Re: Elección de Firewall
Matias escribió:
Tienes razón en parte. Un firewall, no solo debería filtrar paquetes,
si no que también tiene que rutear (y activar una que otra cosa).
Mayormente, por lo que vi de shorewall, ayuda con varias tareas de la
implementación de un firewall, haciéndolas más fáciles. Pero no deja
de ser un script hecho en "#!/bin/sh". O dicho de otra forma, el
tiempo que "yo" pasaría para leer y entender todo lo que hacen los
scripts que utiliza shorewall (o cualquier otro programa de este
tipo), sería mayor que el tiempo que pasaría en integrar algún IDS con
IpTables (y tomar las medidas necesarias para no hacer un auto-DoS).
¿Que pasa si es un script? ¿Un script no es un programa? La
configuracion no solo es mas sencilla sino que la puedes hacer pensando
en subredes, hosts, interfaces, politicas y reglas, de una forma mas
comprensible que directamente con iptables. Un firewall funciona a un
nivel mas abstracto y superior que iptables, iptables solo es una
herramienta de filtrado de paquetes.
El firewall permite hacer mas comprensible la configuracion de los
filtros, y ganar en seguridad al reducir las posibilidades de error
configurando estos, aparte comprueba que no se hayan cometido algunos
errores en la configuracion. Te recomiendo que mires la web de
shorewall, www.shorewall.net para saber mas, y mirar los ficheros de
configuracion en /etc/shorewall.
Para usarlo es muy facil:
shorewall start
shorewall restart
shorewall clear
shorewall stop
Se que lo que digo puede sonar "bastante fundamentalista", y para
salir del paso uno de estos scripts funcionan perfecto, pero para mi
gusto no sirven demasiado, suelen agregar cosas inútiles para ciertos
casos (que para mi fueron la mayoría, aunque nunca antes había probado
el shorewall, pero si otros).
Suena a "yo soy muy macho y la gente como yo usa iptables a pelo". :)
Perdonad por la extensión, pero ando liado tratando de ver la mejor
forma de hacer un router/firewall para para redes wireless, y ya he
caído con otros programas que prometían ser "firewalls", pero que eran
simplemente un conjunto de reglas para el IpTables.
No lo pillo, pero bueno, si eres mas feliz usando iptables, para eso
esta la libertad de eleccion.
Saludos.
--
Bernardo Arlandis Mañó
http://personales.ya.com/berarma/
Reply to: