  Internet firewall
  Introducción


  En el momento en que un computador se anexa a internet, se abre la
  posiblidad de que algún número de usuarios de la red conecte con él.
  No todos tienen buenas intenciones. Este firewall de internet es muy
  sencillo y está pensado para aquellos que quieren conectar con inter­
  net pero tienen un conjunto de servicios muy triviales para ofrecer a
  los demás. Esto probablemente le ocurre al 90 % de todos los servi­
  dores de internet.

  11..  PPrriinncciippiiooss

  _L_i_n_u_x ofrece un conjunto estándar de servicios activos que incluyen:
  servidor de internet, telnet, ftp,etc... y están activos por
  definición.  Es difícil para los principiantes determinar qué ofrecen
  tales servicios y porqué deberían estar inaccesibles desde internet.

  Este firewall, primero, determina qué son estos servicios mediante
  referencias a servicios de escucha, presentándose una lista con un
  botón donde dar un clic si quiere que el servicio esté accesible desde
  internet.


  Si el computador no ofrece ningún servicio a internet, podría ser una
  buena idea de habilitar por lo menos uno. Este es el 113/auth entanto
  que habilita a _o_t_r_o_s sistemas para identificar quién es _u_s_t_e_d cuando
  conecte con _e_l_l_o_s.


  22..  EEnnttrraaddaa

  Toda entrada al interfaz de internet será direccionada a una cadena de
  filtros.  Los puertos que son aceptados están abiertos. Además todos
  los puertos desde el 1024 para arriba están también abiertos (estos
  puertos se usarán para accesos locales hacia internet). Cualquier
  servicio activo en este rango que esté aceptado será explícitamente
  rehusado.


  Cada servicio nuevo que se activa más tarde en el sistema será
  inaccesible desde internet hasta que el correspondiente puerto se
  abra.


  De todas formas, si se activa un nuevo servicio en un rango por encima
  de 1024 será posible acceder a él mientras se está reconstruyendo el
  firewall. Solamente entre en el cuadro de diálogo y dé un clic en _O_K y
  ya está.


  33..  EEmmmmaassccaarraarr//NNAATT

  Si tiene una red local probablemente quiera acceder a internet desde
  otros sistemas conectados a él. Este firewall lo asume en caso el
  forwarding (véase forwarders) esté activado en _L_i_n_u_x.


  Si una red local tiene uno de estos rangos:10.0.0.0-10.255.255.255,
  172.16.0.0-172.31.255.255 o 192.168.0.0-192.168.255.255 (RFC1918) se
  hará el emmascarado.


  Esta es una técnica que habilita a cualquier computador perteneciente
  a la red local a acceder a internet sin dejar que los demás sepan que
  tiene más de un computador.


  44..  FFoorrwwaarrddiinngg

  Este firewall también asume que la función de forwarding está
  generalmente activa en _L_i_n_u_x, sinó ningún host de la red local será
  capaz de acceder a internet.


  Si el forwarding está activado se añadirán las reglas necesarias para
  controlar el tráfico para esta función.


  55..  SSaalliiddaa

  Este firewall sólo realiza filtrado a la entrada, con una excepción,
  se asegura de que todos los paquetes salientes de la interfaz internet
  tengan la misma dirección IP fuente que la propia interfaz. Parece una
  estupidez pero es una buena medida para evitar que algún intruso use
  su sistema como plataforma ideal para atacar a otros sistemas.


  66..  IInntteerrffaazz bbllaannddaa yy ppoollííttiiccaa

  Algunas interfaces van y vienen, ya sean, conexiones via modem
  entrantes o salientes, ISDN, etc. Este tipo de interfaces no se
  soportan en este firewall a no ser  que sea la ruta hacia internet,
  por lo que este último no establece una política para interfaces
  desconocidas. Entonces, a no ser que se modifique la política por
  definición, los servicios provinentes de estas interfaces serán
  aceptados.


  77..  DDiirreecccciioonneess IIPP ddiinnáámmiiccaass

  Generalmente las conexiones realizadas mediante marcado obtienen
  diferentes direcciones IP, por lo que no se puede determinar a priori
  y generalizar qué dirección tendremos cuando se realicen conexiones de
  este tipo. En este caso el firewall debe estar activado y en el
  momento en que se realice la conexión y así se conocerá la dirección.
  El script /etc/ppp/ip-up (y /etc/ppp/ip-up.local para RedHat) conoce
  la dirección y será capaz de iniciar el firewall.


  La activación del firewall no está incluida en este script por lo que
  deberá efectuarse manualmente.


  88..  DDiirreecccciioonneess IIPP eessttááttiiccaass

  Si se puede usar un dirección IP estática (si es el caso de una
  conexión directa) el firewall puede ser iniciado en el arranque
  mediante un rc-script.


  99..  AAccttiivvaacciióónn DDaaeemmoonn

  Existe otra forma de activar el firewall usan un programa especial de
  demostración que controla todas las interfaces de red del sistema. Así
  que cambie algún  interfaz el script de firewall se ejecuta. Si tal
  interfaz es la internet, se activará el firewall. Éste también se
  preocupa de los posibles cambios de las direcciones IP en esta
  interfaz.

  El programa daemon es rápido y será capaz de comprobarlo muchas veces
  por segundo.

  El rpograma daemon se inicia mediante el botón de Linuxconf
  Act/Cambios o ejecutando:


  linuxconf --update.

  También puede ser activado directamente desde un rc-script:


  /usr/lib/linuxconf/lib/firewalld -d


  1100..  EEll ssccrriipptt eejjeeccuuttaabbllee

  Este firewall crea un script ejecutable que puede ser ejecutado tanto
  para direcciones dinámicas como estáticas.


  El script se usa como sigue:

  /usr/lib/linuxconf/lib/firewall.sh (inicia la dirección IP de la
  interfaz)

  o

  /usr/lib/linuxconf/lib/firewall.sh (detiene la interfaz)

  Las opciones dedetención remueven todas las reglas del firewall (pero
  todavía posibilitan el emmascaramiento).


  1111..  OOppcciioonneess ddee llaa llíínneeaa ddee ccoommaannddooss

  Existen aún unas opciones en la línea de comandos que pueden ser de
  utilidad.  Para activar el firewall con la supervisión del daemon:

  linuxconf --modulemain inetdconf --firewall enable

  linuxconf --update

  Para detener el firewall (y el daemon):

  linuxconf --modulemain inetdconf --firewall disable

  linuxconf --update


  1122..  EErrrróónneeoo

  Este firewall nunca será suficicentemente genérico para soportar todas
  las posibles redes. existe otro en Linuxconf que es más genérico para
  soportar cada situación a costa de una mayor complejidad.


  este firewall está pensado para ser de uso sencillo para una fácil
  instalación de red.  En caso de error o si en otros aspectos pierde
  funcionalidad, por favor no dude en :


  enviar un mensaje a: Torbjorn Gard tgard@netg.se