Arno-iptables.pdf

8 de abril de 2007

Instalar Firewall "Arno-iptables-firewall" en Debian Etch

Hola. Hoy mostraré como instalar el cortafuegos "Arno'sIPTABLES firewall script". Es muy sencillo de configurar einstalar y apenas necesitaréis conocimientos sobre IPTABLESpara hacerlo funcionar.

La página del autor es ésta:http://rocky.eld.leidenuniv.nl/

NOTA:- Éste script deberíamos instalarlo una vez haya finalizado lainstalación base de nuestra Debian Etch.- Para seguir estos pasos debes tener conexión a internetmedianter un router/modem.

1. Nos logueamos en una terminal gráfica o texto(CTRL+ALT+F1...F6) como usuario root e instalamos elpaquete "arno-iptables-firewall":$ su -password:

# aptitude install arno-iptables-firewallLeyendo lista de paquetes... HechoCreando árbol de dependencias... HechoLeyendo la información de estado extendidoInicializando el estado de los paquetes... HechoLeyendo las descripciones de las tareas... HechoConstruir la base de datos de etiquetas... HechoSe instalarán automáticamente los siguientes paquetesNUEVOS:gawkSe instalarán los siguiente paquetes NUEVOS:arno-iptables-firewall gawk0 paquetes actualizados, 2 nuevos instalados, 0 para eliminar

DEBIAN TOTALBlog con manuales de instalación y configuración de DEBIAN SARGE & ETCH & LENNY

DEBIAN TOTAL: Instalar Firewall "Arno-iptables-firewall... http://debiantotal.blogspot.com.es/2007/04/instalar-firewa...

1 de 13 08/04/13 13:50

► 2009 (5)

► 2008 (11)

▼ 2007 (37)

► noviembre (1)

► octubre (3)

► septiembre (12)

► agosto (1)

► julio (2)

► junio (2)

► mayo (4)

▼ abril (4)

Instalar Firewall "Arno-iptables-firewall" enDebi...

Instalar Beryl en DebianEtch

TRUCO: Guía InstalaciónDebian Etch

Manual Básico de VIM(Editor texto enconsola)

► marzo (4)

► febrero (4)

► 2006 (10)

HISTORIAL DELBLOG

ENLACESSIEMPRELINUX

Debian Web OficialGULIC - Grupo Usuarios

Linux CanariasViva Linux! - Noticias

LINUXESDEBIAN - Comunidad

Debian en Español


2 de 13 08/04/13 13:50

Espaciolinux - PortalGNU/Linux Español

Linux en Español - ForosLinux Uruguay -

Noticias, Foros, etc.Man-Es - Inst. Debian

Listado Gráficas /Driver Xorg

Listado T.Sonido /Driver ALSA

DATOSPERSONALES

Romario

Ver todo mi perfil

Web debiantotal.blogspot.com

PageRank Plus - GooglePageRank checking, with a

twist.

Feedjit Live Website


3 de 13 08/04/13 13:50

Statistics

y 0 sin actualizar.Necesito descargar 792kB de ficheros. Después dedesempaquetar se usarán 2511kB.¿Quiere continuar? [Y/n/?] yescribiendo información de estado extendido... HechoDes:1 http://ftp.rediris.es etch/main gawk 1:3.1.5.dfsg-4[694kB]Des:2 http://ftp.rediris.es etch/main arno-iptables-firewall1.8.8.c-1 [97,7kB]Descargados 792kB en 44s (17,8kB/s).

2. Una vez instalado, nos aparecerá la siguiente ventana quenos pregunta si queremos configurar el paquete mediantedebconf.

RESPUESTA: yes [ENTER]

3. En la siguiente ventana debemos especificar la interfaz dered por la que salimos a internet. Como me conecto a travésde un modem/router y sólo tengo una tarjeta de red, lainterface es "eth0".

RESPUESTA: eth0 [ENTER]

4. Ahora debemos especificar que puertos TCP necesitamostener abiertos en nuestro firewall.EJEMPLO:- Amule: Abrir los puertos 4661 TCP, 4664 UDP- Servidor SSH: abrir el puerto 22

NOTA:El firewall de nuestro router debe tener abiertos tambiénéstos puertos.

RESPUESTA: 4661 22 [ENTER]

5. Nos pedirá que puertos UDP queremos abrir:


4 de 13 08/04/13 13:50

RESPUESTA: 4664 [ENTER]

6. La ventana siguiente sólo deberemos configurarla en elcaso de que tengamos varias tarjetas de red (eth0, eth1...) yuna de ellas, esté configurada hacia nuestra red local a lacual queremos permitirle cualquier conexión a nuestroequipo.

