Hola a tod@s Tras probar FreeBSD, NetBSD y Solaris (y estoy seguro de que OpenBSD también está en la lista) he observado que el cortafuegos "IPFilter" está disponible en todos ellos. De hecho, a excepción de OpenBSD que con su PF deja en bragas a cualquier bicho que se le ponga por delante, creo que IPFilter es el firewall recomendado en el resto de los SO que comento. El tema es que tras leerme el howto "oficial" de IPFilter me quedé prendado de él. Es casi como hablar con el programa, no una lista de opciones como iptables. Vaya, que me pareció más potente y más sencillo e intuitivo, aunque he de confesar que hace meses que no leo la man de iptables y con cada nueva versión trae nuevas características; así que puede que las cosillas que me han llamado la atención de IPFilter ya las soporte iptables :-) El caso es que no parece probable que los *BSD y Solaris incorporen iptables, así que a fin de aprender y explotar al máximo un solo programa, sea cual sea el SO sobre el que trabajo, decidí investigar si existía un IPFilter para Linux y... Oh sorpresa! http://www.phildev.net/ipf/IPFlinux.html#linux1 "IPF 4.x runs on Linux. Recent versions even run on 2.6.x kernels. Darren tests on SUSE 9.1 (as of this writing), but it should work reasonably well on any distro." Ahí estamos, si señor! Eso es parte de la FAQ "oficial" de IPF, así que... ¿Alguien ha tenido ocasión de probar este bicho en una SuSE? ¿Con qué resultados? Para los que no esten muy convencidos, ahí va el enlace que me enamoró... La verdad es que el documento es genial, empieza con un firewall BASIQUÍSIMO y poquito a poco le va añadiendo características para reforzar la seguridad, evitar todo tipo de scans etc etc... Muy agradable de leer, aunque es algo viejete (del 2002). Imagino que las últimas versiones de IPF traerán más cosillas chulas con las que jugar, pero con lo que explica este docu yo ya me doy con un canto en la boca :-D http://www.obfuscation.org/ipf/ipf-howto.txt Hala, que lo disfruteis y ya me contareis que opinais del tema...! Un cordial saludo, Manuel. PD - No vale iniciar un flame de iptables Vs IPF. Si trato de meterlo en SuSE es porque suelo jugar mucho con los BSD y ultimamente con Solaris, así que a *mi* me interesa para poder reutilizar una sola configuración de firewall tenga el SO que tenga en ese momento :-)
On Friday 18 February 2005 01:23, Manuel HA wrote:
Hola a tod@s
Tras probar FreeBSD, NetBSD y Solaris (y estoy seguro de que OpenBSD también está en la lista) he observado que el cortafuegos "IPFilter" está disponible en todos ellos. De hecho, a excepción de OpenBSD que con su PF deja en bragas a cualquier bicho que se le ponga por delante, creo que IPFilter es el firewall recomendado en el resto de los SO que comento.
El tema es que tras leerme el howto "oficial" de IPFilter me quedé prendado de él. Es casi como hablar con el programa, no una lista de opciones como iptables. Vaya, que me pareció más potente y más sencillo e intuitivo, aunque he de confesar que hace meses que no leo la man de iptables y con cada nueva versión trae nuevas características; así que puede que las cosillas que me han llamado la atención de IPFilter ya las soporte iptables :-)
El caso es que no parece probable que los *BSD y Solaris incorporen iptables, así que a fin de aprender y explotar al máximo un solo programa, sea cual sea el SO sobre el que trabajo, decidí investigar si existía un IPFilter para Linux y... Oh sorpresa!
http://www.phildev.net/ipf/IPFlinux.html#linux1
"IPF 4.x runs on Linux. Recent versions even run on 2.6.x kernels. Darren tests on SUSE 9.1 (as of this writing), but it should work reasonably well on any distro."
Ahí estamos, si señor! Eso es parte de la FAQ "oficial" de IPF, así que... ¿Alguien ha tenido ocasión de probar este bicho en una SuSE? ¿Con qué resultados?
