Hola: Voy avanzando en determinados temas y ahora llego al tema del firewall. Leo algun mail de la lista y me asusto de que yo no tengo instalado el firewall en Linux. Me he bajado el parche firewall2. (no se si esta instalado o no en Yast/seguridad/cortafuegos no me aparece referencia al respecto). (soy inexperto y el tema de los comandos me asusta bastante.) Uso SUSE 9.0. SITUACION Estoy con un portatil (con Linux) y tengo dos oficinas desde donde accedo con redes que me funcionan perfectamente en win y Linux (NFS y samba). Uso perfiles de usuario y es estupendo. 1. Oficina -Una red con windows o Linux (he instalado ambos SO en los ordenadores). -Router ADSL conectandome a internet -IP fijas, dos DNS fijas, un puente de red. (todo ello me lo dio telefonica) 2. Oficina -Una red con windows o Linux (he instalado ambos SO en los ordenadores). -Un ordenador con windows conectado a internet a traves de un modem ADSL -este ordenador con win tambien tiene tarjeta de red. Comparto la conexion de red -el ordenador con conexion solo tiene IP fija (y permitir compartir conexion) -el Portatil con Linux usa samba y conecta con -IP fijas, dos DNS fijas, un puente de red (la IP del PC con la conexion a internet). (me funcina la red e internet perfectamente). Entro en cortafuegos y conecto eth0 y pongo aceptar a todo. Va internet y no va la red n opcion 2 en la 1 me parece que igual (no estoy ahi ahora) DUDAS -¿como puedo poner que determinadas IP me de acceso? -en la Oficina 1 ¿Como se con por donde me entra internet? ¿No me entrara por la IP mia? -en la Oficina 2 si doy acceso a la IP del PC con windows. ¿No estare dando acceso total a lo que entra por internet? Resumiendo mis dudas quiero conectar a internet y a la red de un modo seguro. -la red es totalmente segura, mi hermano y mi padre, que de momento no creo que me roben informacion o me formateen el disco duro Saludos y gracias Alejo
alejo wrote:
Hola:
Voy avanzando en determinados temas y ahora llego al tema del firewall. Leo algun mail de la lista y me asusto de que yo no tengo instalado el firewall en Linux.
El cortafuegos (firewall) es algo primordial para una correcta configuraciòn y instalaciòn de un sistema linux.
Me he bajado el parche firewall2. (no se si esta instalado o no en Yast/seguridad/cortafuegos no me aparece referencia al respecto). (soy inexperto y el tema de los comandos me asusta bastante.) Uso SUSE 9.0.
No tienes por que de asustarte, linux nacio sin ambiente grafico y actualmente es mas rapido uno "moverse" entre directorios y cambios de configuraciòn mediante las consolas, es mas, desde los incios de linux. Siempre recomiendo el comando man(en consola). Ejemplo: pepe@linux:> man ls pepe@linux:> man pwd pepe@linux:> man df etc.... ¿para que sirve el comando man en linux? pepe@linux:> man man :)
SITUACION
Soluciòn: Configuraciòn de tu cortafuegos (establecer reglas de seguridad) Para que esto puedas realizarlo YO recomiendo que realizes a mano la respectivas reglas. Existen actualmente (nose para kernel 2.6.x) dos opciones, comandos, herramienta ò como el administrador lo llame para realizar las respectivas configuraciones de tu cortafuegos. IPCHAINS = Para versiones de Kernel 2.2.x IPTABLES = Para versiones de Kernel 2.4.x Ahora si quieres una buena explicaciòn al respecto debes de documentarte para que puedas: ¿Entender que son? ¿Como funcionan? ¿Como administrar mi red(domestica y empresarial) ¿Como configurarlas? Beneficios. Etc... Te recomiendo esta pagina: http://es.tldp.org/htmls/manuales.html Hay existe una variedad de manuales que te sirven para establecer la maxima seguridad a tus ordenadores en diferentes areas de sistemas. Espero que te ayude.... Saludos. -- Víctor Pérez Pereira SuSE Linux 9.0 - Kernel 2.6.0 User Gentoo 1.4 - Kernel 2.4.23 User e-mail: victordagrela@cantv.net http://maracay.linux.org.ve
Victor gracias por tus ayuda.
He mirado la pagina y mi problema es que no entiendo nada, si me tiro dos
semanas seguro que acabo entendiendolo pero no me veo.
Yo estoy acostumbrado como no a windows. Y con windows uso Zone Alarm
firewall, que es muy userfriendly. Y la verdad ¿Porque no podemos tener algo
similar??? y tan facil de usar.
Considero que el firewall es imprescindible. Pues si la herramienta mas
importante (o casi) no es de facil uso...
¿Tendre que usar Linux desconectado?
¿Como puedo recomendar a mis amigos que se pasen a Linux si se que tendran
problemas con el firewall?
Bueno despues de quejarme (perdon que te llore a ti)
¿Como doy acceso a una IP de la red?
¿Sabeis de otro firewall util y facil de usar?
RECOMENDACION
ir a esta pagina y entrar en "Shield UP" hay un test que te busca agujeros
en el sistema MUY UTIL y sorprendente
http://grc.com
Gracias
Alejo
----- Original Message -----
From: "Victor Perez Pereira"
alejo wrote:
Hola:
Voy avanzando en determinados temas y ahora llego al tema del firewall. Leo algun mail de la lista y me asusto de que yo no tengo instalado el firewall en Linux.
El cortafuegos (firewall) es algo primordial para una correcta configuraciòn y instalaciòn de un sistema linux.
Me he bajado el parche firewall2. (no se si esta instalado o no en Yast/seguridad/cortafuegos no me aparece referencia al respecto). (soy inexperto y el tema de los comandos me asusta bastante.) Uso SUSE 9.0.
No tienes por que de asustarte, linux nacio sin ambiente grafico y actualmente es mas rapido uno "moverse" entre directorios y cambios de configuraciòn mediante las consolas, es mas, desde los incios de linux.
Siempre recomiendo el comando man(en consola).
Ejemplo:
pepe@linux:> man ls pepe@linux:> man pwd pepe@linux:> man df etc....
¿para que sirve el comando man en linux?
pepe@linux:> man man :)
SITUACION
Soluciòn:
Configuraciòn de tu cortafuegos (establecer reglas de seguridad)
Para que esto puedas realizarlo YO recomiendo que realizes a mano la respectivas reglas.
Existen actualmente (nose para kernel 2.6.x) dos opciones, comandos, herramienta ò como el administrador lo llame para realizar las respectivas configuraciones de tu cortafuegos.
IPCHAINS = Para versiones de Kernel 2.2.x IPTABLES = Para versiones de Kernel 2.4.x
Ahora si quieres una buena explicaciòn al respecto debes de documentarte para que puedas:
¿Entender que son? ¿Como funcionan? ¿Como administrar mi red(domestica y empresarial) ¿Como configurarlas? Beneficios. Etc...
Te recomiendo esta pagina:
http://es.tldp.org/htmls/manuales.html
Hay existe una variedad de manuales que te sirven para establecer la maxima seguridad a tus ordenadores en diferentes areas de sistemas.
Espero que te ayude....
Saludos.
-- Víctor Pérez Pereira SuSE Linux 9.0 - Kernel 2.6.0 User Gentoo 1.4 - Kernel 2.4.23 User e-mail: victordagrela@cantv.net http://maracay.linux.org.ve
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Mensaje citado por alejo
Victor gracias por tus ayuda.
He mirado la pagina y mi problema es que no entiendo nada, si me tiro dos semanas seguro que acabo entendiendolo pero no me veo.
Yo estoy acostumbrado como no a windows. Y con windows uso Zone Alarm firewall, que es muy userfriendly. Y la verdad ¿Porque no podemos tener algo similar??? y tan facil de usar.
Considero que el firewall es imprescindible. Pues si la herramienta mas importante (o casi) no es de facil uso... ¿Tendre que usar Linux desconectado? ¿Como puedo recomendar a mis amigos que se pasen a Linux si se que tendran problemas con el firewall?
Bueno despues de quejarme (perdon que te llore a ti)
¿Como doy acceso a una IP de la red?
¿Sabeis de otro firewall util y facil de usar?
www.shorewall.net En webmin existe in modulo para shorewall si te gustan los interfaces gráficos
RECOMENDACION ir a esta pagina y entrar en "Shield UP" hay un test que te busca agujeros en el sistema MUY UTIL y sorprendente http://grc.com
Gracias Alejo
----- Original Message ----- From: "Victor Perez Pereira"
Cc: "Linux Español" Sent: Friday, February 27, 2004 5:35 AM Subject: Re: [suse-linux-s] Como instalar Firewall alejo wrote:
Hola:
Voy avanzando en determinados temas y ahora llego al tema del firewall. Leo algun mail de la lista y me asusto de que yo no tengo instalado el firewall en Linux.
El cortafuegos (firewall) es algo primordial para una correcta configuraciòn y instalaciòn de un sistema linux.
Me he bajado el parche firewall2. (no se si esta instalado o no en Yast/seguridad/cortafuegos no me aparece referencia al respecto). (soy inexperto y el tema de los comandos me asusta bastante.) Uso SUSE 9.0.
No tienes por que de asustarte, linux nacio sin ambiente grafico y actualmente es mas rapido uno "moverse" entre directorios y cambios de configuraciòn mediante las consolas, es mas, desde los incios de linux.
Siempre recomiendo el comando man(en consola).
Ejemplo:
pepe@linux:> man ls pepe@linux:> man pwd pepe@linux:> man df etc....
¿para que sirve el comando man en linux?
pepe@linux:> man man :)
SITUACION
Soluciòn:
Configuraciòn de tu cortafuegos (establecer reglas de seguridad)
Para que esto puedas realizarlo YO recomiendo que realizes a mano la respectivas reglas.
Existen actualmente (nose para kernel 2.6.x) dos opciones, comandos, herramienta ò como el administrador lo llame para realizar las respectivas configuraciones de tu cortafuegos.
IPCHAINS = Para versiones de Kernel 2.2.x IPTABLES = Para versiones de Kernel 2.4.x
Ahora si quieres una buena explicaciòn al respecto debes de documentarte para que puedas:
¿Entender que son? ¿Como funcionan? ¿Como administrar mi red(domestica y empresarial) ¿Como configurarlas? Beneficios. Etc...
Te recomiendo esta pagina:
http://es.tldp.org/htmls/manuales.html
Hay existe una variedad de manuales que te sirven para establecer la maxima seguridad a tus ordenadores en diferentes areas de sistemas.
Espero que te ayude....
Saludos.
-- Víctor Pérez Pereira SuSE Linux 9.0 - Kernel 2.6.0 User Gentoo 1.4 - Kernel 2.4.23 User e-mail: victordagrela@cantv.net http://maracay.linux.org.ve
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-- Jesus L. Paleo A Coruna
Mensaje citado por alejo
: Victor gracias por tus ayuda.
He mirado la pagina y mi problema es que no entiendo nada, si me tiro dos semanas seguro que acabo entendiendolo pero no me veo.
Yo estoy acostumbrado como no a windows. Y con windows uso Zone Alarm firewall, que es muy userfriendly. Y la verdad ¿Porque no podemos tener algo similar??? y tan facil de usar.
Considero que el firewall es imprescindible. Pues si la herramienta mas importante (o casi) no es de facil uso... ¿Tendre que usar Linux desconectado? ¿Como puedo recomendar a mis amigos que se pasen a Linux si se que tendran problemas con el firewall?
Bueno despues de quejarme (perdon que te llore a ti)
¿Como doy acceso a una IP de la red?
¿Sabeis de otro firewall util y facil de usar?
www.shorewall.net
En webmin existe in modulo para shorewall si te gustan los interfaces gráficos
RECOMENDACION ir a esta pagina y entrar en "Shield UP" hay un test que te busca agujeros en el sistema MUY UTIL y sorprendente http://grc.com
Gracias Alejo
----- Original Message ----- From: "Victor Perez Pereira"
Cc: "Linux Español" Sent: Friday, February 27, 2004 5:35 AM Subject: Re: [suse-linux-s] Como instalar Firewall alejo wrote:
Hola:
Voy avanzando en determinados temas y ahora llego al tema del firewall. Leo algun mail de la lista y me asusto de que yo no tengo instalado el firewall en Linux.
El cortafuegos (firewall) es algo primordial para una correcta configuraciòn y instalaciòn de un sistema linux.
Me he bajado el parche firewall2. (no se si esta instalado o no en Yast/seguridad/cortafuegos no me aparece referencia al respecto). (soy inexperto y el tema de los comandos me asusta bastante.) Uso SUSE 9.0.
No tienes por que de asustarte, linux nacio sin ambiente grafico y actualmente es mas rapido uno "moverse" entre directorios y cambios de configuraciòn mediante las consolas, es mas, desde los incios de
Hola Jesus:
Me he bajado este programa firewall que me dices.
¿Donde esta esa interfaz grafica que me comentas? webmin?
Saludos y gracias
Alejo
----- Original Message -----
From: "Jesus L. Paleo"
Siempre recomiendo el comando man(en consola).
Ejemplo:
pepe@linux:> man ls pepe@linux:> man pwd pepe@linux:> man df etc....
¿para que sirve el comando man en linux?
pepe@linux:> man man :)
SITUACION
Soluciòn:
Configuraciòn de tu cortafuegos (establecer reglas de seguridad)
Para que esto puedas realizarlo YO recomiendo que realizes a mano
la
respectivas reglas.
Existen actualmente (nose para kernel 2.6.x) dos opciones, comandos, herramienta ò como el administrador lo llame para realizar las respectivas configuraciones de tu cortafuegos.
IPCHAINS = Para versiones de Kernel 2.2.x IPTABLES = Para versiones de Kernel 2.4.x
Ahora si quieres una buena explicaciòn al respecto debes de documentarte para que puedas:
¿Entender que son? ¿Como funcionan? ¿Como administrar mi red(domestica y empresarial) ¿Como configurarlas? Beneficios. Etc...
Te recomiendo esta pagina:
http://es.tldp.org/htmls/manuales.html
Hay existe una variedad de manuales que te sirven para establecer la maxima seguridad a tus ordenadores en diferentes areas de sistemas.
Espero que te ayude....
Saludos.
-- Víctor Pérez Pereira SuSE Linux 9.0 - Kernel 2.6.0 User Gentoo 1.4 - Kernel 2.4.23 User e-mail: victordagrela@cantv.net http://maracay.linux.org.ve
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-- Jesus L. Paleo A Coruna
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
alejo wrote:
Victor gracias por tus ayuda.
He mirado la pagina y mi problema es que no entiendo nada, si me tiro dos semanas seguro que acabo entendiendolo pero no me veo.
Yo estoy acostumbrado como no a windows. Y con windows uso Zone Alarm firewall, que es muy userfriendly. Y la verdad ¿Porque no podemos tener algo similar??? y tan facil de usar.
Considero que el firewall es imprescindible. Pues si la herramienta mas importante (o casi) no es de facil uso... ¿Tendre que usar Linux desconectado? ¿Como puedo recomendar a mis amigos que se pasen a Linux si se que tendran problemas con el firewall?
Bueno despues de quejarme (perdon que te llore a ti)
¿Como doy acceso a una IP de la red?
¿Sabeis de otro firewall util y facil de usar?
RECOMENDACION ir a esta pagina y entrar en "Shield UP" hay un test que te busca agujeros en el sistema MUY UTIL y sorprendente http://grc.com
Gracias Alejo
----- Original Message ----- From: "Victor Perez Pereira"
Cc: "Linux Español" Sent: Friday, February 27, 2004 5:35 AM Subject: Re: [suse-linux-s] Como instalar Firewall alejo wrote:
Hola:
Voy avanzando en determinados temas y ahora llego al tema del firewall.
Leo algun mail de la lista y me asusto de que yo no tengo instalado el firewall en Linux.
El cortafuegos (firewall) es algo primordial para una correcta configuraciòn y instalaciòn de un sistema linux.
Me he bajado el parche firewall2. (no se si esta instalado o no en
Yast/seguridad/cortafuegos no me aparece referencia al respecto).
(soy inexperto y el tema de los comandos me asusta bastante.) Uso SUSE
9.0.
No tienes por que de asustarte, linux nacio sin ambiente grafico y actualmente es mas rapido uno "moverse" entre directorios y cambios de configuraciòn mediante las consolas, es mas, desde los incios de linux.
Siempre recomiendo el comando man(en consola).
Ejemplo:
pepe@linux:> man ls pepe@linux:> man pwd pepe@linux:> man df etc....
¿para que sirve el comando man en linux?
pepe@linux:> man man :)
SITUACION
Soluciòn:
Configuraciòn de tu cortafuegos (establecer reglas de seguridad)
Para que esto puedas realizarlo YO recomiendo que realizes a mano la respectivas reglas.
Existen actualmente (nose para kernel 2.6.x) dos opciones, comandos, herramienta ò como el administrador lo llame para realizar las respectivas configuraciones de tu cortafuegos.
IPCHAINS = Para versiones de Kernel 2.2.x IPTABLES = Para versiones de Kernel 2.4.x
Ahora si quieres una buena explicaciòn al respecto debes de documentarte para que puedas:
¿Entender que son? ¿Como funcionan? ¿Como administrar mi red(domestica y empresarial) ¿Como configurarlas? Beneficios. Etc...
Te recomiendo esta pagina:
http://es.tldp.org/htmls/manuales.html
Hay existe una variedad de manuales que te sirven para establecer la maxima seguridad a tus ordenadores en diferentes areas de sistemas.
Espero que te ayude....
Saludos.
-- Víctor Pérez Pereira SuSE Linux 9.0 - Kernel 2.6.0 User Gentoo 1.4 - Kernel 2.4.23 User e-mail: victordagrela@cantv.net http://maracay.linux.org.ve
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
En Yast2, en la seccion de SEGURIDAD Y USUARIOS tenes la opcion de configurar el cortafuegos de Suse, qu aparentemente anda muy bien......... Obviamente debe estar instalado (no recuerdo si se lo podes instalar desde alli, sino desde Instalar Software........, y ademas debes ingresar en NIVELES DE EJECUCION (luego de instalar) y darle ACTIVAR para que arranque en el boteo siguiente. Este es muy facil de usar y practicamente no tenes que hacer nada........aunque entiendo hay formas de configurarlo manualmente pero normalmente no es necesario.- Una vez instalado, hay una actualizacion via YOU de este cortafuegos.- Otra opcion de seguridad de tu equipo tambien la podes encontrar en Yast
Seguridad y Usuarios >Configuracion de seguridad donde tenes 3 opciones predeterminadas de seguridad de tu equipo o bien podes configrarlo manualmente.-
saludos
Omar: He probado lo que me dices. Tengo instalado el firewall - Lo activo. Y entonces no veo la red Samba, y no puedo ver los archivos de un PC con windows entiendo que deberia dar acceso a la direccion IP de este PC-windows -Las configuraciones de seguridad. No lo entiendo muy bien pero me da la sensacion que controla el tema de claves y accesos. Saludos y gracias Alejo
En Yast2, en la seccion de SEGURIDAD Y USUARIOS tenes la opcion de configurar el cortafuegos de Suse, qu aparentemente anda muy bien......... Obviamente debe estar instalado (no recuerdo si se lo podes instalar desde alli, sino desde Instalar Software........, y ademas debes ingresar en NIVELES DE EJECUCION (luego de instalar) y darle ACTIVAR para que arranque en el boteo siguiente. Este es muy facil de usar y practicamente no tenes que hacer nada........aunque entiendo hay formas de configurarlo manualmente pero normalmente no es necesario.- Una vez instalado, hay una actualizacion via YOU de este cortafuegos.-
Otra opcion de seguridad de tu equipo tambien la podes encontrar en Yast
Seguridad y Usuarios >Configuracion de seguridad donde tenes 3 opciones predeterminadas de seguridad de tu equipo o bien podes configrarlo manualmente.-
saludos
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Sábado, 28 de Febrero de 2004 12:25, alejo escribió:
*This message was transferred with a trial version of CommuniGate(tm) Pro* Victor gracias por tus ayuda.
He mirado la pagina y mi problema es que no entiendo nada, si me tiro dos semanas seguro que acabo entendiendolo pero no me veo.
Yo estoy acostumbrado como no a windows. Y con windows uso Zone Alarm firewall, que es muy userfriendly. Y la verdad ¿Porque no podemos tener algo similar??? y tan facil de usar.
* Por razones evidentes el netfilter de linux se parece a zone-alarm en que uno lleva una a y otro dos en el nombre. * El filtrado inteligente de paquetes a nivel de kernel no tiene nada que ver con abro un puerto cierro un puerto. * Y ya comprenderas que tener un tio en el gateway aceptando o denegando "aplicaciones" que no filtrando es absurdo.
Considero que el firewall es imprescindible. Pues si la herramienta mas importante (o casi) no es de facil uso... ¿Tendre que usar Linux desconectado? ¿Como puedo recomendar a mis amigos que se pasen a Linux si se que tendran problemas con el firewall?
* No recomendandoselo, si tus amigos creen tener un firewall es cosa de ellos, tienen un programa al que le pinchas y cierra una puerta y le vuelves a pinchar y la abre, pero no audita e identifica a quien pasa, ni les "cachea" a ver que llevan en los bolsillos, o si van donde dijeron que ivan.
Bueno despues de quejarme (perdon que te llore a ti)
¿Como doy acceso a una IP de la red?
¿Sabeis de otro firewall util y facil de usar?
* NO, no hay nada que pueda llamarse firewall, para ningun sistema operativo que sea facil si no se sabe lo basico de redes o de los protocolos de comunicaciones, mi recomendacion es que des un vistazo a un iptables-howto, y cuando te des cuenta que es zone-alarm y que es el netfilter de linux, empezamos. * Lo primero que tienes que tener claro es que es lo que quieres, lo de menos es dar acceso a una ip o abrir un puerto, empieza por saber cuantas interfaces de red tienes, de que tipo, ethernet, ppp, pppoe, etc, cual es la que atiende al exterior la que atiende al interior, procurar no activar enmascaramiento y routing, etc, y a partir de hay iras viendo que es cada vez mas facil, en resumen una indicacion clara de cual es la extructura de la red aunque sea de un solo ordenador, busca tambien en el historico de la lista se ha puesto en mas de una ocasion ejemplos de configuraciones sencillas pero potentes. 1.- De que tipo es tu conexion (modem analogico, router ethernet, etc) 2.- Si es adsl con ip-fija como tienes el router, (en monopuesto o en multipuesto haciendo nat) 3.-Cual es la interfaz externa (su denominacion eth0, ppp0, etc) 4.- Carga una ip fija o tienes que autorizar a que tu isp te la asigne por algun medio como dhcp por ejemplo, ademas de la ip ¿te asigna servidores de nombres automaticamente y nombre de maquina?, que cosas de estas debes o puedes configurar estaticamente. 5.- Que servidores tienes corriendo, dns, ftp, www, correo, etc, y cuales quieres que sean accesibles desde internet o desde la red interna, cuales quieres que no sean accesibles y desde donde (desde que ips o rangos). 6.- donde estan esos servidores, en la propia maquina, en una zona desmilitarizada, dentro de la red interna, se debe saber que servicios deben ser reenviados por el gateway-bastion a tercera maquinas, si estas estan enmascaradas o disponen de ip-publica, etc. 7.- ¿Tienes que servir de gateway a una red interna o no? 8.- Quieres poner servicios en puertos no standar de tu gateway?, habra que reenviar esos puertos a otros de la propia maquina. 9.- Necesitas admitir icmp de tu isp o no para que no se crea que estas fuera de linea?, denegar paquetes fragmentados, proteger las tablas arp, syn-cookie etc, etc. 10.- Esto es lo basico, no hemos tocado marcado de paquetes, enrutado multiple, QoS, etc, y veras que a la version pro de zone-alarm ya le faltan un monton de iconos. * Quien te haya dicho que con un firewall esta todo solucionado es que es un memo, el sistema operativo, es el primer y maximo responsable de su propia seguridad, debe disponer de herramientas propias, cosas de las que dispones en algunos sistemas operativos como linux, para el caso de que sea accedida un robo de contraseña, por ejemplo, de uno de tus usuarios, este no pueda escalar privilegios, cargar modulos, abrir sockets, fisgorenear en grupos generalistas como users, se deben generar los usuarios con su propio grupo, configurar ulimits, quotas, etc, ¿no pensarias que esto lo tenias en windows, verdad? por que visitando una pagina web te pueden formatear el disco, y cuando un crio tumba un millon de maquinas en internet con un scriptillo programado en visual-mierda no pensaras que es porque no tenian zone-alarm instalado, aunque indudablemente tambien se pueden cerrar los ojos y creer que uno esta adminsitrando una maquina conectada a internet dandose un garbeo por mi-pc o scandisk. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQXssAXFL65CppEIRAhJFAJ9PU/56ZsMtdeAVcQZPSN5sIC6ATACfemXt s+ZFLn0ZW/sg9BhvYuvtzuY= =sKS/ -----END PGP SIGNATURE-----
Jose Maria: Gracias por tu respuesta. (¿Eres informatico o similar?) Si soy un informaticamente-MEMO, soy informaticamente cuasi-analfabeto. Cada vez que hablo con vosotros es una cura de humildad pues veo un monton de cosas que desconozco. (no me ha quedado claro un tema. ¿Zone Alarm no es bueno?) El Link http://grc.com/x/ne.dll?rh1dkyd2 ¿Es bueno para testear la seguridad? Respondo tus preguntas: 1- Conexion- tengo dos oficinas. -1a)- 3 ordenadores y un router que me conecta con ADSL. todos los ordenadores conectan directamente. (un PC con w98 otro con XP y el otro con SUSE 9.0). -1b)- 2 ordenadores y un modem ADSL. (un PC con XP conectado a internet permitiendo ICS, otro PC con SUSE 9.0 usando internet via el PC con XP) 2- router multipuesto 3- Interfaz externa. (Me has pillado- No lo se, pero si sirve estoy en España con Telefonica) 4- -4.1)-con el router, la IP, puerta de enlace y DNS son fijas -4.2)-con el modem ADSL es todo automatico DHCP 5-(no se si lo te entiendo bien)-Yo intento solo tener varios ordenadores conectados entre si para compartir archivos y poder ver paginas web y recibir/mandar correo. Y que cada ordenador sea autonomo. No tengo paginas web alojadas ni nadie desde fuera tiene que conectar conmigo para consultar mus archivos o su correo. -puntos 6, 7, 8, 9, 10 -(no te entiendo, soy inexperto)- -Otras consideraciones (quizas filosoficas): Entiendo que los que sabeis de informatica considereis que deberiamos estudiar un monton de cosas. Pero es que Yo solo quiero ser usuario y estar relativamente protegido (me parece que para estarlo del todo lo mejor es no conectarse pero claro no me convence). Segun me han dicho en este mundo informatico es como si estuviesemos en una pecera, todo el mundo nos ve y no nos damos cuenta. Me gusta que con Linux el Sistema esta mas protegido, y quiero instalar el cortafuegos (y cuando lo instalo no veo la red Samba). Pero entiendeme que si todo el mundo para usar un ordenador con internet se tuviera que aprovar un examen con todo lo que me dices seguramente se venderian muy pocos PC´s. Bueno que me estoy enrrollando mucho ¿Por cierto en Linux hay algun modo de mirar si te han colado programas espia? Saludos y muchas gracias Alejo * No recomendandoselo, si tus amigos creen tener un firewall es cosa de ellos, tienen un programa al que le pinchas y cierra una puerta y le vuelves a pinchar y la abre, pero no audita e identifica a quien pasa, ni les "cachea" a ver que llevan en los bolsillos, o si van donde dijeron que ivan.