RESPUESTA: dejar_en_blanco [ENTER]

7. Finalmente iniciamos nuestro firewall.

RESPUESTA: yes [ENTER]

Escribiendo información de estado extendido... HechoPreconfigurando paquetes ...Seleccionando el paquete arno-iptables-firewall previamenteno seleccionado.(Leyendo la base de datos ...88957 ficheros y directorios instalados actualmente.)Desempaquetando arno-iptables-firewall (de .../arno-iptables-firewall_1.8.8.c-1_all.deb) ...Configurando arno-iptables-firewall (1.8.8.c-1) ...

Arno's Iptables Firewall Script v1.8.8c-------------------------------------------------------------------------------Sanity checks passed...OKDetected IPTABLES module... Loading additional IPTABLESmodules:All IPTABLES modules loaded!Configuring /proc/.... settings:Enabling anti-spoof with rp_filterEnabling SYN-flood protection via SYN-cookiesDisabling the logging of martiansDisabling the acception of ICMP-redirect messagesSetting the max. amount of simultaneous connections to16384Enabling protection against source routed packetsSetting default conntrack timeouts


5 de 13 08/04/13 13:50

Enabling reduction of the DoS'ing abilitySetting Default TTL=64Disabling ECN (Explicit Congestion Notification)Enabling support for dynamic IP'sFlushing route table/proc/ setup done...Flushing rules in the filter tableSetting default (secure) policiesUsing loglevel "info" for syslogd

Setting up firewall rules:-------------------------------------------------------------------------------Accepting packets from the local loopback deviceEnabling setting the maximum packet size via MSSEnabling mangling TOSLogging of stealth scans (nmap probes etc.) enabledLogging of packets with bad TCP-flags enabledLogging of INVALID packets disabledLogging of fragmented packets enabledLogging of access from reserved addresses enabledSetting up anti-spoof rulesReading custom IPTABLES rules from /etc/arno-iptables-firewall/custom-rulesLoading (user) pluginsSetting up INPUT policy for the external net (INET):Enabling support for a DHCP assigned IP on externalinterface(s): eth0Logging of explicitly blocked hosts enabledLogging of denied local output connections enabledPackets will NOT be checked for private source addressesAllowing the whole world to connect to TCP port(s): 466122Allowing the whole world to connect to UDP port(s): 4664Denying the whole world to send ICMP-requests(ping)Logging of dropped ICMP-request(ping) packets enabledLogging of dropped other ICMP packets enabledLogging of possible stealth scans enabledLogging of (other) connection attempts to PRIVILEGED TCPports enabledLogging of (other) connection attempts to PRIVILEGED UDPports enabledLogging of (other) connection attempts to UNPRIVILEGED TCPports enabledLogging of (other) connection attempts to UNPRIVILEGED UDPports enabledLogging of other IP protocols (non TCP/UDP/ICMP) connectionattempts enabled


6 de 13 08/04/13 13:50

Logging of ICMP flooding enabledApplying INET policy to external (INET) interface: eth0(without an external subnet specified)Security is ENFORCED for external interface(s) in theFORWARD chain

Apr 02 23:36:20 All firewall rules applied.

Ya tendremos nuestro firewall configurado.

Podemos volver a ejecutar la configuración del firewall con elsiguiente comando:# dpkg-reconfigure arno-iptables-firewall

Si lo que queremos es deshabilitar temporalmente elcortafuegos:# /etc/init.d/arno-iptables-firewall stop

Para habilitarlo de nuevo:# /etc/init.d/arno-iptables-firewall start

Saludos y Suerte.Domi - Gran Canaria (Islas Canarias)

Publicado por Romario en 4/08/2007 06:47:00 a.m.

Etiquetas: Debian Etch

18 comentarios:

Javi dijo...

Soy el pesado de javi otra vez, todavia no hepuesto en practica el instalar el arno-iptables-firewall ya que he tenido malas experienciacon firestarter... y otro de kde que no meacuerdo como se llama ... (me quedapendiente empollarme iptables enteriro) seriade utilidad que pusieses una lista (o un link)a los puertos utilizados por los programashabituales en una debian... a parte delemule... por ejemplo http://es.wikipedia.org/wiki/Lista_de_n%C3%BAmeros_de_puerto


7 de 13 08/04/13 13:50

Un saludo

16/4/07 06:24

Romario dijo...

