Bien esto es un Firewall casero usando iptables……

Un toque de teoria…

Qué es iptables?

iptables es un conjunto de herramientas (comandos) que le permiten al usuario enviar mensajes al kernel del s.o.. El kernel tiene todo el manejo de paquetes TCP/IP metido dentro de él, no es algo aparte como lo es en otros sistemas operativos, por lo tanto todos los paquetes que van destinados a un Linux o lo atraviesan son manejados por el mismo kernel. Esto tiene sus ventajas y desventajas, si bien no me considero un experto en el tema, puedo arriesgar algunos pros y contras … pero no nos vayamos de tema, el hecho de que el kernel maneje cada paquete de red nos permite (a través de iptables) decirle al kernel qué debe hacer con cada uno de los paquetes.

Entonces, iptables es una forma de indicarle al kernel algunas cosas que debe hacer con cada paquete, esto se hace en base a las características de un paquete en particular. Los paquetes de red tienen muchas características, algunas pueden ser los valores que tienen en sus encabezados (a donde se dirigen, de donde vienen, números de puertos, etc., etc.), otra puede ser el contenido de dicho paquete (la parte de datos), y existen otras características que no tienen que ver con un paquete en particular sino con una sumatoria de ellos. La idea es lograr identificar un paquete y hacer algo con el mismo.

Por lo tanto, siguiendo con el arduo (?!) trabajo de llegar a una definición de lo que es iptables, podríamos decir que “iptables es un conjunto de comandos que permiten decirle al kernel qué hacer con ciertos paquetes que cumplan con ciertas características”.

Ahora bien, las acciones que podemos indicar con iptables no son tan amplias, con iptables vamos a poder decirle al kernel que acepte un paquete (lo deje pasar), lo deniegue (lo descarte), lo rechace, lo marque o lo modifique. Hay ciertas cosas que no vamos a poder indicarle, por ejemplo que lo “reenvie” por alguna ruta estática TCP/IP definida. Con lo cual, con iptables vamos a poder filtrar o modificar paquetes, nada más.

Lo primero es crear el archivo .sh (script) el cual sera nuestro firewall

En mi caso, y como soy bien original, le puse “firewall.sh”

Gnome:

1

zarpele@zarpele:~$ gedit firewall.sh

KDE:

1

zarpele@zarpele:~$ kwrite firewall.sh

La sintaxis correcta es >editordetextos< nombredelfichero
Sino existe lo crea, sino lo entramos a modificarlo

Pegamos lo siguiente dentro
Los comentarios para hacer entendible es script estan despues de un #

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98

#!/bin/bash
#Borrar todas las reglas
iptables -F
 
#Politica general.Cerramos todo.Dejamos entrar y salir lo solicitado
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
###OTRAS PROTECCIONES####
 
# Quitamos los pings.
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
 
# No respondemos a los broadcast.
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
 
# Para evitar el spoofing nos aseguramos de que la dirección
# origen del paquete viene del sitio correcto.
for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
/bin/echo "1" > ${interface}
done
 
# Los ICMPs redirigidos que pueden alterar la tabla de rutas.
for interface in /proc/sys/net/ipv4/conf/*/accept_redirects; do
/bin/echo "0" > ${interface}
done
 
# No guardamos registros de los marcianos.
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
 
# Asegurar, aunque no tenga soporte el nucleo, q no hay forward.
/bin/echo "0" > /proc/sys/net/ipv4/ip_forward
 
###Reglas de los puertos####
 
# A nuestra IP le dejamos todo <-- reemplaza los ceros por tu #num de IP
iptables -A INPUT -s 000.000.000.000 -j ACCEPT
 
# Permitimos que la maquina pueda salir a la web
#/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
#/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
 
# Azureus <-- pon el puerto correcto de tu azureus o cualquier otro torrent client
/sbin/iptables -A INPUT -p tcp -m tcp --dport 22875 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 22875 -j ACCEPT
 
# Abrimos los puertos del amule <-- pon el puerto de amule
/sbin/iptables -A INPUT -p tcp -m tcp --dport 7662 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 7662 -j ACCEPT
 
/sbin/iptables -A INPUT -p tcp -m tcp --dport 7665 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 7665 -j ACCEPT
 
/sbin/iptables -A INPUT -p tcp -m tcp --dport 7672 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 7672 -j ACCEPT
 
# Ahora para el amsn
/sbin/iptables -A INPUT -p tcp -m tcp --dport 6891:6895 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 6891:6895 -j ACCEPT
 
 
# Permitimos que se conecten a nuestro servidor web.
 
#iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
 
#Abrimos ssh a la red.
#iptables -A INPUT -s 172.26.0.3 -p TCP --dport 22 -j ACCEPT
#iptables -A INPUT -s 172.26.0.4 -p TCP --dport 22 -j ACCEPT
#iptables -A INPUT -s 172.26.0.5 -p TCP --dport 22 -j ACCEPT
 