Bueno despues de quejarme (perdon que te llore a ti)
¿Como doy acceso a una IP de la red?
¿Sabeis de otro firewall util y facil de usar?
* NO, no hay nada que pueda llamarse firewall, para ningun sistema operativo que sea facil si no se sabe lo basico de redes o de los protocolos de comunicaciones, mi recomendacion es que des un vistazo a un iptables-howto, y cuando te des cuenta que es zone-alarm y que es el netfilter de linux, empezamos. * Lo primero que tienes que tener claro es que es lo que quieres, lo de menos es dar acceso a una ip o abrir un puerto, empieza por saber cuantas interfaces de red tienes, de que tipo, ethernet, ppp, pppoe, etc, cual es la que atiende al exterior la que atiende al interior, procurar no activar enmascaramiento y routing, etc, y a partir de hay iras viendo que es cada vez mas facil, en resumen una indicacion clara de cual es la extructura de la red aunque sea de un solo ordenador, busca tambien en el historico de la lista se ha puesto en mas de una ocasion ejemplos de configuraciones sencillas pero potentes. 1.- De que tipo es tu conexion (modem analogico, router ethernet, etc) 2.- Si es adsl con ip-fija como tienes el router, (en monopuesto o en multipuesto haciendo nat) 3.-Cual es la interfaz externa (su denominacion eth0, ppp0, etc) 4.- Carga una ip fija o tienes que autorizar a que tu isp te la asigne por algun medio como dhcp por ejemplo, ademas de la ip ¿te asigna servidores de nombres automaticamente y nombre de maquina?, que cosas de estas debes o puedes configurar estaticamente. 5.- Que servidores tienes corriendo, dns, ftp, www, correo, etc, y cuales quieres que sean accesibles desde internet o desde la red interna, cuales quieres que no sean accesibles y desde donde (desde que ips o rangos). 6.- donde estan esos servidores, en la propia maquina, en una zona desmilitarizada, dentro de la red interna, se debe saber que servicios deben ser reenviados por el gateway-bastion a tercera maquinas, si estas estan enmascaradas o disponen de ip-publica, etc. 7.- ¿Tienes que servir de gateway a una red interna o no? 8.- Quieres poner servicios en puertos no standar de tu gateway?, habra que reenviar esos puertos a otros de la propia maquina. 9.- Necesitas admitir icmp de tu isp o no para que no se crea que estas fuera de linea?, denegar paquetes fragmentados, proteger las tablas arp, syn-cookie etc, etc. 10.- Esto es lo basico, no hemos tocado marcado de paquetes, enrutado multiple, QoS, etc, y veras que a la version pro de zone-alarm ya le faltan un monton de iconos. * Quien te haya dicho que con un firewall esta todo solucionado es que es un memo, el sistema operativo, es el primer y maximo responsable de su propia seguridad, debe disponer de herramientas propias, cosas de las que dispones en algunos sistemas operativos como linux, para el caso de que sea accedida un robo de contraseña, por ejemplo, de uno de tus usuarios, este no pueda escalar privilegios, cargar modulos, abrir sockets, fisgorenear en grupos generalistas como users, se deben generar los usuarios con su propio grupo, configurar ulimits, quotas, etc, ¿no pensarias que esto lo tenias en windows, verdad? por que visitando una pagina web te pueden formatear el disco, y cuando un crio tumba un millon de maquinas en internet con un scriptillo programado en visual-mierda no pensaras que es porque no tenian zone-alarm instalado, aunque indudablemente tambien se pueden cerrar los ojos y creer que uno esta adminsitrando una maquina conectada a internet dandose un garbeo por mi-pc o scandisk. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQXssAXFL65CppEIRAhJFAJ9PU/56ZsMtdeAVcQZPSN5sIC6ATACfemXt s+ZFLn0ZW/sg9BhvYuvtzuY= =sKS/ -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El Domingo, 29 de Febrero de 2004 13:36, alejo escribió:
Jose Maria:
Gracias por tu respuesta. (¿Eres informatico o similar?)
Pues te voy a contestar sobre la pregunta que le formulas a jose maria, al que tuve oportunidad de conocer en BCN: SABE INFORMÁTICA POR UN TUBO, podría ser nuestro profesor - o nuestro catedrático -, sin ninguna duda. -- My nick is JOSANable But my name is José Antonio Meler Garanto counter.li.org Register User #316070 Machine 226218
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Domingo, 29 de Febrero de 2004 13:36, alejo escribió:
*This message was transferred with a trial version of CommuniGate(tm) Pro* Jose Maria:
Gracias por tu respuesta. (¿Eres informatico o similar?)
Si soy un informaticamente-MEMO, soy informaticamente cuasi-analfabeto.
* Esto es una deduccion tuya no una afirmacion mia.
Cada vez que hablo con vosotros es una cura de humildad pues veo un monton de cosas que desconozco. (no me ha quedado claro un tema. ¿Zone Alarm no es bueno?)
* NO, ni ningun programa cortafuegos a nivel de aplicacion, y que ademas no haga filtrado inteligente de paquetes a nivel de kernel, tipicamente para el mundo windows, suele ser una maquina dedicada, llamese cisco, o de la marca que sea, que suele cargar una variante *bsd o un linux.
El Link http://grc.com/x/ne.dll?rh1dkyd2 ¿Es bueno para testear la seguridad?
* No lo conozco ni esa ni ninguna, pero supongo que comprueba, como puedes hacer tu con nmap, si hay puertos abiertos, y servicios a la escucha, que es como no decir nada, para que los servidores den servicios del tipo que sea, deben estar escuchando.
Respondo tus preguntas: 1- Conexion- tengo dos oficinas. -1a)- 3 ordenadores y un router que me conecta con ADSL. todos los ordenadores conectan directamente. (un PC con w98 otro con XP y el otro con SUSE 9.0).
* Tienes un router en multipuesto haciendo nat, que es la opcion menos segura que hay, nat no es un cortafuegos es todo lo contrario proporciona conectividad de forma transparente, el router es alcanzable desde internet y un router es un aparatillo con un firmware empotrado, que en ningun caso es comparable a un ordenador haciendo de cortafuegos con todo un S.O. los routers que si pueden llamarse cortafuegos, son en realidad esto ultimo, compactado y con un coste que habitualmente supera a una maquina normal en mucho. * El SuSE 9.0 es una maquina cliente en este caso, dispone de una ip interna seguramente servida por el propio router.
-1b)- 2 ordenadores y un modem ADSL. (un PC con XP conectado a internet permitiendo ICS, otro PC con SUSE 9.0 usando internet via el PC con XP)
2- router multipuesto 3- Interfaz externa. (Me has pillado- No lo se, pero si sirve estoy en España con Telefonica)
* La interfaz externa en el caso del linux, no me interesan los windows sera seguramente eth0 , es decir la primera y unica tarjeta de red que tiene, no sirve de gateway es una maquina final y no tiene interfaces internas. * Por tanto. /etc/sysconfig/SuSEfirewall2 * Obviaremos configurarlo como quick mode para cuando tengas que hacer algo mas complejo. # Primera pregunta dificil, indique cual o cuales, pueden ser varias, es su # interfaz externa, los ejemplos del fichero veras que son confusos, en tu # caso que solo tienes una interfaz de red, es aun mas dificil. FW_DEV_EXT="eth0" # # Que interfaz o interfaces sirven a redes internas, en tu caso ninguna puesto # que solo tienes la externa que la que te comunica con todo el mundo, la red # propia e internet, dificil tambien como veras. FW_DEV_INT="" # No tienes ni zonas desmilitarizadas ni nada por el estilo asi que evidentemente: FW_DEV_DMZ="" # # Tu maquina no ejerce de router ni Gateway-bastion asi que: FW_ROUTE="no" # # Tu maquina no emmascara las ips de otras maquinas, es decir no hace nat, en # tu red lo hace el router, por tanto: FW_MASQUERADE="no" # Que interfaz se encargaria de hacer el enmascaramiento en caso de estar # activado, como no esta activado lo que pongas aqui no sera tenido en cuenta, # dejalo como esta. FW_MASQ_DEV="$FW_DEV_EXT" # Set this variable to "0/0" to allow unrestricted access to the internet. # # No tienes activado el enmascaramiento de ip por tanto aqui no tienes que # definir que redes, protocolos, etc les permites salir enmascarados. FW_MASQ_NETS="" # # "yes" is a good choice # Prohibe a las maquinas internas acceder a servicios que corran en el # firewall salvo aquellos explicatamente permitidos, politica por defecto # DROP, obviamente si no ejerces de firewall y no tienes una interfaz interna # es una directiva que afectara a tu red local si defines eth0 tambien como # interfaz interna en la directiva FW_DEV_INT="eth0" recomendable. FW_PROTECT_FROM_INTERNAL="yes" # Choice: "yes" or "no", if not set defaults to "yes" # # lo mismo que lo anterior para las zonas desmilitarizadas. FW_AUTOPROTECT_SERVICES="yes" # # Que puertos al exterior, en tu caso TODO es exterior, los ejemplos son #claros, se puede poner, puerto, rango de puertos o protocolo estandard que #corresponde a puerto, vea el fichero /etc/services, en el ejemplo, se #permite el puerto 4662(mldonkey), smtp (servidor de correo podria poner el #puerto 25 y obtendria el mismo resultado, como se ha explicado #anteriormente, 993 (imaps) 995 (pop3s) 8010 (puerto de configuracion de la #suite integrada de correo CommuniGate, 10000 (webmin) 22 (ssh) 53 (servidor #dns que sirve un dominio), quite los que no le sirvan, ponga los que le #sirvan, y si no quiere ninguno dejelo en blanco, si como afirma usted lo que # sabe es de windows, sabra que puertos e infames protocolos usa ese sistema, # pongalos. FW_SERVICES_EXT_TCP="4662 smtp 993 995 8010 10000 22 53" ## Type: string # Common: domain # udp para dns, el puerto de control de mldonkey y ntp para sincronizar la # hora con un servidor de tiempo, lo mismo quite, ponga, deje en blanco. FW_SERVICES_EXT_UDP="53 4666 ntp" ## Type: string # For VPN/Routing which END at the firewall!! # Para establecer vpn's, en su caso nada FW_SERVICES_EXT_IP="" ## Type: string # # Common: smtp domain # Los servicios accessibles de la dmz, en su caso nada FW_SERVICES_DMZ_TCP="" ## Type: string # Common: domain # Lo mismo que lo anterior, para udp, en su caso nada FW_SERVICES_DMZ_UDP="" ## Type: string # For VPN/Routing which END at the firewall!! # Lo mismo en su caso nada FW_SERVICES_DMZ_IP="" ## Type: string # # Common: ssh smtp domain # puertos abiertos, a la red interna, en su caso nada ya que la red interna en #su caso es lo mismo que la red externa, su maquina es un punto final de la #red. FW_SERVICES_INT_TCP="" ## Type: string # Common: domain syslog # lo mismo para el protocolo UDP, en su caso nada. FW_SERVICES_INT_UDP="" # For VPN/Routing which END at the firewall!! # Todo lo comentado para la interfaz externa ahora para la interna, en su caso # nada. FW_SERVICES_INT_IP="" * Como ya comentamos todo lo relacionado a quickmode en blanco. # QUICKMODE: TCP services open to external networks (InterNet) # (Common: ssh smtp) FW_SERVICES_QUICK_TCP="" ## Type: string # QUICKMODE: UDP services