Para los que no esten muy convencidos, ahí va el enlace que me enamoró... La verdad es que el documento es genial, empieza con un firewall BASIQUÍSIMO y poquito a poco le va añadiendo características para reforzar la seguridad, evitar todo tipo de scans etc etc... Muy agradable de leer, aunque es algo viejete (del 2002). Imagino que las últimas versiones de IPF traerán más cosillas chulas con las que jugar, pero con lo que explica este docu yo ya me doy con un canto en la boca :-D
http://www.obfuscation.org/ipf/ipf-howto.txt
Hala, que lo disfruteis y ya me contareis que opinais del tema...!
Un cordial saludo,
Manuel.
PD - No vale iniciar un flame de iptables Vs IPF. Si trato de meterlo en SuSE es porque suelo jugar mucho con los BSD y ultimamente con Solaris, así que a *mi* me interesa para poder reutilizar una sola configuración de firewall tenga el SO que tenga en ese momento :-)
Otra possibilidad te offerece fwbuilder. El Programma es un GUI para definir firewalls. El te genera iptables/ipfilter/PF y otras firewalls. El Error mas amenudo de que se encuentran en firewalls es un error del administrador es algo que se le olvido (o algo que no vio). El FWBuilder (www.fwbuilder.com) le deja (al administrador) definir el firewall en una manera logica y entendible. Si utilizas fwbuilder no te molestara que el tipo de firewall commandos que el genera (solo es un click del raton!) Jerry
Hola. El Viernes, 18 de Febrero de 2005 11:17, Jerry Westrick escribió:
Otra possibilidad te offerece fwbuilder. El Programma es un GUI para definir firewalls. El te genera iptables/ipfilter/PF y otras firewalls. El Error mas amenudo de que se encuentran en firewalls es un error del administrador es algo que se le olvido (o algo que no vio). El FWBuilder (www.fwbuilder.com) le deja (al administrador) definir el firewall en una manera logica y entendible.
Si utilizas fwbuilder no te molestara que el tipo de firewall commandos que el genera (solo es un click del raton!)
Sabes si esta en algun sitio el rpm disponible para la SuSE 9.2?
Jerry
-- Un Saludo. Carlos Lorenzo Matés
Hola. El Viernes, 18 de Febrero de 2005 22:44, Carlos Lorenzo Matés escribió:
Hola.
El Viernes, 18 de Febrero de 2005 11:17, Jerry Westrick escribió:
Otra possibilidad te offerece fwbuilder. El Programma es un GUI para definir firewalls. El te genera iptables/ipfilter/PF y otras firewalls. El Error mas amenudo de que se encuentran en firewalls es un error del administrador es algo que se le olvido (o algo que no vio). El FWBuilder (www.fwbuilder.com) le deja (al administrador) definir el firewall en una manera logica y entendible.
Si utilizas fwbuilder no te molestara que el tipo de firewall commandos que el genera (solo es un click del raton!)
Sabes si esta en algun sitio el rpm disponible para la SuSE 9.2?
he descargado los rpm para la SuSE 9.2 de http://www.linux-administrator.com/rpm/index.php y no me funciona, me usa todo el procesador y no arranca nada, es eso normal? que version usas y sobre que SuSE? es mejor bajar los fuentes y compilar? -- Un Saludo. Carlos Lorenzo Matés
On Saturday 19 February 2005 01:05, Carlos Lorenzo Matés wrote:
Hola.
he descargado los rpm para la SuSE 9.2 de http://www.linux-administrator.com/rpm/index.php
y no me funciona, me usa todo el procesador y no arranca nada, es eso normal?
que version usas y sobre que SuSE?
Los de ahi son develp.... Yo utilizo los de suse 9.1 las baje de http://sourceforge.net/project/showfiles.php?group_id=5314 Jerry
es mejor bajar los fuentes y compilar?
Hola. El Sábado, 19 de Febrero de 2005 00:23, Jerry Westrick escribió:
On Saturday 19 February 2005 01:05, Carlos Lorenzo Matés wrote:
Hola.
he descargado los rpm para la SuSE 9.2 de http://www.linux-administrator.com/rpm/index.php
y no me funciona, me usa todo el procesador y no arranca nada, es eso normal?
que version usas y sobre que SuSE?
