Configuración

Bueno como se mencionó anteriormente el firewall en Suse se puede instalar y configurar de modo grafico y modo consola, el  firewall de Suse se puede descargar desde http://www.opensuse.org/ El comando para instalar el paquete seria por ejemplo rpm –ivh iptables-1.3.8-28i586.rpm aunque cabe aclarar que el servicio de firewall viene instalado por default en el S.O. Suse. El primer paso en modo consola es verificar si tenemos los paquetes instalados. Con el comando rpm –qa iptables*

Como podemos ver en la captura de pantalla arriba ya contamos con los paquetes necesarios para poder configurar nuestro SuSefirewall2

Es importante la inicialización de SuSefirewall2 durante el arranque, entonces es cuando /etc/init.d/SuSefirewall2_init  es llamado

case "$1" in

start)

echo -n "Starting Firewall Initialization: "

echo -n '(phase 1 of 3) '

( $SUSEFWALL close ) > /dev/null 2>&1 || return=$rc_failed

echo -e "$return" ;;

Una vez que hemos configurado SuSefirewall2 para que se inicie desde el arranque debemos ir a /etc/sysconfig/SuSefirewall2 para generar un juego de reglas de iptables o comúnmente conocidas como variables. (Habilitar SuSefirewall2 en su nivel de ejecución 3 ó 5 para una mayor probabilidad),a continuación pasamos a detallar las variables (iptables) que se necesitan modificar para una configuración Standard (SuSefirewall2 ya viene preconfigurado) así que solo tendremos que modificar las variables según nuestras necesidades. 

FW_DEV_EXT= “any eth0”  (cortafuegos, enmascaramiento)

Es el dispositivo que está conectado a Internet. Para una conexión por módem, escriba ppp0. Para una conexión RDSI, utilice ippp0. Las conexiones DSL, por su parte, utilizan dsl0. Especifique auto para utilizar la interfaz que se corresponda con la ruta por defecto.

FW_DEV_INT= “ “  (cortafuegos, enmascaramiento)

Es el dispositivo conectado a la red interna privada (como por ejemplo eth0). Deje esta opción en blanco si no existe una red interna y si el cortafuegos protege solamente el Host en el que se ejecuta el cortafuegos.

FW_ROUTE = “no” (puede configurarse tanto para cortafuego y enmascaramiento)

Viene “no” `por default.

Si necesita masquerading, (enmascaramiento) debe introducir yes en este punto. Las máquinas internas no serán visibles desde afuera, ya que tienen direcciones de red privadas (por ejemplo 192.169.x.x), que no se muestran en Internet.

Con un cortafuegos sin masquerading, escoja aquí yes, si quiere permitir el acceso a la red interna. Para ello, las máquinas internas deben tener direcciones IP asignadas oficialmente. En casos normales, no debería permitir el acceso desde fuera a las máquinas internas.  

FW_MASQUERADE = “no” (enmascaramiento)

Viene “no” por default.

Establezca este valor en yes si precisa la función de enmascaramiento. Esto proporciona a los Hosts internos una conexión prácticamente directa a Internet. Es más seguro contar con un servidor alterno entre los Hosts de la red interna e Internet. El enmascaramiento no es necesario para aquellos servicios proporcionados por servidores alternos.

Es recomendable tener en cuenta que es mas seguro que la red interna acceda a Internet a través de un Proxy.

FW_MASQ_NETS = “0/0” (Enmascaramiento)

Especifique aquí los Hosts o las redes para las que se realizará el enmascaramiento; no olvide dejar un espacio entre cada una de las entradas individuales. Por ejemplo:

FW_MASQ_NETS="192.168.0.0/24 192.168.10.1"

FW_PROTECT_FROM_INT = “no” (cortafuegos)

Establezca este valor en yes para proteger el Host configurado con el cortafuegos frente a ataques originados en la red interna. Los servicios estarán disponibles para la red interna únicamente si se han habilitado expresamente. A este respecto, puede consultar también FW_SERVICES_INT_TCP y FW_SERVICES_INT_UDP.

 

FW_SERVICES_EXT_TCP = “domain” (cortafuegos)

Introduzca los puertos TCP que deberían estar disponibles.osea de los servicios a los que se deba tener acceso tales como www, smtp,  ftp etc. Deje esta opción en blanco en aquellas estaciones de trabajo normales de uso doméstico que no se emplean para ofrecer servicios.

FW_SERVICES_EXT_UDP = “domain”  (cortafuegos)

Deje esta opción en blanco excepto si se ejecuta un servicio UDP y quiere que se pueda acceder a él desde el exterior. Los servicios que emplean UDP incluyen, entre otros, a los servidores DNS, IPSec, TFTP y DHCP. En ese caso, escriba los puertos UDP que se van a emplear.

FW_SERVICES_INTERNAL_TCP “”  (firewall) Aquí se definen los servicios a disposición de la red interna.

FW_TRUSTED_NETS = “”  (firewall)

Indique aquí los ordenadores de confianza (trusted hosts). Tenga en cuenta que estos también deben estar protegidos de posibles agresiones. 172.20.0.0/16 172.30.4.2 significa que todos los ordenadores cuya dirección IP empieza con 172.20.x.x, así como el ordenador con la dirección IP 172.30.4.2, pueden atravesar el cortafuegos.

FW_ALLOW_INCOMING_HIGHPORTS_TCP = “” (firewall)

Si trabaja con un FTP normal (activo), introduzca ftp-data.

FW_ALLOW_INCOMING_HIGHPORTS_UDP = “”  escriba dns, para poder utilizar los servidores de nombres introducidos en /etc/resolv.conf. Con “yes” deja libres todos los números altos de puertos.

FW_STOP_KEEP_ROUTING_STATE = “no”

Si accede a Internet automáticamente con diald o vía RDSI (dial on demand), introduzca “yes.”

Aquí puede indicar lo que quiere registrar en los archivos Log. Para el sistema en funcionamiento, basta con “yes” en FW_LOG_DENY_CRIT.

*Estas son las variables que comúnmente se necesitarían modificar en /etc/sysconfig/SuSefirewall2 para configurar nuestro firewall en Suse.

***Después de haber configurado el cortafuegos, compruebe la configuración del dispositivo. Los conjuntos de reglas del cortafuegos se crean escribiendo el comando SuSEfirewall2 start como usuario root. A continuación, utilice por ejemplo el comando telnet desde un Host externo para comprobar si se ha denegado la conexión. Después de esta operación, consulte /var/log/messages, donde debería aparecer un mensaje como el que se muestra a continuación:

Mar 15 13:21:38 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 

OUT= MAC=00:80:c8:94:c3:e7:00:a0:c9:4d:27:56:08:00 SRC=192.168.10.0 

DST=192.168.10.1 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=15330 DF PROTO=TCP 

SPT=48091 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 

OPT (020405B40402080A061AFEBC0000000001030300)