open to external networks (InterNet) # (Common: isakmp) FW_SERVICES_QUICK_UDP="" ## Type: string # QUICKMODE: IP protocols unconditionally open to external networks (InterNet) # (For VPN firewall that is VPN gateway: 50) FW_SERVICES_QUICK_IP="" # # maquinas, redes, protocolos o puertos de destino a los que ciertas maquinas # podrian acceder, tipicamente declarar maquinas confiables, la maquina que # tengo al lado y que tambien administro yo, NO es de mi confianza, usted vera # lo que le interesa: FW_TRUSTED_NETS="" # # Permitir o no acceso de entrada a los puertos altos no privilegiados, lo #correcto es no, y no usar programas que usen puertos aleatorios, si usa un #servidor ftp, use proxys, instale la suite ftp-proxy por ejemplo o delegate #y obligue aunque sea sockificando, a esos servidores a utilizar un rango de #puertos fijo, defina su acceso en FW_SERVICES_EXT_TCP y UDP, procure evitar #protocolos como ftp, use ssh, hay clientes para windows graficos y en linux #gftp soporta ssh si la consola no le gusta. FW_ALLOW_INCOMING_HIGHPORTS_TCP="" ## Type: string # Common: "DNS" or "domain ntp", better is "yes" to be sure ... FW_ALLOW_INCOMING_HIGHPORTS_UDP="" # # Que el sistema detecte automaticamente los servicios no es buena idea, # defina usted los puertos y reglas manualmente, ya ve que tampoco es nada del # otro mundo obtener un firewall decente de forma simple. FW_SERVICE_AUTODETECT="no" # Autodetect the services below when starting ## Type: yesno ## Default: no # If you are running bind/named set to yes. Remember that you have to open # port 53 (or "domain") as udp/tcp to allow incoming queries. # Also FW_ALLOW_INCOMING_HIGHPORTS_UDP needs to be "yes" FW_SERVICE_DNS="no" ## Type: yesno ## Default: no # if you use dhclient to get an ip address you have to set this to "yes" ! # es posible que su maquina obtenga la ip de un servidor dhcp, tipicamente el # router, podria poner esto a yes, o mejor definir el puerto necesario en # FW_SERVICES_EXT_TCP como ya le comente. FW_SERVICE_DHCLIENT="no" ## Type: yesno ## Default: no # set to "yes" if this server is a DHCP server # lo mismo si su maquina fuera el servidor dhcp que otorga las ips al resto de # maquinas FW_SERVICE_DHCPD="no" ## Type: yesno ## Default: no # set to "yes" if this server is running squid. You still have to open the # tcp port 3128 to allow remote access to the squid proxy service. FW_SERVICE_SQUID="no" ## Type: yesno ## Default: no # set to "yes" if this server is running a samba server. You still have to # open the tcp port 139 to allow remote access to SAMBA. # Aqui le dan una pista de windows y alguno de los puertos que usa, mejor # nuevamente definir el puerto en la directiva ya comentada varias veces FW_SERVICE_SAMBA="no" # Definir puertos y maquinas internas no enmascaradas, accesibles desde # internet, en su caso nada, ya que la maquina no ejerce de router. FW_FORWARD="" # # Lo mismo que lo anterior para maquinas enmascaradas, sin ip publica, # pudiendo cambiar el puerto de destino, en su caso nada por la misma razon # que anteriormente citada # FW_FORWARD_MASQ="" # Beware to use this! # # redirigir las llamadas procedentes de donde sea, a donde sea y puerto de #destino que sea, a un puerto dentro de la propia maquina, tipicamente para #obligar a las maquina internas a pasar por un proxy, recuerde que en windows #cualquiera puede cambiar las configuraciones de red, en este caso aunque el #cliente desactive el uso del proxy no podra acceder a lo que usted tenga #prohibido , hay va un ejemplo para la navegacion web, pero en su caso nada, #ya que no ejecte de gateway. FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128 * Lo siguiente sera para tratar con los logs via syslog. # Choice: "yes" or "no", if not set FW_LOG_*_CRIT defaults to "yes", and # FW_LOG_*_ALL defaults to "no" # FW_LOG_DROP_CRIT="yes" ## Type: yesno ## Default: no # FW_LOG_DROP_ALL="no" ## Type: yesno ## Default: yes # FW_LOG_ACCEPT_CRIT="yes" ## Type: yesno ## Default: no # FW_LOG_ACCEPT_ALL="no" ## Type: string # # only change/activate this if you know what you are doing! FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" # Choice: "yes" or "no", if not set defaults to "yes" # Descartar paquetes, usados por distintas tecnicas conocidas, normalmente # usadas para ataques de denegacion de servicio por inundacion. FW_KERNEL_SECURITY="yes" # # # Choices "yes" or "no", if not set defaults to "no" # # para que si usa una conexion que use ppp al terminar la conexion, pare el #firewall haciendo un flush de rutas, lo recomendable es añadir al script de #parada de la conexion /etc/ppp/ip-down una llamada a #/etc/init.d/SuSEfirewall2 stop y dejar esto en no FW_STOP_KEEP_ROUTING_STATE="no" # # admitir ping o no al firewall, la dmz, etc. FW_ALLOW_PING_FW="no" # FW_ALLOW_PING_DMZ="no" # FW_ALLOW_PING_EXT="no" # Choice: "yes" or "no", if not set defaults to "no" # # Lo siguiente es para permitir traceroute, icpm, etc, yo lo pondria todo a no #puesto que icpm sourcequench en teoria tampoco lo necesita, ya que esta #maquina no trata con el isp, se necesitaria en el caso que si lo fuera y su #conexion dependiera de que el isp vea, enviando estos paquetes, que estas #"vivo" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="no" # # Las maquinas windows generan trafico de broadcast, continuamente aunque no # se este haciendo nada, en muchos casos si estos paquetes "colleja" no llegan # el infame protocolo netbios muere, yo lo pondria a no y si no se ve la red # desde windows, pulse F5 repetidas veces en el entorno de red de windows, # para reanimar el cadaver FW_ALLOW_FW_BROADCAST="no" ## Type: yesno ## Default: yes # FW_IGNORE_FW_BROADCAST="yes" # # definir distintas opciones de routing con varias interfaces, en su caso # nada. FW_ALLOW_CLASS_ROUTING="no" # # SuSEfirewall2 es una interfaz sencilla, decentemente potente, pero muy # limitada para tratar con las extensas capacidades y potentisimo netfilter de # linux, aqui puede definir un fichero, vea el propuesto por defecto, para # incluir directivas usando reglas iptables directamente, no obstante si # necesita contruir un cortafuegos complejo, use un script con reglas iptables # directamente y no SuSEfirewall2. #FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" FW_CUSTOMRULES="" # # "remitir" a origen los paquetes recibidos tipicamente cuando le hagan un # escaneo de puertos, mi recomendacion es que no, dejelos caer, mejor que el # atacante pueda pensar que alli no hay nada, que le pique la curiosidad y se # tome interes. FW_REJECT="no" # # Una simple equalizacion de la linea, en adiccion con wondershaper, si el # router estuviera en monopuesto y esta maquina fuera el gateway-bastion, en # lineas asincronas es fundamental que las colas de retraso se produzcan, las # controle y las gestione linux y no ese aparatito, sea router o modem adsl, # que no tiene una milesima de la potencia y capacidades de un pc con linux. FW_HTB_TUNE_DEV="" * Tambien tiene el paquete Personal-firewall o algo por el estilo, no lo recuerdo, que es aun menos potente y que es aun mucho mas simple, en su fichero de configuracion, solo debe poner puerto o nombre de servicio equivalente que quiera abrir en su maquina, algo del estilo: ssh, 80, etc, osea mas facil que zone alarm, y no tiene que estar un usuario de guarda-agujas pinchando en aceptar cuando se recibe una peticion. * Si quiere que se ejecute permanentemente y se inicie en el arranque como root , insserv SuSEfirewall2_setup insserv SuSEfirewall2_init insserv SuSEfirewall2_final o habilitelo con yast, cuando cambie una variable del fichero de configuracion, para que tome los cambios, rcSuSEfirewall2 restart, stop para pararlo y start para iniciarlo manualmente a conveniencia. * No parece tan dificil conseguir algo que pueda calificarse de firewall, ¿o si? -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQlYSAXFL65CppEIRArssAJwPQdNKh+Mu7VKWHQdg7aCuWiUgFACfc+y6 JTFMYnn5qxKt/sDU9q/Zro4= =lb5J -----END PGP SIGNATURE-----
Jose Maria:
Me has dejado alucinado. Si esto era lo que Yo debia facilmente desarrollar
te aseguro que no consigo instalar el firewall hasta que las vacas vuelen.
Muchisimas gracias, te debo una cerveza como minimo (en la proxima reunion
en BCN te invito).
Me lo he leido rapido y no lo he digerido. (lo estudiare mas a fondo)
Tengo dos preguntas mas:
1-Me olvide de decirte que tambien he instalado Linux en el resto de PC´s y
a veces concto via NFS. ¿Esta configuracion que me pasas es valida o debo
añadir algun parametro?
2- ¿Como puedo probar que el firewall lo he montado bien? (Si despues de
todo esto creo que tengo un firewall de narices y resulta que en mi
ordenador entra quien quiera, voy fino. Es decir me gustaria chequear la
instalacion para comprobar que he puesto bien los distintos parametros)
Saludos y muchas gracias de nuevo
Alejo
----- Original Message -----
From: "jose maria"
*This message was transferred with a trial version of CommuniGate(tm) Pro* Jose Maria:
Gracias por tu respuesta. (¿Eres informatico o similar?)
Si soy un informaticamente-MEMO, soy informaticamente cuasi-analfabeto.
* Esto es una deduccion tuya no una afirmacion mia.
Cada vez que hablo con vosotros es una cura de humildad pues veo un monton de cosas que desconozco. (no me ha quedado claro un tema. ¿Zone Alarm no es bueno?)
* NO, ni ningun programa cortafuegos a nivel de aplicacion, y que ademas no haga filtrado inteligente de paquetes a nivel de kernel, tipicamente para el mundo windows, suele ser una maquina dedicada, llamese cisco, o de la marca que sea, que suele cargar una variante *bsd o un linux.
El Link http://grc.com/x/ne.dll?rh1dkyd2 ¿Es bueno para testear la seguridad?
* No lo conozco ni esa ni ninguna, pero supongo que comprueba, como puedes hacer tu con nmap, si hay puertos abiertos, y servicios a la escucha, que es como no decir nada, para que los servidores den servicios del tipo que sea, deben estar escuchando.
Respondo tus preguntas: 1- Conexion- tengo dos oficinas. -1a)- 3 ordenadores y un router que me conecta con ADSL. todos los ordenadores conectan directamente. (un PC con w98 otro con XP y el otro con SUSE 9.0).
* Tienes un router en multipuesto haciendo nat, que es la opcion menos segura que hay, nat no es un cortafuegos es todo lo contrario proporciona conectividad de forma transparente, el router es alcanzable desde internet y un router es un aparatillo con un firmware empotrado, que en ningun caso es comparable a un ordenador haciendo de cortafuegos con todo un S.O. los routers que si pueden llamarse cortafuegos, son en realidad esto ultimo, compactado y con un coste que habitualmente supera a una maquina normal en mucho. * El SuSE 9.0 es una maquina cliente en este caso, dispone de una ip interna seguramente servida por el propio router.