Los de ahi son develp.... Yo utilizo los de suse 9.1 las baje de http://sourceforge.net/project/showfiles.php?group_id=5314
Bajo una SuSE 9.2? como no tenia eso claro me baje los fuentes de la 2.0.5, los compile y me pasa esactamente lo mismo. Si me confirmas que los rpm de la 9.1 van con la 9.2, me los bajo y pruebo. Gracias.
Jerry
es mejor bajar los fuentes y compilar?
-- Un Saludo. Carlos Lorenzo Matés
Jerry Westrick wrote:
Los de ahi son develp.... Yo utilizo los de suse 9.1 las baje de http://sourceforge.net/project/showfiles.php?group_id=5314
Jerry
Hola Jerry. Gracias por la nota sobre fwbuilder; lo conocía pero nunca llegué a probarlo. De todas formas ahora ando trasteando con los archivos de configuración a pelo. Es una mania mia, primero trato de hacer las cosas a mano para aprender bien como funcionan. Cuando ya le he pillado el truco al asunto utilizo las gui para automatizar y acelerar un poco la configuración de lo que tengo entre manos. De momento ando en FBSD, así que no puedo daros detalles de como funciona IPF en SuSE, ya que aún no he tenido tiempo de probarlo. Ya me contareis algo si lo probais vosotros antes. Un cordial saludo, Manuel.
El Viernes, 18 de Febrero de 2005 01:23, Manuel HA escribió:
Tras probar FreeBSD, NetBSD y Solaris (y estoy seguro de que OpenBSD también está en la lista) he observado que el cortafuegos "IPFilter" está disponible en todos ellos. De hecho, a excepción de OpenBSD que con su PF deja en bragas a cualquier bicho que se le ponga por delante, creo que IPFilter es el firewall recomendado en el resto de los SO que comento.
* ¿ A quien deja en bragas? no sera a iptables verdad, mania que tiene la gente con descubrir la polvora cada dos meses, OpenBSD es y lo ha sido siempre, un nucleo con una docena de paquetes en la instalacion por defecto, ni siquiera instala un servidor de correo, el hecho de que el hardware enrutador propietario incorpore derivados de estos S.O. es que su licencia permite cerrar el codigo, pero ni siquiera esta caracteristica esta pudiendo hacer frente a iptables, cada dia son mas los que incorporan linux+iptables, de hecho los que tengan adsl con routers modernos, wireless o no, es probable que el S.O. empotrado sea un linux con iptables, la mayoria de los que incorporan cortafuegos.
El tema es que tras leerme el howto "oficial" de IPFilter me quedé prendado de él. Es casi como hablar con el programa, no una lista de opciones como iptables. Vaya, que me pareció más potente y más sencillo e intuitivo, aunque he de confesar que hace meses que no leo la man de iptables y con cada nueva versión trae nuevas características; así que puede que las cosillas que me han llamado la atención de IPFilter ya las soporte iptables :-)
* El asunto es al reves, iptables es la pieza de software mas importante y potente, de hay su complegidad, en materia de seguridad de todas las existentes, se puede hacer casi cualquier cosa que yo conozca y muchas mas de las que no conozco, tcp/ip, ospf, bgp y en genral los protocolos de comunicaciones en redes de area extensa son variados y complejos, muy complejos y en cuanto a la facilidad vuelvo a repetir lo mismo, para solucionar problemas complejos SOLO hay soluciones complejas, si la solucion es facil es que el problema no era complejo, otra cosa es que a ti te de esa sensacion, intenta con pf montar encaminadores para enlaces wan de sitios de respaldo con balanceo de carga por varias interfaces y colas de retrarso con prestamo de ancho de banda entre ellas, con priorizacion por pesos, origenes, destinos, protocolos, aplicaciones, etc.. y veras que risa, independientemente de esto unos toman soluciones de otros, que para eso son S.O. de codigo abierto. * Para implementar un cortafuegos con media docena de reglas para una instalacion casera, o una empresa con un servidor web y un ftp, vale casi cualquier cosa, y con pf, iptables o lo que sea son media docena de lineas y para no dar ningun servicio, aparte de las lineas de definicion de la politica por defecto son dos reglas, la de reenvio si hay mas maquinas y la del trafico establecido o relacionado. * Si es probable que distintos bsd's incorporen iptables o derivados de hecho hay betas para algunos y lo recomendable es usar el netfilter soportado oficialmente o nativo de cada uno, en esto las pruebas con gaseosa. * Para no iniciar flames, hay que informarse y leer bastante mas que un articulo u opiniones interesadas, puedes empezar por los protocolos de comunicaciones de Tanenbaun, Linux Advanced Routing and Trafic Control y algun tutorial de iptables el de Andreasson o Andrew Morton, cuando tengas eso claro, si quieres hablamos de pf, ipfilter e iptables, mientras tanto y desde la retrospectiva de 25 años, desde que empece a tratar con "cabezones" y "lavadoras" tambien conocidos como VAX, permiteme que no tome en consideracion desprenderme de iptables.
