Bueno como veo que muchos se estan animando a instalar y probar linux (tux rulz) se me ocurrio el hacer una mini guia sobre como poner un pokito de seguridad en su pc aprovechando algunas herramientas k nos ofrece nuestro propio kernel.
Asi k aki explicare algunas reglas y una forma facil de configurar un firewall para Linux usando iptables.

Bueno iptables viene siendo una aplicación de nuestro propio kernel (apartir del 2.4.x antes se llamaba ipchains 2.2.x) y nos sirve para administrar el filtrado de packetitos que entran y salen de nuestro sistema, ahora bueno todos saben bien lo k es un firewall asi que empezaremos ha hacer uno para nuestra pc.


Lo primero que vamos a hacer es irnos a nuestro kernel y ha activar los modulitos que necesitemos haciendo un make config ahí tenemos que activar los siguientes modulos:
Lo ideal es cargar todos estos modulos y complilarlos en el kernel ya que muchos de estos son necesarios para el funcionamiento del script rc.firewall.

Ya hecho esto bueno y dandole un pokito de orden al asunto nos vamos a


Ahí nos vamos para arrancar el servicio de iptables y para indicarle en que niveles de ejecución debe arrancar el servicio cuando prendamos nuestra pc.

Ahí le indicamos

Y listo ya tenemos nuestro servicio de iptables corriendo desde k prendemos nuestra makina a nivel multiusuario sin NFS, en modo completo y en modo grafico.


Bueno ya tenemos corriendo el servicio asi que es hora que empezemos a crear nuestras reglas, lo primero que tenemos que conocer es que iptables tiene 3 tipos de tablas Filter, Nat y Mangle, por ahora utilizaremos unicamente la tabla Filter mas adelante iremos complementando la información para utilizar las otras tablas.
Ahora empezaremos conociendo la sintaxis y los principales comandos para hacer nuestras reglas de iptables.

Principales comandos:
Si tienen alguna duda sobre estos comandos es simple solo ponen en su consola

y se desplegara la ayuda con un pekeño glosario y sintaxis de las reglas.

Ahora veremos rapido un glosario sobre las comparaciones para ya arrancar con la creación de nuestras reglas:
Comparaciones


SINTAXIS PARA LA CREACION DE REGLAS


Y bueno ahora si ya tenemos mas que suficiente para iniciar con la creación de nuestro firewall lo primero que vamos a hacer sera decirle a nuestro sistema que no nos interesa recibir trafico del protocolo icmp asi evitaremos la respuesta al ping y en algunos casos nos llegamos a prevenir el barrido de puertos ya que nuestro sistema no respondera nada para crear esta regla vamos a tomar en cuenta los tipos de icmp k existen según su datagrama asi k les recomiendo k cheken esta tablita:

Bueno ya que chekaron los tipos de datagrama para icmp haremos la siguiente regla:


si revisamos la sintaxis de esta regal veremos k primero para hacer cualkier regla tenemos k indicar la palabra iptables despues al no indicar la tabla ( en este caso filter) el sistema toma por default k nos referimos a la tabla filter despues vemos la palabra INPUT donde estamos indicandole que hablamos de conexiones de entrada despues le indicamos la interfaz en este caso eth0 ( en terminos mortales le estamos diciendo a nuestro firewall k nos referimos a cualkier pakete k entre por nuestro cable o sea conexion a internet) despues le estamos indicando el protocolo en este caso estamos hablando de icmp y a la vez estamos haciendo una comparación cuando ponemos –icmp-type donde indicamos el tipo de datagrama del protocolo después le estamos indicando a nuestra regla k hacer con esos paketes en este caso lo enviamos ala basura.

Bueno ya k hicimos nuestra regla simplemente damos enter y ea ea se cargo a nuestro firewall ahora para asegurarnos k esta ahí solo tecleamos:


Y nos debera salir algo como esto:
Hasta aqui todo cool o sea como pueden ver no es tan dificil hacer reglas asi k les recomiendo k hagan una regla para cada tipo de datagrama unicamente sustituyendo el numero ya que la sintaxis sera la misma, pero bueno ahora vamos a hacer otra regla, ahora vamos a indicarle a nuestro firewall k no nos interesa el trafico k entra desde internet con direcciones reservadas como son 127.0.0.0 etc.

Asi k ahora haremos lo siguiente:


primero le indicamos a nuestro firewall k debemos guarder un registro o sease un log de la actividad y trafico creado entrando de internet hacia esa ip


despues le indicamos k una vez logueada esta informacion no nos interesa el trafico k genere asi k la enviamos a la basura.