-1b)- 2 ordenadores y un modem ADSL. (un PC con XP conectado a internet permitiendo ICS, otro PC con SUSE 9.0 usando internet via el PC con XP)
2- router multipuesto 3- Interfaz externa. (Me has pillado- No lo se, pero si sirve estoy en España con Telefonica)
* La interfaz externa en el caso del linux, no me interesan los windows sera seguramente eth0 , es decir la primera y unica tarjeta de red que tiene, no sirve de gateway es una maquina final y no tiene interfaces internas. * Por tanto. /etc/sysconfig/SuSEfirewall2 * Obviaremos configurarlo como quick mode para cuando tengas que hacer algo mas complejo. # Primera pregunta dificil, indique cual o cuales, pueden ser varias, es su # interfaz externa, los ejemplos del fichero veras que son confusos, en tu # caso que solo tienes una interfaz de red, es aun mas dificil. FW_DEV_EXT="eth0" # # Que interfaz o interfaces sirven a redes internas, en tu caso ninguna puesto # que solo tienes la externa que la que te comunica con todo el mundo, la red # propia e internet, dificil tambien como veras. FW_DEV_INT="" # No tienes ni zonas desmilitarizadas ni nada por el estilo asi que evidentemente: FW_DEV_DMZ="" # # Tu maquina no ejerce de router ni Gateway-bastion asi que: FW_ROUTE="no" # # Tu maquina no emmascara las ips de otras maquinas, es decir no hace nat, en # tu red lo hace el router, por tanto: FW_MASQUERADE="no" # Que interfaz se encargaria de hacer el enmascaramiento en caso de estar # activado, como no esta activado lo que pongas aqui no sera tenido en cuenta, # dejalo como esta. FW_MASQ_DEV="$FW_DEV_EXT" # Set this variable to "0/0" to allow unrestricted access to the internet. # # No tienes activado el enmascaramiento de ip por tanto aqui no tienes que # definir que redes, protocolos, etc les permites salir enmascarados. FW_MASQ_NETS="" # # "yes" is a good choice # Prohibe a las maquinas internas acceder a servicios que corran en el # firewall salvo aquellos explicatamente permitidos, politica por defecto # DROP, obviamente si no ejerces de firewall y no tienes una interfaz interna # es una directiva que afectara a tu red local si defines eth0 tambien como # interfaz interna en la directiva FW_DEV_INT="eth0" recomendable. FW_PROTECT_FROM_INTERNAL="yes" # Choice: "yes" or "no", if not set defaults to "yes" # # lo mismo que lo anterior para las zonas desmilitarizadas. FW_AUTOPROTECT_SERVICES="yes" # # Que puertos al exterior, en tu caso TODO es exterior, los ejemplos son #claros, se puede poner, puerto, rango de puertos o protocolo estandard que #corresponde a puerto, vea el fichero /etc/services, en el ejemplo, se #permite el puerto 4662(mldonkey), smtp (servidor de correo podria poner el #puerto 25 y obtendria el mismo resultado, como se ha explicado #anteriormente, 993 (imaps) 995 (pop3s) 8010 (puerto de configuracion de la #suite integrada de correo CommuniGate, 10000 (webmin) 22 (ssh) 53 (servidor #dns que sirve un dominio), quite los que no le sirvan, ponga los que le #sirvan, y si no quiere ninguno dejelo en blanco, si como afirma usted lo que # sabe es de windows, sabra que puertos e infames protocolos usa ese sistema, # pongalos. FW_SERVICES_EXT_TCP="4662 smtp 993 995 8010 10000 22 53" ## Type: string # Common: domain # udp para dns, el puerto de control de mldonkey y ntp para sincronizar la # hora con un servidor de tiempo, lo mismo quite, ponga, deje en blanco. FW_SERVICES_EXT_UDP="53 4666 ntp" ## Type: string # For VPN/Routing which END at the firewall!! # Para establecer vpn's, en su caso nada FW_SERVICES_EXT_IP="" ## Type: string # # Common: smtp domain # Los servicios accessibles de la dmz, en su caso nada FW_SERVICES_DMZ_TCP="" ## Type: string # Common: domain # Lo mismo que lo anterior, para udp, en su caso nada FW_SERVICES_DMZ_UDP="" ## Type: string # For VPN/Routing which END at the firewall!! # Lo mismo en su caso nada FW_SERVICES_DMZ_IP="" ## Type: string # # Common: ssh smtp domain # puertos abiertos, a la red interna, en su caso nada ya que la red interna en #su caso es lo mismo que la red externa, su maquina es un punto final de la #red. FW_SERVICES_INT_TCP="" ## Type: string # Common: domain syslog # lo mismo para el protocolo UDP, en su caso nada. FW_SERVICES_INT_UDP="" # For VPN/Routing which END at the firewall!! # Todo lo comentado para la interfaz externa ahora para la interna, en su caso # nada. FW_SERVICES_INT_IP="" * Como ya comentamos todo lo relacionado a quickmode en blanco. # QUICKMODE: TCP services open to external networks (InterNet) # (Common: ssh smtp) FW_SERVICES_QUICK_TCP="" ## Type: string # QUICKMODE: UDP services open to external networks (InterNet) # (Common: isakmp) FW_SERVICES_QUICK_UDP="" ## Type: string # QUICKMODE: IP protocols unconditionally open to external networks (InterNet) # (For VPN firewall that is VPN gateway: 50) FW_SERVICES_QUICK_IP="" # # maquinas, redes, protocolos o puertos de destino a los que ciertas maquinas # podrian acceder, tipicamente declarar maquinas confiables, la maquina que # tengo al lado y que tambien administro yo, NO es de mi confianza, usted vera # lo que le interesa: FW_TRUSTED_NETS="" # # Permitir o no acceso de entrada a los puertos altos no privilegiados, lo #correcto es no, y no usar programas que usen puertos aleatorios, si usa un #servidor ftp, use proxys, instale la suite ftp-proxy por ejemplo o delegate #y obligue aunque sea sockificando, a esos servidores a utilizar un rango de #puertos fijo, defina su acceso en FW_SERVICES_EXT_TCP y UDP, procure evitar #protocolos como ftp, use ssh, hay clientes para windows graficos y en linux #gftp soporta ssh si la consola no le gusta. FW_ALLOW_INCOMING_HIGHPORTS_TCP="" ## Type: string # Common: "DNS" or "domain ntp", better is "yes" to be sure ... FW_ALLOW_INCOMING_HIGHPORTS_UDP="" # # Que el sistema detecte automaticamente los servicios no es buena idea, # defina usted los puertos y reglas manualmente, ya ve que tampoco es nada del # otro mundo obtener un firewall decente de forma simple. FW_SERVICE_AUTODETECT="no" # Autodetect the services below when starting ## Type: yesno ## Default: no # If you are running bind/named set to yes. Remember that you have to open # port 53 (or "domain") as udp/tcp to allow incoming queries. # Also FW_ALLOW_INCOMING_HIGHPORTS_UDP needs to be "yes" FW_SERVICE_DNS="no" ## Type: yesno ## Default: no # if you use dhclient to get an ip address you have to set this to "yes" ! # es posible que su maquina obtenga la ip de un servidor dhcp, tipicamente el # router, podria poner esto a yes, o mejor definir el puerto necesario en # FW_SERVICES_EXT_TCP como ya le comente. FW_SERVICE_DHCLIENT="no" ## Type: yesno ## Default: no # set to "yes" if this server is a DHCP server # lo mismo si su maquina fuera el servidor dhcp que otorga las ips al resto de # maquinas FW_SERVICE_DHCPD="no" ## Type: yesno ## Default: no # set to "yes" if this server is running squid. You still have to open the # tcp port 3128 to allow remote access to the squid proxy service. FW_SERVICE_SQUID="no" ## Type: yesno ## Default: no # set to "yes" if this server is running a samba server. You still have to # open the tcp port 139 to allow remote access to SAMBA. # Aqui le dan una pista de windows y alguno de los puertos que usa, mejor # nuevamente definir el puerto en la directiva ya comentada varias veces FW_SERVICE_SAMBA="no" # Definir puertos y maquinas internas no enmascaradas, accesibles desde # internet, en su caso nada, ya que la maquina no ejerce de router. FW_FORWARD="" # # Lo mismo que lo anterior para maquinas enmascaradas, sin ip publica, # pudiendo cambiar el puerto de destino, en su caso nada por la misma razon # que anteriormente citada # FW_FORWARD_MASQ="" # Beware to use this! # # redirigir las llamadas procedentes de donde sea, a donde sea y puerto de #destino que sea, a un puerto dentro de la propia maquina, tipicamente para #obligar a las maquina internas a pasar por un proxy, recuerde que en windows #cualquiera puede cambiar las configuraciones de red, en este caso aunque el #cliente desactive el uso del proxy no podra acceder a lo que usted tenga #prohibido , hay va un ejemplo para la navegacion web, pero en su caso nada, #ya que no ejecte de gateway. FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128 * Lo siguiente sera para tratar con los logs via syslog. # Choice: "yes" or "no", if not set FW_LOG_*_CRIT defaults to "yes", and # FW_LOG_*_ALL defaults to "no" # FW_LOG_DROP_CRIT="yes" ## Type: yesno ## Default: no # FW_LOG_DROP_ALL="no" ## Type: yesno ## Default: yes # FW_LOG_ACCEPT_CRIT="yes" ## Type: yesno ## Default: no # FW_LOG_ACCEPT_ALL="no" ## Type: string # # only change/activate this if you know what you are doing! FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" # Choice: "yes" or "no", if not set defaults to "yes" # Descartar paquetes, usados por distintas tecnicas conocidas, normalmente # usadas para ataques de denegacion de servicio por inundacion. FW_KERNEL_SECURITY="yes" # # # Choices "yes" or "no", if not set defaults to "no" # # para que si usa una conexion que use ppp al terminar la conexion, pare el #firewall haciendo un flush de rutas, lo recomendable es añadir al script de #parada de la conexion /etc/ppp/ip-down una llamada a #/etc/init.d/SuSEfirewall2 stop y dejar esto en no FW_STOP_KEEP_ROUTING_STATE="no" # # admitir ping o no al firewall, la dmz, etc. FW_ALLOW_PING_FW="no" # FW_ALLOW_PING_DMZ="no" # FW_ALLOW_PING_EXT="no" # Choice: "yes" or "no", if not set defaults to "no" # # Lo siguiente es para permitir traceroute, icpm, etc, yo lo pondria todo a no #puesto que icpm sourcequench en teoria tampoco lo necesita, ya que esta #maquina no trata con el isp, se necesitaria en el caso que si lo fuera y su #conexion dependiera de que el isp vea, enviando estos paquetes, que estas #"vivo" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="no" # # Las maquinas windows generan trafico de broadcast, continuamente aunque no # se este haciendo nada, en muchos casos si estos paquetes "colleja" no llegan # el infame protocolo netbios muere, yo lo pondria a no y si no se ve la red # desde windows, pulse F5 repetidas veces en el entorno de red de windows, # para reanimar el cadaver FW_ALLOW_FW_BROADCAST="no" ## Type: yesno ## Default: yes # FW_IGNORE_FW_BROADCAST="yes" # # definir distintas opciones de routing con varias interfaces, en su caso # nada. FW_ALLOW_CLASS_ROUTING="no" # # SuSEfirewall2 es una interfaz sencilla, decentemente potente, pero muy # limitada para tratar con las extensas capacidades y potentisimo netfilter de # linux, aqui puede definir un fichero, vea el propuesto por defecto, para # incluir directivas usando reglas iptables directamente, no obstante si # necesita contruir un cortafuegos complejo, use un script con reglas iptables # directamente y no SuSEfirewall2. #FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" FW_CUSTOMRULES="" # # "remitir" a origen los paquetes recibidos tipicamente cuando le hagan un # escaneo de puertos, mi recomendacion es que no, dejelos caer, mejor que el # atacante pueda pensar que alli no hay nada, que le pique la curiosidad y se # tome interes. FW_REJECT="no" # # Una simple equalizacion de la linea, en adiccion con wondershaper, si el # router estuviera en monopuesto y esta maquina fuera el gateway-bastion, en # lineas asincronas es fundamental que las colas de retraso se produzcan, las # controle y las gestione linux y no ese aparatito, sea router o modem adsl, # que no tiene una milesima de la potencia y capacidades de un pc con linux. FW_HTB_TUNE_DEV="" * Tambien tiene el paquete Personal-firewall o algo por el estilo, no lo recuerdo, que es aun menos potente y que es aun mucho mas simple, en su fichero de configuracion, solo debe poner puerto o nombre de servicio equivalente que quiera abrir en su maquina, algo del estilo: ssh, 80, etc, osea mas facil que zone alarm, y no tiene que estar un usuario de guarda-agujas pinchando en aceptar cuando se recibe una peticion. * Si quiere que se ejecute permanentemente y se inicie en el arranque como root , insserv SuSEfirewall2_setup insserv SuSEfirewall2_init insserv SuSEfirewall2_final o habilitelo con yast, cuando cambie una variable del fichero de configuracion, para que tome los cambios, rcSuSEfirewall2 restart, stop para pararlo y start para iniciarlo manualmente a conveniencia. * No parece tan dificil conseguir algo que pueda calificarse de firewall, ¿o si? -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQlYSAXFL65CppEIRArssAJwPQdNKh+Mu7VKWHQdg7aCuWiUgFACfc+y6 JTFMYnn5qxKt/sDU9q/Zro4= =lb5J -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Domingo, 29 de Febrero de 2004 22:50, alejo escribió:
*This message was transferred with a trial version of CommuniGate(tm) Pro* Jose Maria:
Me has dejado alucinado. Si esto era lo que Yo debia facilmente desarrollar te aseguro que no consigo instalar el firewall hasta que las vacas vuelen.
* El fichero /etc/sysconfig/SuSEfirewall2 existe esta en tu sistema y lo puedes editar con cualquier editor y esta comentado y con ejemplos.
Tengo dos preguntas mas: 1-Me olvide de decirte que tambien he instalado Linux en el resto de PC´s y a veces concto via NFS. ¿Esta configuracion que me pasas es valida o debo añadir algun parametro?