jose maria wrote:
* ¿ A quien deja en bragas? no sera a iptables verdad, mania que tiene la gente con descubrir la polvora cada dos meses, OpenBSD es y lo ha sido siempre, un nucleo con una docena de paquetes en la instalacion por defecto, ni siquiera instala un servidor de correo, el hecho de que el hardware enrutador propietario incorpore derivados de estos S.O. es que su licencia permite cerrar el codigo, pero ni siquiera esta caracteristica esta pudiendo hacer frente a iptables, cada dia son mas los que incorporan linux+iptables, de hecho los que tengan adsl con routers modernos, wireless o no, es probable que el S.O. empotrado sea un linux con iptables, la mayoria de los que incorporan cortafuegos.
Psé, mania mania... Más bien es un hecho, quizá lo que más me gusta del mundillo Linux/BSD es que cada día descubres algo interesante, herramientas que realizan mejor una función, etc. No creo que sea malo el hecho de descubrir un buen programa y comentarlo aquí por si a alguien le interesa :-) Por cierto, yo en ningún momento he dicho que OpenBSD sea el modelo a seguir en lo que respecta a SSOO (personalmente prefiero FBSD), ya que la supuesta "super-seguridad" de la que presume se va al garete en el momento en que instalas un solo port, ya que estos no están soportados. Yo hablaba de su firewall, PF, el cual está disponible también en FreeBSD y me imagino que en NetBSD. Quién sabe si habrá una versión para Linux :-) Respecto a lo que comentas de los routers, no tengo ni idea... Se que Linksys mete en sus máquinas Linux, pero la verdad es que me importa poco si en lugar de Linux llevan BSD. Tampoco encuentro que la licencia BSD sea mala, aunque eso ya es otro tema.
* El asunto es al reves, iptables es la pieza de software mas importante y potente, de hay su complegidad, en materia de seguridad de todas las existentes, se puede hacer casi cualquier cosa que yo conozca y muchas mas de las que no conozco, tcp/ip, ospf, bgp y en genral los protocolos de comunicaciones en redes de area extensa son variados y complejos, muy complejos y en cuanto a la facilidad vuelvo a repetir lo mismo, para solucionar problemas complejos SOLO hay soluciones complejas, si la solucion es facil es que el problema no era complejo, otra cosa es que a ti te de esa sensacion, intenta con pf montar encaminadores para enlaces wan de sitios de respaldo con balanceo de carga por varias interfaces y colas de retrarso con prestamo de ancho de banda entre ellas, con priorizacion por pesos, origenes, destinos, protocolos, aplicaciones, etc.. y veras que risa, independientemente de esto unos toman soluciones de otros, que para eso son S.O. de codigo abierto.
