SoloCodigo
Sistemas Operativos => GNU/Linux => Mensaje iniciado por: cluster en Jueves 4 de Mayo de 2006, 01:59
-
hola tengo q configurar un firewall en redhat ya descarge el webmin y tengo las opciones de firewall linux y firewall Shorewall pero no tengo ni idea que es lo que toca configurar y para que sirven un poco de cosas que estan hay algien q me de una manito con eso.
-
quien ha manejado el WEBMIN
-
http://www.linuxtopia.org/Linux_Firewall_iptables/index.html (http://www.linuxtopia.org/Linux_Firewall_iptables/index.html)
http://www.swelltech.com/support/webminguide/ (http://www.swelltech.com/support/webminguide/)
Con eso tienes
-
hola su cual firewall tienes instalado.
-
Yo estoy tra un router, asi que... no uso alguno.
Pero aqui hay algunos:
http://www.fwbuilder.org/ (http://www.fwbuilder.org/)
http://freshmeat.net/browse/151/ (http://freshmeat.net/browse/151/)
-
hola su cual firewall tienes instalado.
Solo hay un firewall, los demas son front end como el iptable, el firewall reside dentro del kernel de linux.
el iptables se maneja de forma de tabla donde la ultima orden tiene prioridad sobre la primera es decir, puedes bloquear todo en la primera orden y desbloquear una ip o varias en la seguda, las reglas se aplican de forma cronologica y logica
Te voy a poner unos ejemplos para que te des una idea de como funciona, pero es mejor que leas el manual
iptables -t filter -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.0.0/24 -j ACCEPT
iptables -t filter -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j
ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type ! echo-request -j ACCEPT
#servicios conocidos
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 23 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 25 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 53 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 80 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 110 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 111 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 139 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 143 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 513 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 514 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 515 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 587 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 677 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 901 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 2049 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 3306 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 6000 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 6699 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 10000 -j DROP
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 6666 -j DROP
en tu script debes comentar las lineas que hagan referencia a un servicio que si quieres dar, como el web es el puerto 80 si no lo comentas lo bloqueas, igual puedes ir agregando lineas de otros servicios que no haya puesto
las reglas son simples dicen si la conexion no proviene de la red interna con 24 bits osea mascara 255.255.255.0 entonces bloquealo. La mayoria de las redes internas estan configuradas en los bloques de 192.168
Esta linea hace referencia al webmin y lo protege
iptables -t filter -A INPUT -s ! 192.168.0.0/24 -p tcp --dport 10000 -j DROP
dice asi:
"iptables en la tabla de filtros" (-t filter) "agrega regla para conexion al servidor" (-A INPUT) mientras no venga de (-s !) ("el ! es negacion") "cualquier ip en la red 192.168.0.x" (192.168.0.0/24) "por el protocolo tcp" (-p tcp) "y el puerto 10000" (--deport 10000) "Si la regla no sea verdadera, BLOQUEA,CORTA LA CONEXION" (-j DROP)
Espero te sirva
En resumen si la conexion al webmin no proviene de tu intranet o red interna y viene de internet, debe bloquearla
-
Yo tengo el que trae por defecto. ¿Sirve o tengo que instalar uno? :blink:
-
el que trae por defecto es el del kernel y su front end ifconfig viene incluido en cada distro no requieres instalar otro front end
-
lastdragon has manejado alguno de los que trae el webmin o el firewall jay?. tienes algun manual ? y con que programas podria pobar o atacar el firewall.
PD tengo el rh 9
gracias.
-
el que trae por defecto es el del kernel y su front end ifconfig viene incluido en cada distro no requieres instalar otro front end
:huh: iptables es un administrador para IPv4 y NAT, no se a que firewall te referis, me podrias desi como se llama que me gustaria parcharla.
Por sierto, ifconfig es para configurar la red que reside en el kernel.
Sea iptable un "filtrador".
con que programas podria pobar o atacar el firewall.
Busca en Yahoo/Google sniffer(TCP, o depende del protocolo), que yo sepa es la unica manera.
-
Yo tengo el que trae por defecto. ¿Sirve o tengo que instalar uno? :blink:
http://freshmeat.net/projects/fwbuilder/ (http://freshmeat.net/projects/fwbuilder/)
Si ves, cada OS tiene su filtro ip, iptables no es un firewall, el firewall es ese programa/script que une todos las lineas de comando que pone Last Dragon.
Hmm, me descargue el 2.6.16 y no veo ningun firewall, solo iptables, arp-tables....
Que no lo encuentro.
aver, find linux-2.6.16/ -name "*firewall*" -print
nada... :o
-
su -
si esperas encontrar un modulo que diga firewall en linux va a estar dificilicimo
tal vez si me defines que hace un firewall tecnicamente como programador, yo lo leere y seguramente te preguntare.
Describeme por favor que hace el filter del kernel y oh sorpresa, tecnicamente son eso.
En mi tierra dicen que.