* NFS es un servicio, se ejecute como cliente o como servidor, precisa de que el demonio portmap este corriendo para gestionar rpc. insserv portmap para que se incluya permanentemente en el arranque, rcportmap start|stop|restart|status para operaciones manuales, asi mismo si es un servidor nfs este debe estar ejecutandose y abrir los puertos necesarios en el mismo sitio FW_SERVICES_TCP_EXT para saber que puertos usan esos protocolos, mira /etc/services o grep nfs /etc/services.
2- ¿Como puedo probar que el firewall lo he montado bien? (Si despues de todo esto creo que tengo un firewall de narices y resulta que en mi ordenador entra quien quiera, voy fino. Es decir me gustaria chequear la instalacion para comprobar que he puesto bien los distintos parametros)
* No , no tienes un firewall de narices, desde luego mucho mejor que zone alarm, ya veo que te lo has leido deprisa, en lo tocante a no usar protocolos o servicios potencialmente peligrosos en detrimento de otros mucho mas seguros y que no usen puertos aleatorios que es el caso de portmap es probable que esto te obligue a poner a "yes" la directiva de acceso a puertos altos, pero en fin restringe el acceso a nfs a las ips de tu red en el firewall, y usa tcp-wrappers configurable esto ultimo en los ficheros /etc/hosts.allow y deny , si lo que pretendes con nfs es copiar ficheros, bajartelos etc, usa ftp o ssh, si es sincronizar directorios usa unison que utiliza ssh para conectar y tambien tienes una interfaz para windows como cliente, o rsync que aunque es en consola no muerde y tambien puede usar ssh. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQm9MAXFL65CppEIRAu98AJ4+YsajseE8q9A/12cKPzaDJztg3wCcCb/f uVWPd/mGzj1bwbw7shY2SXM= =ImB5 -----END PGP SIGNATURE-----
Hola Jose Maria:
(No se si tutearte o tratarle de usted)
Ya he puesto las instrucciones que me diste. (gracias)
1)-Me comentabas "...en lo tocante a no usar protocolos
o servicios potencialmente peligrosos en detrimento de otros mucho mas
seguros y que no usen puertos aleatorios ...
..si lo que pretendes con nfs es copiar ficheros,
bajartelos etc, usa ftp o ssh"
Yo tengo activado Samba para compartir archivos e impresoras Windows (mi
padre (73 años) y mi hermano son dificiles de convencer). Y NFS para ver
estos PC´s cuando corren con Linux. Y no me importa reconfigurar el montaje.
Me propones usar ftp o ssh. ¿Me permiten leer/grabar ficheros Linux/Linux
(uso NFS) y Linux/windows (uso Samba)? (¿y las impresoras?)
2)-sincronizar directorios-
¿Que entiendes por ello? ¿Me copia-sustituye el archivo mas moderno en el
resto de ordenadores? (Y con los archivos de windows tambien? (con NTFS y
FAT32))
3)-Me pasaste esta instruccion y la deje en blanco ""
tu sujerencia - FW_SERVICES_EXT_TCP="4662 smtp 993 995 8010 10000 22 53"
tambien sugerias - FW_SERVICES_EXT_TCP=""
No se que puedo o no necesitar (tampoco soy experto en windows).
4)- Me comentabas
# Beware to use this!
#
# redirigir las llamadas procedentes de donde sea, a donde sea y puerto de
#destino que sea, a un puerto dentro de la propia maquina, tipicamente para
#obligar a las maquina internas a pasar por un proxy, recuerde que en
windows
#cualquiera puede cambiar las configuraciones de red, en este caso aunque el
#cliente desactive el uso del proxy no podra acceder a lo que usted tenga
#prohibido , hay va un ejemplo para la navegacion web, pero en su caso nada,
#ya que no ejecte de gateway.
FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128
¿Faltan las comillas finales?
¿Para que sirve esto?
OTROS.
a) No amenazo, es un sentir profundo mezcla de desesperacion e impotencia.
b) Me da una ligera sensacion de que no estas muy a favor de windows.
Saludos y gracias
Alejo
----- Original Message -----
From: "jose maria"
*This message was transferred with a trial version of CommuniGate(tm) Pro* Jose Maria:
Me has dejado alucinado. Si esto era lo que Yo debia facilmente desarrollar te aseguro que no consigo instalar el firewall hasta que las vacas vuelen.
* El fichero /etc/sysconfig/SuSEfirewall2 existe esta en tu sistema y lo puedes editar con cualquier editor y esta comentado y con ejemplos.
Tengo dos preguntas mas: 1-Me olvide de decirte que tambien he instalado Linux en el resto de PC´s y a veces concto via NFS. ¿Esta configuracion que me pasas es valida o debo añadir algun parametro?
* NFS es un servicio, se ejecute como cliente o como servidor, precisa de que el demonio portmap este corriendo para gestionar rpc. insserv portmap para que se incluya permanentemente en el arranque, rcportmap start|stop|restart|status para operaciones manuales, asi mismo si es un servidor nfs este debe estar ejecutandose y abrir los puertos necesarios en el mismo sitio FW_SERVICES_TCP_EXT para saber que puertos usan esos protocolos, mira /etc/services o grep nfs /etc/services.
2- ¿Como puedo probar que el firewall lo he montado bien? (Si despues de todo esto creo que tengo un firewall de narices y resulta que en mi ordenador entra quien quiera, voy fino. Es decir me gustaria chequear la instalacion para comprobar que he puesto bien los distintos parametros)
* No , no tienes un firewall de narices, desde luego mucho mejor que zone alarm, ya veo que te lo has leido deprisa, en lo tocante a no usar protocolos o servicios potencialmente peligrosos en detrimento de otros mucho mas seguros y que no usen puertos aleatorios que es el caso de portmap es probable que esto te obligue a poner a "yes" la directiva de acceso a puertos altos, pero en fin restringe el acceso a nfs a las ips de tu red en el firewall, y usa tcp-wrappers configurable esto ultimo en los ficheros /etc/hosts.allow y deny , si lo que pretendes con nfs es copiar ficheros, bajartelos etc, usa ftp o ssh, si es sincronizar directorios usa unison que utiliza ssh para conectar y tambien tienes una interfaz para windows como cliente, o rsync que aunque es en consola no muerde y tambien puede usar ssh. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQm9MAXFL65CppEIRAu98AJ4+YsajseE8q9A/12cKPzaDJztg3wCcCb/f uVWPd/mGzj1bwbw7shY2SXM= =ImB5 -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Lunes, 1 de Marzo de 2004 13:07, alejo escribió:
(No se si tutearte o tratarle de usted)
* A gusto del interlocutor, siempre sin faltar.
Ya he puesto las instrucciones que me diste. (gracias)
1)-Me comentabas "...en lo tocante a no usar protocolos o servicios potencialmente peligrosos en detrimento de otros mucho mas seguros y que no usen puertos aleatorios ...
..si lo que pretendes con nfs es copiar ficheros, bajartelos etc, usa ftp o ssh"
* Donde puse ftp quise poner sftp es decir bajo cifrado, es parte de ssh.
Yo tengo activado Samba para compartir archivos e impresoras Windows (mi padre (73 años) y mi hermano son dificiles de convencer). Y NFS para ver estos PC´s cuando corren con Linux. Y no me importa reconfigurar el montaje.
* Esto es siempre lo mismo, no me tomo el trabajo de trabajar lo mas seguro posible por que total somos, mi padre, mi hermano y yo, el problema de esto es que cuando te funden la red, nadie asume su responsabilidad y cuando estes obligado a trabajar con seguridad tampoco sabras, el trabajo cotidiano bajo normas estrictas de seguridad, implica que la seguridad deja de ser engorrosa y se convierte en un habito.
Me propones usar ftp o ssh. ¿Me permiten leer/grabar ficheros Linux/Linux (uso NFS) y Linux/windows (uso Samba)? (¿y las impresoras?)
* Lo de ftp fue un lapsus-maquina, sftp, si los archivos y las impresoras estan bajo windows, habra que usar samba principalmente, pero si estan bajo linux no, se puede imprimir usando http, ipp, cups lo soporta, me niego a aceptar que pinchar en el entorno de windows sea mas facil que iniciar una sesion ssh con putty por ejemplo, simplemente es otra forma de hacer las cosas, y un usuario final tampoco tiene que hacer tantas como para que sea imposible aprenderlo, tenga la edad que tenga, yo hice la mili con armamento de avancarga, vamos que me queda poco pelo. * Trabajar desde un windows contra un linux es trivial, desde una simple sesion ssh, hasta instalar algun cliente X en los windows y trabajar de forma grafica, casi todas las aplicaciones se pueden tunelar por ssh , nfs tambien, y hay programas para montar directorios remotos en local al estilo nfs via ssh, http://lufs.sourceforge.net/lufs/ http://shfs.sourceforge.net/ , OpenAFS, etc...
2)-sincronizar directorios- ¿Que entiendes por ello? ¿Me copia-sustituye el archivo mas moderno en el resto de ordenadores? (Y con los archivos de windows tambien? (con NTFS y FAT32))
* Pues si pero las limitaciones dependeran de ti, leete el manual de SuSE veras algunas cosas mas claras, unison tiene una interfaz grafica para linux y windows, y es tan dificil como darle a una flecha para sincronizar en uno u otro sentido.
3)-Me pasaste esta instruccion y la deje en blanco "" tu sujerencia - FW_SERVICES_EXT_TCP="4662 smtp 993 995 8010 10000 22 53" tambien sugerias - FW_SERVICES_EXT_TCP="" No se que puedo o no necesitar (tampoco soy experto en windows).
* Seguramente necesites el puerto 139 o 137 o ambos para el tema samba, asi como los de nfs, tambien incorporaria el 22 que es ssh, investiga un poco.
4)- Me comentabas
# Beware to use this!
# # redirigir las llamadas procedentes de donde sea, a donde sea y puerto de #destino que sea, a un puerto dentro de la propia maquina, tipicamente para #obligar a las maquina internas a pasar por un proxy, recuerde que en windows #cualquiera puede cambiar las configuraciones de red, en este caso aunque el #cliente desactive el uso del proxy no podra acceder a lo que usted tenga #prohibido , hay va un ejemplo para la navegacion web, pero en su caso nada, #ya que no ejecte de gateway. FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128
¿Faltan las comillas finales?
* Si faltan las comillas finales, como ya te pongo el linux no ejerce de gateway por tanto es innecesario, aunque podrias instalar squid y que sea esa maquina la que albergue la cache de acelearacion para la navegacion, siempre bien entendido que al no ser el router el linux, los windows podrian cambiar en el navegador la configuracion y saltarse el proxy.
¿Para que sirve esto?
* En el propio envio queda explicado, velocidad de navegacion, seguridad etc, pero ya se ha dicho que linux no es el router por tanto a otra cosa....
a) No amenazo, es un sentir profundo mezcla de desesperacion e impotencia. b) Me da una ligera sensacion de que no estas muy a favor de windows.
* NO estoy a favor de windows y con mucho gusto cambiare de actitud cuando windows empiece a estar a favor mio, en precios, en calidad del software, en seguridad, en disponibilidad del codigo para su auditoria, etc. * Como dijo el del bigote y el habano, esta es mi opinion, pero si no te gusta, puedo cambiarla las veces que sean necesarias. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQ5MQAXFL65CppEIRAv7GAJ9Oe9Br8YN70vmGg0yShGMO+x6jpwCdECgW BWlkbkr+cd7rMVH3rZNR6Z4= =Podj -----END PGP SIGNATURE-----
Jose Maria: Gracias por tu ultima respuesta. Tardare un poco en asimilar lo que me dices. Pero lo estudiare para ver como lo pongo en marcha (o trato de). En linea de lo que hablamos "Seguridad" tengo una duda. En windows existen programas que nos cuelan que nos espian. Que webs visitamos... hasta llegan a guardar lo que tecleamos (segun he leido). ¿Existe este problema en Linux? si es asi ¿Como lo evito? ¿Existe algun programa que los encuentre? Muchisimas gracias Alejo
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Lunes, 1 de Marzo de 2004 21:08, alejo escribió:
*This message was transferred with a trial version of CommuniGate(tm) Pro* Jose Maria:
Gracias por tu ultima respuesta. Tardare un poco en asimilar lo que me dices. Pero lo estudiare para ver como lo pongo en marcha (o trato de).
En linea de lo que hablamos "Seguridad" tengo una duda.
En windows existen programas que nos cuelan que nos espian. Que webs visitamos... hasta llegan a guardar lo que tecleamos (segun he leido).
¿Existe este problema en Linux? si es asi ¿Como lo evito? ¿Existe algun programa que los encuentre?
