es un fichero autocomentado. Tienes que identificar la tarjeta de red en la que deseas abrir los puertos.
Gracias, puede que esto a ti te parezca sencillo, pero para mi no lo es, por que una vez que lo edito que escribo (1ª complicación), como identifico la tarjeta de red en la que deseo abrir los puertos si solo tengo una (2ª complicación)
BUeno, no nos agobiemos todavía. Primero elige tu editor de texto favorito (vim vim vim). Si no te gusta la consola y usas entorno gráfico puedes usar por ejemplo kate. Así que, abre una consola y pon: sux - (y pon la contraseña de root cuando te la pida). Ya eres root. Ahora, para editar el fichero pon: kate /etc/syconfig/SuSEfirewall2 y se te abrirá una ventana con el kate y el fichero abierto. Veamos. Fijate que hay un monton de lineas que empiezan por #. Léelas, están ahí porque alguien se ha tomado el interés de escribirlas. Y en este caso son muy instructivas: (OJO, tengo una suse 9.3, tal vez el fichero haya variado algo!) # Configuration HELP: # # If you have got any problems configuring this file, take a look at # /usr/share/doc/packages/SuSEfirewall2/EXAMPLES or use YaST Bueno, yo prefiero editar el texto a manivela, en lugar de usar YaST. Sin embargo, el fichero EXAMPLES si recomiendo leerselo. Está muy bien y te ayudará a comprender más cosas. No es necesario que lo hagas ahora. # # If you are a end-user who is NOT connected to two networks (read: you have # got a single user system and are using a dialup to the internet) you just # have to configure (all other settings are OK): 2) and maybe 9). Ey! este pareces tú! (si no me dices lo contrario). Parece que con mirar en los puntos 2 y 9 tendremos tu problema solucionado. # # If this server is a firewall, which should act like a proxy (no direct # routing between both networks), or you are an end-user connected to the # internet and to an internal network, you have to setup your proxys and # reconfigure (all other settings are OK): 2), 3), 9) and maybe 7), 11), 14) # # If this server is a firewall, and should do routing/masquerading between # the untrusted and the trusted network, you have to reconfigure (all other # settings are OK): 2), 3), 5), 6), 9), and maybe 7), 10), 11), 12), 13), # 14) # # If you want to run a DMZ in either of the above three standard setups, you # just have to configure *additionally* 4), 9), 12), 13), 18) # # Please note that if you use service names, they have to exist in # /etc/services. There is for example no service "dns", it's called # "domain"; email is called "smtp" etc. Sigamos leyendo el fichero: ## Path: Network/Firewall/SuSEfirewall2 ## Description: SuSEfirewall2 configuration ## Type: string ## Default: any # # 2.) # Which are the interfaces that point to the internet/untrusted # networks? Este es el punto 2. Te está preguntando cual/cuales son tus puntos de acceso a internet (red no confiable de la que te tienes que proteger) # # Enter all untrusted network devices here # # Format: space separated list of interface or configuration names # # The special keyword "auto" means to use the device of the default # route. "auto" cannot be mixed with other interface names. # # The special keyword "any" means that packets arriving on interfaces not # explicitly configured as int, ext or dmz will be considered external. Note: # this setting only works for packets destined for the local machine. If you # want forwarding or masquerading you still have to add the external interfaces # individually. "any" can be mixed with other interface names. # # Examples: "eth-id-00:e0:4c:9f:61:9a", "ippp0 ippp1", "auto", "any dsl0" # # Note: alias interfaces (like eth0:1) are ignored # FW_DEV_EXT="eth0 wlan-bus-pci-0000:02:04.0" Las primeras letras, en mayuscula signfican: FireWall DEVice EXTernal. Se refiere a los interfaces externos. Como tú solo tienes uno, creo que te aparecerá por defecto un chorizo como el mío, pero sólo con una tarjeta de red. Fíjate que yo tengo dos interfaces, uno que es una tarjeta eth y otro que es una wireless. Si no aparece tu interfaz de red, lo puedes ver en yast - dispositivos de red - tarjeta de red, y pinchas en cambiar. Te mostrará otra pantalla con las tarjetas y sus identificadores. La explicacion para el apartado 2 te sirve tambien para el 3 y el 4, si algun día necesitases configurar cosas más complicadas. El apartado 5 se refiere a si tienes que hacer routing entre internet, intranet, dmz y de más. Obviamente, ahora no te interesa porque no tienes nada de eso. El apartado 6 se refiere a si la maquina corriendo el susefirewall debe enmascarar ips internas de las dmz, intranets y de más, cuando salgan a internet. Si en la red interna tienes ips internas (tipo 192.168. ... 172.16. ... 10. ...) habría que hacerlo. El apartado 7 se refiere a si quieres proteger a tu fw de la red interna. Tampoco te interesa. No hay apartado 8 :-? Al menos, no en mi fichero! Veamos el apartado 9: # 9.) # Which TCP services _on the firewall_ should be accessible from # untrusted networks? Te está preguntando por servicios TCP que estén corriendo en la misma máquina en la que tienes el fw. No te está diciendo que tengan que atravesar el fw hacia otra máquina. Servicios TCP significa servicios TCP, es decir, servidores como apache-http, postfix para smtp, vsftp para ftp... no te está preguntando por clientes web, mail, ftp, etc. # # Enter all ports or known portnames below, seperated by a space. # TCP services (e.g. SMTP, WWW) must be set in FW_SERVICES_*_TCP, and # UDP services (e.g. syslog) must be set in FW_SERVICES_*_UDP. # e.g. if a webserver on the firewall should be accessible from the internet: # FW_SERVICES_EXT_TCP="www" # e.g. if the firewall should receive syslog messages from the dmz: # FW_SERVICES_DMZ_UDP="syslog" # For IP protocols (like GRE for PPTP, or OSPF for routing) you need to set # FW_SERVICES_*_IP with the protocol name or number (see /etc/protocols) en estas líneas te ha dicho en que secciones específicas hay que meter los servicios que creas. Se entiende? # # Format: space separated list of ports, port ranges or well known # service names (see /etc/services) # # Examples: "ssh", "123 514", "3200:3299", "ftp 22 telnet 512:514" # FW_SERVICES_EXT_TCP="http https ssh" Yo tengo/tenía un apache con ssl funcionando para hacer probatinas. Y por supuesto, SSH es fundamental si quiero acceder desde otra máquina! Si no tienes nada, lo puedes dejar en blanco. Pero si tienes algun otro pc en la red interna tuya, tal vez quieras dejar ssh. Siempre viene bien. Fijate que los dispositivos EXT los has tenido que definir en el apartado 2 anterior. ## Type: string # # Which UDP services _on the firewall_ should be accessible from # untrusted networks? # # see comments for FW_SERVICES_EXT_TCP # # Example: "53" # FW_SERVICES_EXT_UDP="bootpc" a mi esto me venía por defecto... ## Type: string # # Which UDP services _on the firewall_ should be accessible from # untrusted networks? # # Usually for VPN/Routing which END at the firewall # # Example: "esp" # FW_SERVICES_EXT_IP="" yo no tengo nada... ## Type: string # # Which RPC services _on the firewall_ should be accessible from # untrusted networks? # # Port numbers of RPC services are dynamically assigned by the # portmapper. Therefore "rpcinfo -p localhost" has to be used to # automatically determine the currently assigned port for the # services specified here. # # USE WITH CAUTION! # regular users can register rpc services and therefore may be able # to have SuSEfirewall2 open arbitrary ports # # Example: "mountd nfs" FW_SERVICES_EXT_RPC="" tampoco tengo nada! ## Type: string # # see comments for FW_SERVICES_EXT_TCP FW_SERVICES_DMZ_TCP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_UDP FW_SERVICES_DMZ_UDP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_IP FW_SERVICES_DMZ_IP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_RPC FW_SERVICES_DMZ_RPC="" nada ## Type: string # # see comments for FW_SERVICES_EXT_TCP FW_SERVICES_INT_TCP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_UDP FW_SERVICES_INT_UDP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_IP FW_SERVICES_INT_IP="" nada ## Type: string # # see comments for FW_SERVICES_EXT_RPC FW_SERVICES_INT_RPC="" nada ## Type: string # # Packets to silently drop without log message # # Format: space separated list of net,protocol[,port][,sport] # Example: "0/0,tcp,445 0/0,udp,4662" # # The special value _rpc_ is recognized as protocol and means that dport is # interpreted as rpc service name. See FW_SERVICES_EXT_RPC for # details. # FW_SERVICES_DROP_EXT="" nada ## Type: string ## Default: 0/0,tcp,113 # # Packets to silently reject without log message. Common usage is # TCP port 113 which if dropped would cause long timeouts when # sending mail or connecting to IRC servers. # # Format: space separated list of net,protocol[,dport][,sport] # Example: "0/0,tcp,113" # # The special value _rpc_ is recognized as protocol and means that dport is # interpreted as rpc service name. See FW_SERVICES_EXT_RPC for # details. # FW_SERVICES_REJECT_EXT="0/0,tcp,113" lo que tenia por defecto. ## Type: string ## Default: 0/0,tcp,113 # # Services to allow. This is a more generic form of FW_SERVICES_{IP,UDP,TCP} # and more specific than FW_TRUSTED_NETS # # Format: space separated list of net,protocol[,dport][,sport] # Example: "0/0,tcp,22" # # The special value _rpc_ is recognized as protocol and means that dport is # interpreted as rpc service name. See FW_SERVICES_EXT_RPC for # details. # FW_SERVICES_ACCEPT_EXT="" nada Si quieres, puedes seguir leyendo el fichero de configuración del firewall de suse. Creo que ahora lo entenderás mejor. En fin, espero que te haya sido útil. -- Saludos, miguel