  Firewall y contabilidad de paquetes
  Introducción


  11..  TTaarreeaass

  Muchas redes privadas no están conectadas directamente con Internet
  por razones de seguridad. La máquina enrutadora que hace de barrera
  entre la red pública y la red privada se llama firewall. Firewall es
  como si fuera un componente de un carro que protege al pasajero del
  fuego y de una posible explosión del motor.
  \index{Linuxconf!firewall}

  Esa analogia viene del hecho de que _I_n_t_e_r_n_e_t es un lugar "caliente", y
  en ciertas oportunidades muy caliente. Es una buena idea limitar el
  impacto de _I_n_t_e_r_n_e_t en su red privada.


  22..  FFiillttrraaddoo ddee ppaaqquueetteess

  El filtrado de paquetes hace que su computador acepte o descarte
  paquetes IP, basado en el siguiente criterio:

  \index{Linuxconf!firewall!filtrado de paquetes}


  ·  Origen

  ·  Destino

  ·  Interfaz de recibimiento

  Origen y destino son evaluados por:


  ·  Número IP

  ·  Número del puerto

  ·  Protocolo


  33..  RReeggllaass bbiiddiirreecccciioonnaalleess

  \index{Linuxconf!firewall!reglas}

  Las reglas que usted está haciendo son bidireccionales. En una
  pantalla, usted evalúa los paquetes que vienen del origen para un
  destino y viceversa.  Es por eso que usted puede especificar la
  interfaz dos veces.


  44..  RReeggllaass ddee bbllooqquueeoo

  Usted puede controlar los paquetes que su máquina acepta cuando
  llegan. Las reglas de bloqueo lo dejan descartar paquetes en el
  momento de su llegada.


  55..  RReeggllaass ddee rreeeennvvííoo

  Usted puede controlar los paquetes que están para salir de su máquina.
  Usted puede descartar paquetes en el momento de su salida. Muchos
  firewalls pueden ser implementados utilizando reglas de bloqueo. Un
  caso especial de las reglas de reenvío son las reglas de
  enmascaramiento, que son administradas en la misma pantalla (usa
  opciones sencillas).


  66..  AAccttiivvaarr llaass rreeggllaass gglloobbaall oo sseelleeccttiivvaammeennttee

  Usted puede desactivar permanentemente una o todas las reglas sin
  excluirlas. Eso es útil para una primera prueba de las capacidades de
  un firewall y para establecer políticas "mutables". Cada regla tiene
  una opción para activarla.

  En una pantalla es posible activar/desactivar todas las reglas de
  bloqueo y todas las de reenvío de una sola vez.


  77..  CCuuaannddoo ttooddoo ssaallee mmaall

  El firewall en _L_i_n_u_x puede ser fatal. Una mala configuración puede
  derribar la máquina. Un comando que puede salvarle la piel es:


               netconf --resetfw


  Este comando desactiva todas las reglas de firewall. Éste no afecta a
  la configuración, sólo a las reglas vigentes. Un


               netconf --update


  reactivará las reglas. Puede ser queusted necesite emplear estos dos
  comandos para revisar si un mal funcionamiento de su red tiene como
  causa o no las reglas de firewall.


  88..  LLaa llóóggiiccaa ddeell ffiirreewwaallll ccoonn eell LLiinnuuxxccoonnff

  El firewall en_L_i_n_u_x es altamente flexible y puede llegar a ser muy
  complicado. El _L_i_n_u_x_c_o_n_f propone una lógica que simplifica la
  composición de las reglas de firewall. A pesar de que esa lógica ayuda
  a crear y mantener un firewall básico, algunas configuraciones no
  pueden ser creadas con el Linuxconf. Presentamos a continuación la
  lógica empleada:


  88..11..  LLóóggiiccaa ppoossiittiivvaa

  Cuando usted activa uno de los 3 sistemas de firewall (entrada,
  reenvío, salida), el _L_i_n_u_x_c_o_n_f definirá la política estándar para
  _b_l_o_q_u_e_a_r. Todas las reglas que usted coloque son brechas en el
  firewall. Si usted no coloca ninguna regla, su máquina quedará
  aislada, y puede que responda o no.


  88..22..  UUnnaa ssoolluucciióónn pprreeffaabbrriiccaaddaa ddee ffiirreewwaallll

  He aquí un ejemplo para una red sencilla. A lo sumo, usted tiene una
  eth0 apuntando para la red local. Ninguna persona de fuera debe
  acceder esa red.  La eth1 apunta para un enrutador en Internet.


  88..22..11..  RReeggllaass ddee bbllooqquueeoo:: aacceeppttaannddoo ttooddooss llooss ppaaqquueetteess IICCMMPP


               Protocolo               ICMP
                               -----------De-----------------
               Máquina o red 0.0.0.0
               Máscara
               Faja de puertos
               Otros puertos
               Interfaz                eth1
                               -----------Para---------------
               Máquina o red eth1
               Máscara
               Faja de puertos
               Otros puertos
               Interfaz       Any


  88..22..22..  RReeggllaass ddee bbllooqquueeoo:: aacceeppttaannddoo ssóólloo ppaaqquueetteess DDNNSS


               Protocolo               udp
                               -----------De-----------------
               Máquina o red 0.0.0.0
               Máscara         0.0.0.0
               Faja de puertos
               Otros puertos
               Interfaz                eth1
                               -----------Para-----------------
               Máquina o red eth1
               Máscara
               Faja de puertos
               Otros puertos
               Interfaz       Any


  99..  EEssttaaddoo ddeell ssooppoorrttee aall ffiirreewwaallll eenn LLiinnuuxxccoonnff

  El firewall es un tópico caliente hoy en día y también es un arte que
  se considera aún como oscuro. El _L_i_n_u_x_c_o_n_f está intentando volverlo un
  poco más accesible. El autor espera recibir comentarios referentes a
  este tópico.