Muchisimas gracias Alejo
* Debes entender una cosa fundamental , los sistemas de tipo unix, son basicamente sistemas basados en ficheros y permisos, es decir no atienden a las extensiones de los ficheros, un .exe en windows es un ejecutable, en linux es fichero.exe o fichero.exe.exe.exe , es decir un simple fichero dependera de los permisos que le otorgues el que tu, los de tu grupo o el resto, puedan ejecutarlo, pero NO podra autoejecutarse por arte de birlibirloque, supongamos que tu como usuario no estas autorizado a lanzar pppd para establecer una conexion por modem, te bajas un script de internet que lance pppd llamado lanzar_pppd le das permiso de ejecucion chmod 700 lanzar_pppd, si tu haces ./lanzar_pppd el promt te dira que no estas autorizado a ejecutar /usr/sbin/pppd, ahora si como root autorizas a todo dios, en aras de una supuesta facilidad, a hacer lo que le de la gana, setuidar programas, cargar modulos, montar particiones, usar la gravadora, instalar programas, lanzar demonios, abrir sockets, no pones limites al uso de disco, al uso de memoria o al numero de procesos, etc, etc, para esto la verdad mejor quedarse en windows. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQ6oSAXFL65CppEIRAp2FAJ4wDJplfeUtS1GfSJNDdejEsrpgngCfUORS h7DURk3z9SMlkQ+ECi3cEm0= =0Gw4 -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Lunes, 1 de Marzo de 2004 21:08, alejo escribió:
Gracias por tu ultima respuesta. Tardare un poco en asimilar lo que me dices. Pero lo estudiare para ver como lo pongo en marcha (o trato de).
* Por favor no envieis los mensajes por duplicado a la cuenta personal y a la lista, si uno no se da cuenta entra en la misma dinamica y hay cosas mas interesantes en que pensar, y a veces al pulsar L en kmail por ejemplo, que es enviar respuesta a la lista, coge la primera direccion que suele ser la privada, creo que ya he enviado alguno sin darme cuenta de esta forma, y procurad recortarlos a lo interesante, y no hacer top-posting, no es cuestion de ancho de banda ni cosas por el estilo, es cuestion de facilidad de lectura, esto es importante con 500 mensajes diarios de listas de correo y otros tantos de news, o se empieza a no responder y borrar la mayoria. Gracias -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQ6zoAXFL65CppEIRAhW5AJ0VKq6h85P5DBeMhedJ4Li5oIX3gwCfax95 apP3pDgwV45LTG1jctB4GtE= =ub7g -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Domingo, 29 de Febrero de 2004 22:13, jose maria escribió:
Gracias por tu respuesta. (¿Eres informatico o similar?)
Si soy un informaticamente-MEMO, soy informaticamente cuasi-analfabeto.
* Obviamente creo que esta muy claro, que lo es quien te diga que con un firewall se resuelven todos los problemas. * Debes tener en cuenta y no lo has hecho, que eres el feliz usuario 2.000.000 de windows, que llega a una lista de correo de linux, "amenazando" evidentemente en sentido figurado, con no usar linux, con no recomendar linux al vecino del quinto, y ademas informandonos y creyendotelo, que la seguridad de linux sin un firewall, es siguiera comparable a windows. * El problema no es que seas informaticamente cuasi-analfabeto, el problema es que seguramente eres informaticamente cuasi-analfabeto en windows, con el que seguramente llevas años tratando. * Windows en cuanto a calidad, seguridad interna de un sistema operativo, seguridad en las comunicaciones, etc, ha rebajado tus requerimientos y exigencias de los usuarios de informatica a niveles jamas conocidos, ese ha sido su mayor exito del que se han "beneficiado", con la complicidad y en detrimento de los usuarios, desde programadores de secano, fabricantes de software, de hardware, hasta academias de peluqueria unisex. * Resulta que no puedes leer un correo cuyo remitente no sea familia directa tuya o incorpore el N.I.F. del presidente de verisign, que no puedes navegar por internet y si lo haces es culpa tuya si accediendo a una pagina te formatean la maquina, o te meten un dialer y te sacuden 500 Euros de factura telefonica, que tu hermano invito a un amigo a tu casa y se ha llevado toda la informacion de tu contabilidad en un regrabable que tambien tenias por alli, etc, etc, etc, * Te han dicho y te lo has creido, que lo de los virus es culpa tuya, que cuando el sistema se cuelga es culpa tuya, que para arreglar errores en el sistema lo mejor es reiniciar y volver a instalar, que cuando un programa no funciona como debiera es culpa tuya, que cuando las especificaciones del producto pagado no se cumplen, no debes reclamar, que tu oblicacion es pagar por el nuevo producto, que si el producto por el que pagas no cumple ninguno de los standares es culpa de los que si los cumplen, lo que deben hacer es usar sus productos y si no que se jodan, que si se detecta un grave problema lo que tienes que hacer es esperar un mes o un año con la maquina desconectada de la red, hasta que se publique una solucion, es culpa tuya si no cumples, pues NO ......., es mentira yo ya estuve alli, y si no inviertes una milesima parte del tiempo y dedicacion que has malogrado en windows, en apreder algo en linux o en el sistema que sea, seguiras creyendo que todo lo anterior es verdad y volveras a aterrizar en una lista de bsd, plan9, OpenBeos, darwin, etc, intentando contar las excelencias de un programilla que trabaja a nivel de aplicacion como zone-alarm u otros, que no ha resuelto ni uno solo de los problemas que han tenido los usuarios de windows durante los ultimos años, ¿sera que no se usa? o lo mas probable ¿sera ese el problema real?. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAQmTeAXFL65CppEIRAlq7AJ9R42nCHOAN1qugerVeFXyYp5GZfACfW5kr gOkr6T8kKLhimq1vDyJVxxo= =1f2R -----END PGP SIGNATURE-----
pues NO ......., es mentira yo ya estuve alli, y si no inviertes una milesima parte del tiempo y dedicacion que has malogrado en windows, en apreder algo en linux o en el sistema que sea, seguiras creyendo que todo lo anterior es verdad y volveras a aterrizar en una lista de bsd, plan9, OpenBeos, darwin, etc, intentando contar las excelencias de un programilla que trabaja a nivel de aplicacion como zone-alarm u otros, que no ha resuelto ni uno solo de los problemas que han tenido los usuarios de windows durante los ultimos años, ¿sera que no se usa? o lo mas probable ¿sera ese el problema real?.
Bueno, si esto fuese barrapunto te daria +1 por inspirado ;-) Como no lo es... te pregunto, que no tengo ni idea. Por que un firewall a nivel de aplicacion (zone alarm famoso) es peor que uno a nivel de kernel, iptables (se dice asi, 'a nivel de kernel'?)? Gracias por tu tiempo, miguel PD: Por que tengo problemas con tu clave? mozilla mail me dice que eres untrusted (ala que cosas!). Intente importarla de algun servidor que mozilla me ofrecio, pero no la pudo comprobar. Donde se supone que tengo que comprobarla?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Lunes, 1 de Marzo de 2004 02:14, miguel calero escribió:
Como no lo es... te pregunto, que no tengo ni idea. Por que un firewall a nivel de aplicacion (zone alarm famoso) es peor que uno a nivel de kernel, iptables (se dice asi, 'a nivel de kernel'?)?
* Basicamente, hay muchas razones mas, los cortafuegos a nivel de aplicacion son proxys, trabajan con expresiones regulares y cosas parecidas, no son parte del sistema operativo, a los fallos del sistema operativo debes sumar los del propio cortafuegos, tratan con una aplicacion y no con el filtrado de paquetes a bajo nivel, auditando sus cabeceras, etc, todo es modificable los paquetes de los distintos protocolos tambien, asi que de entrada, alguien medianamente experto puede capturar sesiones sin demasiado problema, los clientes en las aplicaciones que ejecutan y de las que disponen en sus maquina pueden hacer con ellas lo que quieran, supongase que instalo la aplicacion patatin e intento conectar a internet al sitio de destino que quiera, protocolo que quiera y puerto que quiera, zone alarm preguntara si deja pasar a patatin, no le interesa el destino, el protocolo, el tamaño de paquete, el puerto, ni lo que trae de vuelta, eso no es un cortafuegos es un proxy y bastante basico a mi modo de ver, util en windows, inutil en linux o similares, piense nada mas en un individuo sentado delante del gateway pinchando en aceptar o denegar a las peticiones que llegan de una red interna, pongamos nada mas, que de 20 maquinas, si a iptables le suma marcado de paquetes tablas mangle, Qos, tc qdisc, etc, etc, podra ver que no hay color.
PD: Por que tengo problemas con tu clave? mozilla mail me dice que eres untrusted (ala que cosas!). Intente importarla de algun servidor que mozilla me ofrecio, pero no la pudo comprobar. Donde se supone que tengo que comprobarla?
* Que yo sepa la he subido a alguno de los servidores que trae gnupg por defecto en SuSE otra cosa es que se repliquen, no obstante, esta en http://www.letrados.org/letrados.asc , ante cualquier problema con mucho gusto se la envio. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD4DBQFAQ4txAXFL65CppEIRAtgUAJsGs4gMabpoVIOt2q2u4NHFfJq4xgCY4FlS bsJD+iEPIu4ZcxigkfV6jg== =E4oT -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Bueno, apunto algo para Alejo. El fichero de parámetros del Firewall puede configurarse de una manera sencilla y gráfica desde el centro de control (Centro de control/Módulos/Seguridad y usuarios/Cortafuegos). Una vez allí, puedes reconfigurar su parametrización mediante la elección de opciones de un sencillo cuestionario que rellenas paso a paso. Es obvio que toda configuración está sujeta a la máxima de cuanto más sencillo, menos potente; pero aún así tienes la opción de reconfigurar y posteriormente editar el archivo y afinar manualmente su configuración. Y si tenías dudas de cómo hacerlo, gracias a la clase magistral de JOse María - -gracias por lo que a mí respecta- podrás afinar tu configuración sin problemas. Saludos a todos. El Dom 29 Feb 2004 22:13, jose maria escribió:
El Domingo, 29 de Febrero de 2004 13:36, alejo escribió:
*This message was transferred with a trial version of CommuniGate(tm) Pro* Jose Maria:
Gracias por tu respuesta. (¿Eres informatico o similar?)
Si soy un informaticamente-MEMO, soy informaticamente cuasi-analfabeto.
* Esto es una deduccion tuya no una afirmacion mia.
Cada vez que hablo con vosotros es una cura de humildad pues veo un monton de cosas que desconozco. (no me ha quedado claro un tema. ¿Zone Alarm no es bueno?)
* NO, ni ningun programa cortafuegos a nivel de aplicacion, y que ademas no haga filtrado inteligente de paquetes a nivel de kernel, tipicamente para el mundo windows, suele ser una maquina dedicada, llamese cisco, o de la marca que sea, que suele cargar una variante *bsd o un linux.
El Link http://grc.com/x/ne.dll?rh1dkyd2 ¿Es bueno para testear la seguridad?
* No lo conozco ni esa ni ninguna, pero supongo que comprueba, como puedes hacer tu con nmap, si hay puertos abiertos, y servicios a la escucha, que es como no decir nada, para que los servidores den servicios del tipo que sea, deben estar escuchando.
Respondo tus preguntas: 1- Conexion- tengo dos oficinas. -1a)- 3 ordenadores y un router que me conecta con ADSL. todos los ordenadores conectan directamente. (un PC con w98 otro con XP y el otro con SUSE 9.0).
* Tienes un router en multipuesto haciendo nat, que es la opcion menos segura que hay, nat no es un cortafuegos es todo lo contrario proporciona conectividad de forma transparente, el router es alcanzable desde internet y un router es un aparatillo con un firmware empotrado, que en ningun caso es comparable a un ordenador haciendo de cortafuegos con todo un S.O. los routers que si pueden llamarse cortafuegos, son en realidad esto ultimo, compactado y con un coste que habitualmente supera a una maquina normal en mucho.
* El SuSE 9.0 es una maquina cliente en este caso, dispone de una ip interna seguramente servida por el propio router.
-1b)- 2 ordenadores y un modem ADSL. (un PC con XP conectado a internet permitiendo ICS, otro PC con SUSE 9.0 usando internet via el PC con XP)
2- router multipuesto 3- Interfaz externa. (Me has pillado- No lo se, pero si sirve estoy en España con Telefonica)
* La interfaz externa en el caso del linux, no me interesan los windows sera seguramente eth0 , es decir la primera y unica tarjeta de red que tiene, no sirve de gateway es una maquina final y no tiene interfaces internas.
* Por tanto.
/etc/sysconfig/SuSEfirewall2
* Obviaremos configurarlo como quick mode para cuando tengas que hacer algo mas complejo.