#iptables -A INPUT -p TCP --dport 22 -j ACCEPT
 
# Permitimos la comunicación con el servidor dns
iptables -A INPUT -p UDP --dport 53 -j ACCEPT
iptables -A INPUT -p TCP --dport 53 -j ACCEPT
 
#Permitimos uso de ftp.
#iptables -A INPUT -p TCP --dport 21 -j ACCEPT
 
#Permitimos acceso pop3.
#iptables -A INPUT -p TCP --dport 110 -j ACCEPT
 
# Permitimos uso de smtp
#iptables -A INPUT -p TCP --dport 25 -j ACCEPT
 
#Permitimos acceso imap.
#iptables -A INPUT -p TCP --dport 143 -j ACCEPT
#iptables -A INPUT -p UDP --dport 143 -j ACCEPT
 
#Permitimos todo el trafico de la LAN
#iptables -A INPUT -s 0.0.0.0 -j ACCEPT
#iptables -A INPUT -s 0.0.0.0 -j ACCEPT
#iptables -A INPUT -s 0.0.0.0 -j ACCEPT
 
#Dejamos a localhost, para mysql, etc..
iptables -A INPUT -i lo -j ACCEPT

Guardar el archivo y darle permisos de ejecución

1

zarpele@zarpele:~$ chmod +x firewall.sh

Ahora lo probamos

1

zarpele@zarpele:~$ sudo sh firewall.sh

Vemos que todo funcione correctamente, los p2p, el amsn ,gaim ,kopete o el que usen

si algo no funciona como es debido, deben revisar las reglas de los puertos q agregaron quizás alguno este mal, después de cada edición del archivo deben correrlo de nuevo como antes les dije y volver a probar que todo funcione, si utilizan otro programa que sale a la web deberan haberiguar los puertos lo mismo para los que entran…

Si todo funciona de primera, vamos a hacerlo permanente así cada vez que reiniciemos tendremos el firewall corriendo, para esto hacemos

1

zarpele@zarpele:~$ sudo cp firewall.sh /etc/init.d

1

zarpele@zarpele:~$ sudo update-rc.d firewall.sh defaults

Ya esta el firewall se activara cada vez que reinicies el equipo…….

Espero que jueguen con esto y ya saben cualquier duda me consultan

Saludos…

Fuente
Saludos…

Un pequeño manual, medio viejo (2000) pero muy util para adquirir conocimientos fundamentales de redes relacionados con GNU/Linux, pesa solo 3.5 MB y esta en español…
Muy Completo lo empeze a leer estario lo unico que le falta es IPv6

1. Introducción al Trabajo en Redes ……………………..41
2. Cuestiones sobre redes TCP/IP ……………………..59
3. Configurancion del hardware de red ………………….71
4. Configuración del Hardware Serie………………………89
5. Configuración del Protocolo TCP/IP ………………..105
6. El servicio de nombres y su configuración…………………131
7. SLIP: IP por línea serie…………………163
8. El Protocolo Punto-a-Punto …………………177
9. Cortafuegos de TCP/IP ……………………………201
10. Contabilidad IP…………………………………….259
11. Enmascaramiento IP yTraducción de Direcciones de Red …….273
12. Características Importantesde Red……………………283
13. El Sistema de Información de Red (NIS)………………….301
14. El Sistema de Archivosde Red ………………………………317
15. IPX y el Sistema de Ficheros NCP ……………………….327
16. Administración deTaylor UUCP …………………………..349
17. Correo Electrónico………………………………….385
18. Sendmail ……………………………………………401
19. Poner Eximen marcha ……………………………….435
20. Las noticias en la red ……………………………451
21. C-News ……………………………………………..457
22. NNTP y elDemonio nntpd ………………………….481
23. Noticias de Internet………………………..495
24. Configuración del lector de noticias……………….527

Saludos…

Hola gente zarpelera (?) , se habran dado cuenta que al actualizar nuestro firefox 3 en GNU/Linux y compararlo con el firefox 3 de Windows notamos una pequeña diferencia, esto se debe que a los usuarios de Linux con escritorio Gnome, KDE y otros les sucede que el Firefox 3 viene por defecto con el tema Tango.

Saludos…

Dicen que el portátli de Asus es un éxito total. Y aunque el S.O. (Xandros) que trae por defecto nos permite satisfacer todas las necesidades de un usuario promedio, ahora se ha lanzado una versión especial de Xubuntu que entre otras cosas da soporte perfecto para el chipset WiFi integrado en el portátil y que resuelve los problemas de escrituras en el disco SSD.

Además esta edición hace mucho más sencilla la instalación desde una llave USB que desde una unidad externa de CD o DVD, el método tradicional para instalar otro sistema operativo en este sorprendente ultraportátil.

Podemos descargarnos una imagen iso de eeeXubuntu 7.10

.

Visto en | JuntOS somo mas

Saludos…

Saludos…