Epa! Yo soy solo un estudiante, así que dudo mucho que de momento vaya a enfrentarme a algo de ese calibre... Aunque si la paga es buena juro que lo intentaré con PF ;-) Aún así no estoy conforme con lo que dices. Los problemas complejos cada vez tienen una solución más simple. Supongo que en determinados casos no hay más narices que dejarse la piel, pero a mi me da la impresión de que cada nueva versión de un programa trae caracteristicas que simplifican su manejo, y por lo tanto hacen la solución a un problema más sencilla. La informática y el mundo Linux/BSD trata cada vez más de acercarse a los usuarios, ya no es dominio de unos pocos elegidos y eso siempre está bien :-) De todas formas creo que o no me expliqué bien o no me entendiste; me refería a que me pareció más clara la sintaxis de las reglas en IPF (incluso en PF) que en iptables. Por supuesto, eso es algo totalmente subjetivo, sobre gustos...
* Para implementar un cortafuegos con media docena de reglas para una instalacion casera, o una empresa con un servidor web y un ftp, vale casi cualquier cosa, y con pf, iptables o lo que sea son media docena de lineas y para no dar ningun servicio, aparte de las lineas de definicion de la politica por defecto son dos reglas, la de reenvio si hay mas maquinas y la del trafico establecido o relacionado.
Si, algo así necesito yo. Eso e implementar colas (probablemente a base de AltQ) para ver si consigo mejorar un poco el uso de la línea, que nada más pones a descargar dos isos aquí no hay quien navegue :-)
* Si es probable que distintos bsd's incorporen iptables o derivados de hecho hay betas para algunos y lo recomendable es usar el netfilter soportado oficialmente o nativo de cada uno, en esto las pruebas con gaseosa.
En eso estamos de acuerdo... En tema de aplicaciones "serias" más vale no jugarsela demasiado.
* Para no iniciar flames, hay que informarse y leer bastante mas que un articulo u opiniones interesadas, puedes empezar por los protocolos de comunicaciones de Tanenbaun, Linux Advanced Routing and Trafic Control y algun tutorial de iptables el de Andreasson o Andrew Morton, cuando tengas eso claro, si quieres hablamos de pf, ipfilter e iptables, mientras tanto y desde la retrospectiva de 25 años, desde que empece a tratar con "cabezones" y "lavadoras" tambien conocidos como VAX, permiteme que no tome en consideracion desprenderme de iptables.
Para no iniciar flames basta con usar un poco la cabeza, ya que discutir por discutir no sirve de gran cosa (a parte de ponerte de mal humor). Tengo el Tanenbaum (el de Redes de Computadoras), me leí hace mucho parte del LARTC y tengo impreso en papel el manual de Oskar Andreasson. Todos ellos son documentos excelentes y un disfrute para la lectura (desgraciadamente tengo la memoria de una trucha y a los pocos días apenas recuerdo lo que leí :P) Mi experiencia con ordenadores se reduce a tres años si llega, quizá dos y medio con Linux y medio año con BSD, todo ello en PC's (x86). Con esto te quiero decir que soy relativamente nuevo en este mundillo y que dificilmente puedo tener tus conocimientos sobre un tema tan complejo, extenso y cambiante como son las redes. Te agradezco tu punto de vista y observaciones, ya que ese alegato en favor de iptables de una persona con tu experiencia dice mucho en su favor. Aún así, creo que no hice mal comentando aquí el descubrimiento que hice con IPF, ya que se ajusta bastante a lo que buscaba: un firewall para cualquier SO que instale. El caso es que, como dije, para gustos los colores. Charla con cualquier sysadmin de BSD (en general, no entro en cual de ellos) y estoy seguro de que te recomendarán que uses algo totalmente distinto. Basándome en mi experiencia lo que suelen recomendar es PF, quizá alguno se incline por IPFW... "Fans" de IPF conozco más bien poquitos. Eso nos lleva a las siguientes afirmaciones: - No existe el programa perfecto, sino libertad para elegir herramientas que se ajusten a lo que tratamos de hacer. - Cada uno recomienda lo que usa, es decir, lo que mejor conoce y lo que mejor le funciona *a él*. Lo que no convierte esa aplicación en la más adecuada/facil para ti. Mientras tanto, iré leyendo sobre IPF y PF. Estoy casi seguro de que los infravaloras y que tienen mucho que ofrecer. Tanto o más que iptables (huy... Eso último si que parecía el inicio de un flame ;-)) Hablando en serio, gracias por tomarte la molestia de responder. Lo realmente genial de esta cuestión/rivalidad/loquesea es que podemos elegir que aplicación usar, y todas ellas son excelentes y gratuitas. Un cordial saludo, Manuel.