Esta regla debemos aplicarla a las direcciones internas como son:
Y ahora algunos se preguntaran pork en unas direcciones usamos /8 y en otras otro numero bueno es simple ese numerito es el numero de bits k va a saltar y bueno esto esta basado en las tablas generalmente usadas en mascaras de red, ahí busken algo de info en google o si kedan dudas en otro post abrire una explicación breve con los valores habituales de las mascaras.

Y bueno hasta aki vamos bien si keremos ver las reglas k hemos hecho bueno ya saben k poner como anteriormente mencione.

Ahora hagamos otra regla util esta vez vamos a decirle a nuestro firewall k no keremos aceptar ningun tipo de paketes fragmentados ( o sea paletitos k son divididos en 2 o 3 pasan por nuestro sistema pero no se puede leer el header y ya dentro de nuestro sistema se ensamblan) digo nunca esta de mas una regla pork no sabemos k rayos se pueda ensamblar ya k paso a nuestro sistema asi k haremos lo siguiente:


Y listo ahi estamos enviando todos los paketes fragmentados k lleguen a nuestro sistema al basurero, al poner la palabra all estamos diciendole a nuestro firewall k no importa el protocolo siempre k sea fragmentado se ira a la basura.

Y bueno antes de aturdirlos con tanta info vamos a hacer una regla mas y dejaremos un par de dias por si surgen dudas y seguiremos con reglas utiles para la creación de nuestro firewall.

Ahora haremos una regla para evitar que haya conexiones entrantes al puerto 23 en este caso telnet jaja ya saben k luego hay haxores por ahí intentando cosas raras asi k bueno la sintaxis seria la siguiente:


Bueno aki la regla es muy clara ahora vamos a fijarnos en la parte donde estamos indicando el estado le estamos diciendo a nuestro firewall k no nos interesa k sea una conexion nueva, este establecida, sea relacionada o sea invalida nosotros no keremos k nada entre de fuera hacia nuestro Puerto 23 asi k todo lo k intente entrar lo enviamos a la basura.

Si alguno de uds es algo paranoico recomiendo entonces k antes haga una regla sobre el mismo puerto pero k guarde un log para asi saber k kiso conectarse por ahí.

Y bueno aki terminamos la primera parte de esta sencilla guia, si por alguna razon se ekivocaron al hacer una regla bueno solo hagan lo siguiente la eliminan y la hacen de nuevo

    aki indicamos k nos de la lista de las reglas pero enumeradas

Después damos

Espero les sea util esta mini guia y si tienen alguna duda pues a preguntar..

saludos

emmm.. buehhh aunque no sé nada entendí algo y eso es porque está muy bien explicado ... enygma te luciste nena, es digno de ti 

un saludo.

Muy buen tutorial enygma :*, explicado claramente. Creo que merece quedar como tema pegado

Wenas, el manual perfecto, excepto que yo no puedo hacer que se ejecute iptables con el sistema, he conseguido que se ejecute junto al Gnome, pero no se como hacerlo para que se inicie junto con el sistema...Ya os digo que el metodo que esta aqui puesto no me funciona, tengo Ubuntu 5.10.

A ver cuando llega la 2 parte...

Wenas, el problema es que no se a que runlevel lo tengo que agregar...Vamos que no si lo tengo que poner en rc0.d, rc1.d...

Donde puedo mirar si esta agregado a los demonios del sistema???

Salu2

Primero deberías mirar tu /etc/inittab; y buscar cual es el nivel que se adecue mejor a tus necesidades...podrías ponerlos en los run levels de 2 a 5 (multiusuario); ya que al ser un firewall; es muy importante en la seguridad.

Ah, felicitaciones por el tuto enygma...

mordiskos es recomendable que lo actives dentro de los niveles
2 Nivel multiusuario NFS
3 Nivel en modo completo
5 Nivel en modo grafico

pero de acuerdo a tus necesidades deberas decidir a que nivel te funcionaria mejor.

Por cierto la segunda parte del manual esta este viernes como maximo es k he tenido algo de trabajo pero ya lo toy preparando.

saludos a todos y gracias por los comentarios

:p me dieron una recomendacion para abrir la segunda parte en otro post y asi no se confundiera pero ya esta la otra parte puesta saludos

aki les dejo el link

http://foro.elhacker.net/index.php/topic,95317.0.html