Si huele a pollo, Sabe a Pollo y parece Pollo. Entonces ES UN POLLO
en mi post anterior escribir que ifconfig viene incluido en cada distro como el front end del firewall de linux, mi error. Estaba configurando una interfase de red en otra maquina, realmente quise escribir iptables
Entonces lo que diria es
En cada distro de linux en el kernel viene activado el firewall y el iptables es su front end
-
si esperas encontrar un modulo que diga firewall en linux va a estar dificilicimo
:D De eso me di cuenta en buscarlo.
tal vez si me defines que hace un firewall tecnicamente como programador, yo lo leere y seguramente te preguntare.
Es el control central de la salida y entrada de una red de conecciones TCP/IP.
Describeme por favor que hace el filter del kernel y oh sorpresa, tecnicamente son eso.
Es el control de la salida/entrada de un puerto TCP, yace la diferencia, iptables seria los huecos de un colador, el firewall seria el colador mismo, asi que no, no es lo mismo. B)
Si huele a pollo, Sabe a Pollo y parece Pollo. Entonces ES UN POLLO
Has comido pavo, meleagris o guajolote como dicen en tu pais? :P
Save a pollo, huele a pollo, parece pollo pero no es pollo :lol:
En cada distro de linux en el kernel viene activado el firewall y el iptables es su front end
Si pero no, depronto tu sabes mas (no lo digo sarcasticamente) pero creo que es el administrador de IPv4 e IPv6 del sistema operativo (no del kernel) puesto que si ves los links anteriores, son demonios de /etc y no modulos del kernel.
Y no en todas las distros vienen instalados las firewalls, como Slackware.
-
Se que no viene al caso pero, El pavo no sabe ni se parece al pollo, la carne tampoco entre los animales tampoco se parecen ni vivos
Bueno si vi los otros links y en el caso de Linux son un front end del front end, si les borras el ifconfig y el iptables el programa deja de funcionar, lo que hace incluso el wemin todos los demas front ends es que crear el comando.
Tu en el programa gui le pones tus opciones y al darle aplicar por medio de los valores el programa construye un iptables -t bla bla bla bla y luego llama system y lo ejecuta
linux maneja todo el asunto de nat y filtros dentro del kernel, he visto que en BSD algunos programas si se manejan por separado, creo que en FreeBSD el demonio que hace nat es natd, pero en linux no hay ningun natd, todo ya viene dentro del kernel cuando mucho vendra en modulos del kernel pero no como progrmas y demonios separados
no entendi bien a bien el asunto de ipv4 e ipv6 pero eso tambien lo controla linux en el kernel, si en el kernel lo compilas sin soporte a ipv6 no habra programa ni demonio ni root que lo obligue a usar ipv6
No se como opere en todos los *nix, pero en linux el firewall esta dentro del kernel junto con el nat
-
esto a lo mejor no sea el ejemplo correcto para hablar de front end pero va, hablando de grabadores de cd o dvd en linux
Los Guis para grabar disco en linux, son front end del cdrecord
seleccionas todo en el gui, la velocidad, lo que quieres grabar. y le das grabar
el gui lo unico que hace es facilitarte la vida, haciendo un system ("comando");
y que comando construye
mkiso bla bla bla construye el iso de acuerdo a lo que en el gui seleccionaste
y luego ejecuta con otro system
cdrecord masel.iso -speed X
y empieza a grabar el disco, pero al final el gui solo sirve de front end para construir los comandos del verdadero programa el cdrecord
-
linux maneja todo el asunto de nat y filtros dentro del kernel, he visto que en BSD algunos programas si se manejan por separado, creo que en FreeBSD el demonio que hace nat es natd, pero en linux no hay ningun natd, todo ya viene dentro del kernel cuando mucho vendra en modulos del kernel pero no como progrmas y demonios separados
NAT (Network Address Translation - Traducción de Dirección de Red) es un estándar creado por la Internet Engineering Task Force (IETF) el cual utiliza una o más direcciones IP para conectar varios computadores a otra red (normalmente a Internet), los cuales tiene una dirección IP completamente distinta (normalmente una IP no válida de Internet definida por el RFC 1918). Por lo tanto, se puede utilizar para dar salida a redes públicas a computadores que se encuentran con direccionamiento privado o para proteger máquinas públicas.
El firewall solo el trafico "IO".
Ademas, mira, rc.firewall : http://www.honeynet.org/tools/dcontrol/rc.firewall (http://www.honeynet.org/tools/dcontrol/rc.firewall)
Definitivamente es un demonio del OS, y no del kernel, el kernel en si no tiene ningun demonio.
no entendi bien a bien el asunto de ipv4 e ipv6 pero eso tambien lo controla linux en el kernel, si en el kernel lo compilas sin soporte a ipv6 no habra programa ni demonio ni root que lo obligue a usar ipv6
A lo que me referia, era que IPv* (Internet Protocol Version *) es dada por el kernel (libnet/socket/arpa y demas) pero los administradors de estos protocolos solo son del SO y no son modulos directos del kernel, ningun kernel trae esto esto es del SO.
Si etoy mal, perdon pero es lo que yo entiendo.
:hola:
-
Ok, bueno al final lo importante es que ya sea con el script que le puse o con los programas sugeridos llegamosa que la duda fue contestada, asi que este hilo cumplio con su comentido o al menos eso espero.
Last Dragon