El Lunes, 21 de Febrero de 2005 04:32, miausX escribió:
El caso es que, como dije, para gustos los colores. Charla con cualquier sysadmin de BSD (en general, no entro en cual de ellos) y estoy seguro de que te recomendarán que uses algo totalmente distinto. Basándome en mi experiencia lo que suelen recomendar es PF, quizá alguno se incline por IPFW... "Fans" de IPF conozco más bien poquitos.
* Estas hablando con un sysadmin de BSD, participo en varias listas de BSD y recomiendo que en cada sistema se use el netfilter nativo, pero hay cosas que no se pueden hacer con el netfilter de OpenBSD ni con el de Free, por que sencillamente aun no estan implementadas, ya lo estaran o no, depende de sus desarrolladores y es probable que se implementen cosas en ellos antes que en iptables aunque lo dudo por su desarrollo, si vas a hacer colas y balanceo ya te daras cuenta que solo pueden ser colas estaticas, iptables recibe no menos de decena de contribuciones mensuales, lease la lista de netfilter.
- Cada uno recomienda lo que usa, es decir, lo que mejor conoce y lo que mejor le funciona *a él*. Lo que no convierte esa aplicación en la más adecuada/facil para ti.
* En las recomendaciones tecnicas no tienen cabida los gustos personales, si tienes una maquina antigua y quieres que ejerza de router o gateway, te recomiendo openBSD, si tienes un servidor publico ftp con miles de conexiones concurrentes, te recomiendo un FreeBSD por mejor performance, para otras muchas cosas te recomendare linux y en todos los casos, se pueden sustituir para cualquier funcion unos con otros de forma digna.
Mientras tanto, iré leyendo sobre IPF y PF. Estoy casi seguro de que los infravaloras y que tienen mucho que ofrecer. Tanto o más que iptables (huy... Eso último si que parecía el inicio de un flame ;-))
* No estoy infravalorando, te estoy diciendo que pf y menos ipf no pintan nada actualmente en linux, y si en BSD. * En cuanto a lo de la complejidad, tampoco estoy de acuerdo con tendencias, un cortafuegos con filtrado inteligente de paquetes y su contenido a nivel de kernel tiene un manejo complejo, no puede ser de otra manera, has de auditar, cabeceras, contenidos, tamaños, etc, o sabes esto o no, o lo auditas o no, una interfaz grafica solo te servira, para cierro-abro y redirijo puertos, para una red minimamente compleja no te sirve para nada, tendras que mojarte. * Si a alguien le preguntan si es facil encender la luz te dira que si, dara al interruptor y se encendera la bombilla, este problema es complejo y se ha resuelto "estaticamente" de forma compleja, se ha contruido un pantano, se han diseñado unas turbinas, se ha tendido un red de miles de kilometros de alta tension, subestaciones, transformadores, lineas de baja tension, se ha tendido una red electrica por tu casa, ¿se ha resuelto el problema? NO por que sigue siendo complejo, si vas al campo o te llevas una linterna o no veras, por que alli no hay ni lineas ni interruptor. * Y por cierto para interfaz simple y bastante potente SuSEfirewall2, mirate el fichero de configuracion /etc/sysconfig/SuSEfirewall2 y veras que es el mecanismo de un botijo.
Buf mi madre... Se me ha cortado la respiración al leer el mail... ;-) Me quito el sombrero maestro, no puedo rebatirte nada...! Bien, a parte de hacerme sentir como un completo novato/patán en esto de Linux, BSD y las redes en general, te agradezco de nuevo la respuesta. Ahora si que me ha quedado claro :-) Un cordial saludo. Manuel.
participants (5)
-
Carlos Lorenzo Matés
-
Jerry Westrick
-
jose maria
-
Manuel HA
-
miausX