la propia maquina. 9.- Necesitas admitir icmp de tu isp o no para que no se crea que estas fuera de linea?, denegar paquetes fragmentados, proteger las tablas arp, syn-cookie etc, etc. 10.- Esto es lo basico, no hemos tocado marcado de paquetes, enrutado multiple, QoS, etc, y veras que a la version pro de zone-alarm ya le faltan un monton de iconos. * Quien te haya dicho que con un firewall esta todo solucionado es que es un memo, el sistema operativo, es el primer y maximo responsable de su propia seguridad, debe disponer de herramientas propias, cosas de las que dispones en algunos sistemas operativos como linux, para el caso de que sea accedida un robo de contraseña, por ejemplo, de uno de tus usuarios, este no pueda escalar privilegios, cargar modulos, abrir sockets, fisgorenear en grupos generalistas como users, se deben generar los usuarios con su propio grupo, configurar ulimits, quotas, etc, ¿no pensarias que esto lo tenias en windows, verdad? por que visitando una pagina web te pueden formatear el disco, y cuando un crio tumba un millon de maquinas en internet con un scriptillo programado en visual-mierda no pensaras que es porque no tenian zone-alarm instalado, aunque indudablemente tambien se pueden cerrar los ojos y creer que uno esta adminsitrando una maquina conectada a internet dandose un garbeo por mi-pc o scandisk. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQXssAXFL65CppEIRAhJFAJ9PU/56ZsMtdeAVcQZPSN5sIC6ATACfemXt s+ZFLn0ZW/sg9BhvYuvtzuY= =sKS/ -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com