# Primera pregunta dificil, indique cual o cuales, pueden ser varias, es su # interfaz externa, los ejemplos del fichero veras que son confusos, en tu # caso que solo tienes una interfaz de red, es aun mas dificil. FW_DEV_EXT="eth0"
# # Que interfaz o interfaces sirven a redes internas, en tu caso ninguna puesto # que solo tienes la externa que la que te comunica con todo el mundo, la red # propia e internet, dificil tambien como veras. FW_DEV_INT=""
# No tienes ni zonas desmilitarizadas ni nada por el estilo asi que evidentemente: FW_DEV_DMZ=""
# # Tu maquina no ejerce de router ni Gateway-bastion asi que: FW_ROUTE="no"
# # Tu maquina no emmascara las ips de otras maquinas, es decir no hace nat, en # tu red lo hace el router, por tanto: FW_MASQUERADE="no"
# Que interfaz se encargaria de hacer el enmascaramiento en caso de estar # activado, como no esta activado lo que pongas aqui no sera tenido en cuenta, # dejalo como esta. FW_MASQ_DEV="$FW_DEV_EXT"
# Set this variable to "0/0" to allow unrestricted access to the internet. # # No tienes activado el enmascaramiento de ip por tanto aqui no tienes que # definir que redes, protocolos, etc les permites salir enmascarados. FW_MASQ_NETS=""
# # "yes" is a good choice # Prohibe a las maquinas internas acceder a servicios que corran en el # firewall salvo aquellos explicatamente permitidos, politica por defecto # DROP, obviamente si no ejerces de firewall y no tienes una interfaz interna # es una directiva que afectara a tu red local si defines eth0 tambien como # interfaz interna en la directiva FW_DEV_INT="eth0" recomendable. FW_PROTECT_FROM_INTERNAL="yes"
# Choice: "yes" or "no", if not set defaults to "yes" # # lo mismo que lo anterior para las zonas desmilitarizadas. FW_AUTOPROTECT_SERVICES="yes"
# # Que puertos al exterior, en tu caso TODO es exterior, los ejemplos son #claros, se puede poner, puerto, rango de puertos o protocolo estandard que #corresponde a puerto, vea el fichero /etc/services, en el ejemplo, se #permite el puerto 4662(mldonkey), smtp (servidor de correo podria poner el #puerto 25 y obtendria el mismo resultado, como se ha explicado #anteriormente, 993 (imaps) 995 (pop3s) 8010 (puerto de configuracion de la #suite integrada de correo CommuniGate, 10000 (webmin) 22 (ssh) 53 (servidor #dns que sirve un dominio), quite los que no le sirvan, ponga los que le #sirvan, y si no quiere ninguno dejelo en blanco, si como afirma usted lo que # sabe es de windows, sabra que puertos e infames protocolos usa ese sistema, # pongalos. FW_SERVICES_EXT_TCP="4662 smtp 993 995 8010 10000 22 53"
## Type: string # Common: domain # udp para dns, el puerto de control de mldonkey y ntp para sincronizar la # hora con un servidor de tiempo, lo mismo quite, ponga, deje en blanco. FW_SERVICES_EXT_UDP="53 4666 ntp"
## Type: string # For VPN/Routing which END at the firewall!! # Para establecer vpn's, en su caso nada FW_SERVICES_EXT_IP=""
## Type: string # # Common: smtp domain # Los servicios accessibles de la dmz, en su caso nada FW_SERVICES_DMZ_TCP=""
## Type: string # Common: domain # Lo mismo que lo anterior, para udp, en su caso nada FW_SERVICES_DMZ_UDP=""
## Type: string # For VPN/Routing which END at the firewall!! # Lo mismo en su caso nada FW_SERVICES_DMZ_IP=""
## Type: string # # Common: ssh smtp domain # puertos abiertos, a la red interna, en su caso nada ya que la red interna en #su caso es lo mismo que la red externa, su maquina es un punto final de la #red. FW_SERVICES_INT_TCP=""
## Type: string # Common: domain syslog # lo mismo para el protocolo UDP, en su caso nada. FW_SERVICES_INT_UDP=""
# For VPN/Routing which END at the firewall!! # Todo lo comentado para la interfaz externa ahora para la interna, en su caso # nada. FW_SERVICES_INT_IP=""
* Como ya comentamos todo lo relacionado a quickmode en blanco.
# QUICKMODE: TCP services open to external networks (InterNet) # (Common: ssh smtp) FW_SERVICES_QUICK_TCP=""
## Type: string # QUICKMODE: UDP services open to external networks (InterNet) # (Common: isakmp) FW_SERVICES_QUICK_UDP=""
## Type: string # QUICKMODE: IP protocols unconditionally open to external networks (InterNet) # (For VPN firewall that is VPN gateway: 50) FW_SERVICES_QUICK_IP=""
# # maquinas, redes, protocolos o puertos de destino a los que ciertas maquinas # podrian acceder, tipicamente declarar maquinas confiables, la maquina que # tengo al lado y que tambien administro yo, NO es de mi confianza, usted vera # lo que le interesa: FW_TRUSTED_NETS=""
# # Permitir o no acceso de entrada a los puertos altos no privilegiados, lo #correcto es no, y no usar programas que usen puertos aleatorios, si usa un #servidor ftp, use proxys, instale la suite ftp-proxy por ejemplo o delegate #y obligue aunque sea sockificando, a esos servidores a utilizar un rango de #puertos fijo, defina su acceso en FW_SERVICES_EXT_TCP y UDP, procure evitar #protocolos como ftp, use ssh, hay clientes para windows graficos y en linux #gftp soporta ssh si la consola no le gusta. FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
## Type: string # Common: "DNS" or "domain ntp", better is "yes" to be sure ... FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
# # Que el sistema detecte automaticamente los servicios no es buena idea, # defina usted los puertos y reglas manualmente, ya ve que tampoco es nada del # otro mundo obtener un firewall decente de forma simple. FW_SERVICE_AUTODETECT="no" # Autodetect the services below when starting
## Type: yesno ## Default: no # If you are running bind/named set to yes. Remember that you have to open # port 53 (or "domain") as udp/tcp to allow incoming queries. # Also FW_ALLOW_INCOMING_HIGHPORTS_UDP needs to be "yes" FW_SERVICE_DNS="no"
## Type: yesno ## Default: no # if you use dhclient to get an ip address you have to set this to "yes" ! # es posible que su maquina obtenga la ip de un servidor dhcp, tipicamente el # router, podria poner esto a yes, o mejor definir el puerto necesario en # FW_SERVICES_EXT_TCP como ya le comente. FW_SERVICE_DHCLIENT="no"
## Type: yesno ## Default: no # set to "yes" if this server is a DHCP server # lo mismo si su maquina fuera el servidor dhcp que otorga las ips al resto de # maquinas FW_SERVICE_DHCPD="no"
## Type: yesno ## Default: no # set to "yes" if this server is running squid. You still have to open the # tcp port 3128 to allow remote access to the squid proxy service. FW_SERVICE_SQUID="no"
## Type: yesno ## Default: no # set to "yes" if this server is running a samba server. You still have to # open the tcp port 139 to allow remote access to SAMBA. # Aqui le dan una pista de windows y alguno de los puertos que usa, mejor # nuevamente definir el puerto en la directiva ya comentada varias veces FW_SERVICE_SAMBA="no"
# Definir puertos y maquinas internas no enmascaradas, accesibles desde # internet, en su caso nada, ya que la maquina no ejerce de router. FW_FORWARD="" # # Lo mismo que lo anterior para maquinas enmascaradas, sin ip publica, # pudiendo cambiar el puerto de destino, en su caso nada por la misma razon # que anteriormente citada # FW_FORWARD_MASQ=""
# Beware to use this!
# # redirigir las llamadas procedentes de donde sea, a donde sea y puerto de #destino que sea, a un puerto dentro de la propia maquina, tipicamente para #obligar a las maquina internas a pasar por un proxy, recuerde que en windows #cualquiera puede cambiar las configuraciones de red, en este caso aunque el #cliente desactive el uso del proxy no podra acceder a lo que usted tenga #prohibido , hay va un ejemplo para la navegacion web, pero en su caso nada, #ya que no ejecte de gateway. FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128
* Lo siguiente sera para tratar con los logs via syslog.
# Choice: "yes" or "no", if not set FW_LOG_*_CRIT defaults to "yes", and # FW_LOG_*_ALL defaults to "no" # FW_LOG_DROP_CRIT="yes"
## Type: yesno ## Default: no # FW_LOG_DROP_ALL="no"
## Type: yesno ## Default: yes # FW_LOG_ACCEPT_CRIT="yes"
## Type: yesno ## Default: no # FW_LOG_ACCEPT_ALL="no"
## Type: string # # only change/activate this if you know what you are doing! FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
# Choice: "yes" or "no", if not set defaults to "yes" # Descartar paquetes, usados por distintas tecnicas conocidas, normalmente # usadas para ataques de denegacion de servicio por inundacion. FW_KERNEL_SECURITY="yes"
# # # Choices "yes" or "no", if not set defaults to "no" # # para que si usa una conexion que use ppp al terminar la conexion, pare el #firewall haciendo un flush de rutas, lo recomendable es añadir al script de #parada de la conexion /etc/ppp/ip-down una llamada a #/etc/init.d/SuSEfirewall2 stop y dejar esto en no FW_STOP_KEEP_ROUTING_STATE="no"
# # admitir ping o no al firewall, la dmz, etc. FW_ALLOW_PING_FW="no" # FW_ALLOW_PING_DMZ="no"
# FW_ALLOW_PING_EXT="no"
# Choice: "yes" or "no", if not set defaults to "no" # # Lo siguiente es para permitir traceroute, icpm, etc, yo lo pondria todo a no #puesto que icpm sourcequench en teoria tampoco lo necesita, ya que esta #maquina no trata con el isp, se necesitaria en el caso que si lo fuera y su #conexion dependiera de que el isp vea, enviando estos paquetes, que estas #"vivo" FW_ALLOW_FW_TRACEROUTE="no"
FW_ALLOW_FW_SOURCEQUENCH="no"
# # Las maquinas windows generan trafico de broadcast, continuamente aunque no # se este haciendo nada, en muchos casos si estos paquetes "colleja" no llegan # el infame protocolo netbios muere, yo lo pondria a no y si no se ve la red # desde windows, pulse F5 repetidas veces en el entorno de red de windows, # para reanimar el cadaver
FW_ALLOW_FW_BROADCAST="no"
## Type: yesno ## Default: yes # FW_IGNORE_FW_BROADCAST="yes"
# # definir distintas opciones de routing con varias interfaces, en su caso # nada. FW_ALLOW_CLASS_ROUTING="no"
# # SuSEfirewall2 es una interfaz sencilla, decentemente potente, pero muy # limitada para tratar con las extensas capacidades y potentisimo netfilter de # linux, aqui puede definir un fichero, vea el propuesto por defecto, para # incluir directivas usando reglas iptables directamente, no obstante si # necesita contruir un cortafuegos complejo, use un script con reglas iptables # directamente y no SuSEfirewall2. #FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" FW_CUSTOMRULES=""
# # "remitir" a origen los paquetes recibidos tipicamente cuando le hagan un # escaneo de puertos, mi recomendacion es que no, dejelos caer, mejor que el # atacante pueda pensar que alli no hay nada, que le pique la curiosidad y se # tome interes. FW_REJECT="no"
# # Una simple equalizacion de la linea, en adiccion con wondershaper, si el # router estuviera en monopuesto y esta maquina fuera el gateway-bastion, en # lineas asincronas es fundamental que las colas de retraso se produzcan, las # controle y las gestione linux y no ese aparatito, sea router o modem adsl, # que no tiene una milesima de la potencia y capacidades de un pc con linux. FW_HTB_TUNE_DEV=""
* Tambien tiene el paquete Personal-firewall o algo por el estilo, no lo recuerdo, que es aun menos potente y que es aun mucho mas simple, en su fichero de configuracion, solo debe poner puerto o nombre de servicio equivalente que quiera abrir en su maquina, algo del estilo: ssh, 80, etc, osea mas facil que zone alarm, y no tiene que estar un usuario de guarda-agujas pinchando en aceptar cuando se recibe una peticion.
* Si quiere que se ejecute permanentemente y se inicie en el arranque como root , insserv SuSEfirewall2_setup insserv SuSEfirewall2_init insserv SuSEfirewall2_final o habilitelo con yast, cuando cambie una variable del fichero de configuracion, para que tome los cambios, rcSuSEfirewall2 restart, stop para pararlo y start para iniciarlo manualmente a conveniencia.
* No parece tan dificil conseguir algo que pueda calificarse de firewall, ¿o si?
- -- Firmado digitalmente por: Luis Guillermo Torres Sanjuán. -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQELw5TmQNpi3VdGjAQFZNQgAvgL/V7CZRItqgZMLagNkr8vcQA/KIdlb s7uh1l7JXBfzC5oGgi7QAAfMKIdWxZ2I/LMMz2Squ/Y3Iq9z/Osxja0K6fkPHkJ3 6CGFl2+in1Ta3bPbHhmodr7YTvDETYCGWhOUKUNspVplf+0riWMDldHv+La9c86+ UnQ9AQU6cQohqy1BGmgyXn4XGYUqHD3Dyr//b1tBpHKdogSc8ZO21AzRHr74P808 JPQeJ3KqamIxYsF99dLHPyl+xvkA3eNqMja4dLrBVc4jBqbB+fr49F5EXTvgiqEF JbZJYkl03eJLyjYyhnxgD90wdvZCkGu6xthI+mDoxYKS+emYWHc48g== =1IX4 -----END PGP SIGNATURE-----
participants (8)
-
alejo
-
Jesus L. Paleo
-
JOSANable
-
jose maria
-
Luis T
-
miguel calero
-
Omar Yague
-
Victor Perez Pereira