Firewall en gentoo?

fdisk · n00b Joined: 04 Sep 2003 Posts: 59

No estoy muy puesto en esto de los firewalls.
Alguien se ha instalado el iptables y ha conseguido tener un firewall en su gentoo? Me he leido manuales del iptables y la verdad no he entendido mucho y ya me estoy cansando de que cada vez que hago pruebas pierdo la conexion.

Alguien puede darme algun consejo ? Gracias...

cnyx · l33t Joined: 17 Jul 2003 Posts: 883 Location: Valencia

jajaja a mi me pasa lo mismo.
Prueba firestarter, No le saca todo el partido a iptables pero se pueden hacer cosas facilmente
un saludo

-RdX- · Posted: Tue Dec 23, 2003 2:05 pm Post subject:

donde te atascas? que pretendes hacer? te puedo ayudar a configurar algunas reglas..

fdisk · n00b Joined: 04 Sep 2003 Posts: 59

Mi idea era tener todos los puertos cerrados excepto http, mysql y ssh.
No responder a pings y logear los barridos de puertos.

Esa es la idea, pero no acierto ni una. No se ni donde guardar las reglas.
Por ahi dicen que no se hace como demonio si no como un script que se arranca al iniciar el equipo, pero la verdad ni idea.

Gracias.

-RdX- · Posted: Tue Dec 23, 2003 5:09 pm Post subject:

Vale pues se me ocurre que puede ser algo asi:

$ipe = tu_ip

iptables -P INPUT DROP
iptables -t filter -A INPUT -i lo -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp -s 0/0 --sport 1024: -d $ipe --dport 80 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -s 0/0 --sport 1024: -d $ipe --dport 3306 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p udp -s 0/0 --sport 1024: -d $ipe --dport 3306 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -s 0/0 --sport 1024: -d $ipe --dport 22 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp ! --syn -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p icmp --icmp-type ! echo-request -j ACCEPT

Explico de arriba a abajo:
- especifica que por defecto todo lo entre se tire excepto lo contenido en estas reglas:
- lo que entre por la interfaz lo se acepte pq se supone que es nuestro
- aceptamos lo que venga al puerto 80 y provenga de cualquier ip y cualquier puerto del 1024 para arriba tcp
- lo mismo de antes pero para el puerto de mysql tcp
- lo mismo de antes pero para el puerto de mysql udp
- lo mismo de antes pero para el puerto de ssh tcp
- aceptamos todo lo que entre y no contenga el bit de syn activado (esto sucede cuando solicitan una conexion a nuestra maquina, alguien se intenta conectar a nosotros). Entonces esta regla debe de permitir que nosotros hagamos conexiones al exterior pero no permitira ninguna del exterior a nosotros.
- la ultima es para aceptar todos los paquetes icmps excepto el echo-reply que es el del ping

esto lo he hecho rapido, seguramente se me escape algo.
Si me he equivocado que alguien me corrija

Talue!

RAPUL · Posted: Wed Dec 24, 2003 10:13 am Post subject: Hmmm

Pon que reglas quieres y te ayudamos a hacer un script de iptables o poner las reglas de iptables.

Pero primero diseña de manera clara y concisa que reglas de filtrado, nat, forwarding etc... quieres establecer y te puedo dar la sintaxis para hacerlas con IPTABLES.
_________________
Entropy rulz world.
Redundancy sux.
World is full of redundancy.
World sux.

[krunch] · n00b Joined: 28 Dec 2003 Posts: 8

Hola, puedes hecharle un vistazo tb a FWBUILDER

http://www.fwbuilder.org

http://www.fwbuilder.org/images/screenshot1.png

http://www.fwbuilder.org/images/screenshot9.png

Colic

Una vez q hayas configurado iptbales bien pa q se te keden para siempre...
rc-update add iptables default
pa arrancar el demonio solo

y /etc/init.d/iptables save
para guardar las reglas de iptables pa siempre enga

_________________
.: UJIER AT THE RACCON CITY OF CASTELLON :.

RAPUL · Posted: Thu Jan 01, 2004 1:54 pm Post subject: Kmyfirewall

Tambien podrias probar kmyfirewall que es un frontend de iptables para kde... te puede ayudar a definir las reglas de iptables.
_________________
Entropy rulz world.
Redundancy sux.
World is full of redundancy.
World sux.

fedekapo · Posted: Thu Jan 01, 2004 5:39 pm Post subject: Re: Kmyfirewall

Yans · Posted: Thu Jan 01, 2004 10:12 pm Post subject:

yo uso el FreeBSD solo para el firewall lo tengo con el ipfilter, me gusta mas que el iptables la sytaxis del iptables confronto a ipfilter o al PF de OpenBSD es mucho mas sucia....
_________________
¿ Which do ARMS obtain, the peace in the future or the nightmare in the past ?
"There are only 10 types of people in the world: Those who understand binary, and those who don't"

krusty_ar · Posted: Fri Jan 02, 2004 2:12 pm Post subject:

Uno de los scripts de FW mas fáciles de usar que conozco es Shorewall (busca en google), incluso viene con ejemplos de los distintos tipos de escenarios posibles
_________________
I am Beta, don't expect correct behaviour from me.
Take part of the adopt an unaswered post initiative

kiwnix · n00b Joined: 26 Jun 2003 Posts: 1 Location: Madrid, Spain

Un asistente muy sencillo y bastante curioso es firewall-jay , tiene un asistente de configuracion y alguna cosilla curiosa (Ajustat TOS, QoS , ...)

web oficial -> http://firewall-jay.sf.net
ebuild -> https://bugs.gentoo.org/show_bug.cgi?id=36862