pet PET ha escrito:
que se recomienda para montar un firewall en debian?instale lo basico (en woody) y el ssh2 pero nada mas...tengo mis 3 placas 10/100 (la idea era una DMZ)pero como novato no se que se necesitaipchains, iptables, queeee???si algun teacher generoso desea enseniar , graciass... nada que ver con debian pero...alguien sabe donde consigo un manual de mysql en castellano ??? perdon por la molestia
Qué tal!
Te cuento, yo tengo ipchains (sólo podés usar kernels
hasta 2.4) en mi maquina, está da salida al Mundo
(Internet) a otros dos PC con güindos =)
Está maquina que tiene configurada determinadas reglas
de ipchains y que permite
a las otras salir hacia Internet.
En principio cuando instale debian en ella, deje el kernel que
trae por
defecto la instalación (2.2.19) que no está mal
(luego compile desde las fuentes
un 2.2.20).
Ya incluye dentro del mismo a ipchains (whereis ipchains, y la
salida te da esto
/sbin/ipchains), para que funcione prolijo, debes hacer ciertos
retoques como por
ejemplo:
tumaquina# less /etc/network/options
ip_forward=yes
spoofprotect=yes
syncookies=yes
------------------------------------------
Y poner como valor en yes a ip_forward, necesario para poder utilizar
enmascaramiento de IP, spoofprotect ya evitar el spoofing y syncookies,
para
proteger el kernel ante ataques.
Si esto lo tenés así, perfecto lo único que
te queda es definir las reglas de
filtrado:
Yo te pongo algunos ejemplos y vos lo ves y vas probando...
Las reglas están comentadas, está fácil...
una vez que estes práctico seguro te
haces las tuyas a medida
-------------------------------------------------------------------------------------------------------------------------------------
Te aclaro que la IP (180.26.4.11 es de ejemplo y esta sería
la que está conectada
al router que te da conexión a Internet... router o lo
que fuera! y la 192.168.0.100 es la
segunda IP de la otra tarjeta de red, que es la que está
conectada a la Intranet o LAN interna ok!)
Fíjate y experimenta un poco con las reglas...
# Comenzamos haciendo un flush. Esto limpia todas las reglas que
# pudiéramos haber introducido previamente
/sbin/ipchains -F
# Después aplicamos por defecto tres reglas que dicen que:
# Se cierran las conexiones de entrada por defecto
/sbin/ipchains -P input DENY
# Se cierran las conexiones de forward por defecto
/sbin/ipchains -P forward DENY
# Se abren las conexiones de salida por defecto
/sbin/ipchains ?P output ACCEPT
# Después de las reglas de política por defecto,
# aplicamos reglas que hagan referencia a conexiones a
# dispositivos o puertos concretos
# Aceptamos las conexiones de entrada desde procesos locales
# (por el interfaz .lo.)
/sbin/ipchains -A input -i lo -j ACCEPT
# Aceptamos las conexiones de entrada provenientes de IPs
# de la red local (o sea, que entren por cualquier
# interfaz excepto eth0)
/sbin/ipchains -A input -s 180.26.4.11 ?i! 192.168.0.100 -j ACCEPT
# Rechazamos los fragmentos de paquetes ICMP
/sbin/ipchains -A input -p icmp -f -d 180.26.4.11 -i 192.168.0.100 -j DENY
# Pero aceptamos los paquetes ICMP normales, para que
# nuestro equipo responda a pings, por ejemplo.
/sbin/ipchains -A input-p icmp -d 180.26.4.11 -i 192.168.0.100 -j ACCEPT
# Rechazamos en todo caso las conexiones TCP y también
las UDP
# a algunos puertos típicos de troyanos como BackOrifice
o SubSeven.
/sbin/ipchains -A input -p udp -d 180.26.4.11 12345:12346 -i 192.168.0.100
?j
DENY
/sbin/ipchains -A input -p tcp -d 180.26.4.11 12345:12346 -i 192.168.0.100
-j
DENY
/sbin/ipchains -A input -p udp -d 180.26.4.11 31337 ?i 192.168.0.100 ?j DENY
/sbin/ipchains -A input ?p tcp ?d 180.26.4.11 31337 -i 192.168.0.100 ?j DENY
/sbin/ipchains -A input -p udp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY
/sbin/ipchains -Ai~ut -p tcp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY
# Rechazamos también las conexiones al puerto de MYSQL
/sbin/ipchains -A input -p udp ?d 180.26.4.11 3306 -i 192.168.0.100 -j DENY
/sbin/ipchains -A input -p tcp -d 180.26.4.11 3306 -i 192.168.0.100 -j DENY
# Rechazamos todas las conexiones que no sean las anteriores claro,
de entrada
# al puerto 1024 y a cualquiera por encima de él (por
eso los ?:? que equivalen
# aquí a 1024:65535)
/sbin/ipchains -A input ?p udp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY
/sbin/ipchains -A input ?p tcp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY
# Enmascaramos las conexiones de forward desde direcciones IP
de la red local
# hacia el exterior (o sea, salientes por el interfaz eth0)
/sbin/ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ
-------------------------------------------------------------------------------------------------------------------
anda probando vale, es lo mejor...
mucha suerte
andrés