-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-22 a las 15:09 +0100, Miren escribió:

Tengo que configurar en mi SLES el firewall. Tengo intencion que ese servidor solo de servicios en. tcp: 80, 25, 110, 53 y ftp udp ftp y 53

Si quiero que nada mas se vea ni sea accesible : ¿el firewall que se configura con la yast es fiable? (meimagino que totalmente SI)

Es tan fiable como cualquier otro que se use en elinux, porque realmente no es más que un script que carga las reglas iptables necesarias. El servicio de cortafuegos lo hace el kernel, así que es tan fiable como sea el kernel. Lo que tiene es que hay otros que pueden ser más configurables, o más optimizados (menos reglas).

Es factible y recomendable no permitir trafico de entrada en los puertos superiores (>1023).. en caso afirmativo como lo hago?

¿Para que? Si no has abierto explícitamente los puertos, pues no están abiertos. Otra cosa es que se usen como parte de una respuesta a una conversación establecida.

en FW_SERVICES_EXT_TCP pondia los puertos tcp/ip visibles ¿verdad? en FW_SERVICES_EXT_UDP pondia los puertos udp visibles ¿verdad?

Si, si.

Es necesario poner en el FW_LOAD_MODULES ip_conntrack_ftp ip_nat_ftp?.. entiendo que el primero si para el ftp

Creo que sí. Si no lo haces, tienes que abrir explícitamente una serie de puertos altos para uso por el ftp, y eso sería peor, ¿no?

Considerais recomendable modificar alguna otra politica de firewall para conseguir lo que os he dicho que persigo? denegar todo menos esos puertos explicados arriba.

veo que hay variables de : FW_SERVICES_DROP_EXT veo que hay parametros del tipo 0/0,tcp,445 0/0,udp,4662... tendria que poner aqui algo para evitar llamadas a puertos que no queiro trafico?

No. Eso es una variable especial para ignorar algunas conexiones sin siquiera molestarse en registrarlas en el log, ni tampoco contestarles con un rechazo (DROP): # Example: "0/0,tcp,445 0/0,udp,4662" Y el 445 es el de "microsoft-ds", que es típico que te bombardeen en la interfaz externa. Vale, ya sabemos que hay mucho windows por ahí haciendo gilipolleces, pero no hace falta que nos llenen el log de esas tonterías... Jan 22 18:01:15 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=88.7.111.179 DST=88.7.*.* LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=50003 DF PROTO=TCP SPT=3907 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 Jan 22 18:01:18 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=88.7.111.179 DST=88.7.*.* LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=50347 DF PROTO=TCP SPT=3907 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0

FW_SERVICES_ACCEPT_EXT: esto no entra en choque con FW_SERVICES_EXT_TCP ?

Nop. En el fichero "/etc/sysconfig/SuSEfirewall2" tienes las explicaciones de todos los parámetros. ¿A que no te los has leído? >:-)

He leido por ahi que debe haber un parametro que bloquea si el trafico a un puerto es excesibo, execibas peticiones. conoceis algo de esto?

Precisamente el que tienes arriba hace eso: FW_SERVICES_ACCEPT_EXT="0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh" Si alguien intenta conectarse tres veces seguidas al ssh en un minuto y se le rechaza, a la cuarta no se le deja. Se puede emplear para otros puertos, pero tiene sus peligros... imaginate que bloqueas así a un servidor de correo legítimo que te está mandando un centenar de correos legítimos cuando tu postfix está ocupado. El cortafuegos lo bloquearía sin que se enterase tu postfix... e igual el remitente a su vez te bloquea a su vez o rebota los correos pa'tras en vez de esperarse. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHliOhtTMYHG2NR9URAib3AJ9+G0EqLEVUlHbKsw+6vWGd/SD2pwCeNVwM YF3T+39kk9nyuTuQmJuOTZQ= =UwTB -----END PGP SIGNATURE-----