Hola Javi que tal ;-)Te recomiendo que lo pruebes. Está muy bieny es muy fácil de configurar. No tienes quesaber mucho de iptables, aunque no está demás que aprendas algo ;-). Una muy buenapágina es ésta:http://www.pello.info/filez/IPTABLES_en_21_segundos.html

En cuanto a los puertos que debes tenerabiertos en una debian, pues hasta ahora ami no me ha hecho falta abrir más puertos.Simplemente con los que asigno para emuletengo.

Saludos.

16/4/07 23:00

hugomazaa dijo...

Solo escribo para felicitarte por el blog y tusguias, las cuales me parecen excelentes.Con tu permiso me gustaría enlacar tu blogcon el mío.

6/5/07 17:48

Romario dijo...

Hola Hugomazaa. Gracias por tu comentario.No hay problema por el enlace. Mándame tudirección a mi correo.

debiantotal ARROBA g m a i l . c o m(suprime espacios y sustituye @


8 de 13 08/04/13 13:50

Saludos.

6/5/07 23:23

Anónimo dijo...

Problemas con IPTABLESMe dice que no puede cargar los modulosip_tables, etc.. He probado a cargarlos conmodprobe pero no estan por ningun sitio. ¿Noes el nucleo adecuado? Tengo una etch recieninstalada y actualizada...Gracias!

10/8/07 19:28

Anónimo dijo...

mira creo que es muy bueno tu articulo perono solo lo bueno que es sino lo de datallo quees para aquellas personas que le cuestatransitar por este mundo y a su vez paranovatos

30/8/07 20:48

Romario dijo...

Me alegro que te haya gustado. Siempreintento redactar las guías lo más fáciles ydetalladas que puedo, y por supuesto, paranovatos.

Saludos.

1/9/07 02:37

Anónimo dijo...

hola, tengo un problema cuando configuropara abrir los puertos ya no me dejaconectarme por ssh al equipo, y heespecificado el puerto 22.


9 de 13 08/04/13 13:50

20/10/07 15:58

ddfire dijo...

holamuy buena la paginacomo hago para hacer un fordward de lospuertos tcp 4662 y 4672 udp a la ip192.168.1.101 ??? me toy quedando peladotratandograciasDavid

29/10/07 23:23

Romario dijo...

Hola ddfire (David).Entiendo que me estas preguntando comoabrir los puertos para el amule en tu red. Sies ese el caso, debes hacer el fordward en elrouter no en tu equipo, a no ser que estésconfigurando una debian como Firewall.Busca como hacerlo en internet o en elmanual del router. Si me dices marca ymodelo, quizás te pueda decir más, en casode que sea alguno de los que he utilizado.

Saludos.

3/11/07 12:49

Anónimo dijo...

Hola, una pregunta, cuando lo instale, puescomprobé los logs kern y messages y cada 30segundos me lanzaba mensajes como estos(quite alguna informacion de los puntossuspensivos y el ID=xxx me ibaincrementando en valores como si estuvierahaciendo un escaneo)

Dec 26 09:18:35 debian kernel: Other-IP


10 de 13 08/04/13 13:50

connection attempt: IN=eth0 OUT=MAC=01:0 .....Dec 26 09:18:46 debian kernel: Connectionattempt (PRIV): IN=eth0 OUT=MAC=ff:ff:ff:ff:ff:ff:00:02:cf: ...... TOS=0x00PREC=0x00 TTL=1 ID=30483 PROTO=UDPSPT=520 DPT=520 LEN=72

luego lo desinstale y dejaron de producirselos mensajes¿Sabes que significan? y ¿porque seproducen?

29/12/07 00:47

Anónimo dijo...

bueno quisiera saber como abrir por ejemploel puerto 2000 y el 7000 pero no desde 2000a 7000 no se si se me entiende ???

osea si escribo 2000:7000 se abren desde el2000 al 7000 que es lo que yo no quiero porlo demás me parece fabuloso este firewall

3/3/08 22:28

Romario dijo...

Hola.La respuesta la tienes en el punto 4. Separalos puertos con un espacio.

Saludos.Domi

4/3/08 18:50

Anónimo dijo...

Gracias por todo Romario ya sta todo enorden (^_^)

19/3/08 01:39


11 de 13 08/04/13 13:50

wbernabej dijo...

HOLA AMIGO, ESTA MUY INTERESANTE TUAPORTE SOBRE EL FIREWALL. ESTOYINCURSIONANDO RECIEN AL MUNDO DELINUX DEBIAN. HABER SI ME ENVIAS TUCORREO ...@HOTMAIL PARA HACERTE UNASCONSULTAS PUNTUALES.

Mi correo es [email protected]

saludos desde PERU.

12/12/08 13:30

replica louis vuitton bags dijo...

fake louis vuitton bags for sale.cheap louis vuitton antheia for sale.replica Mahina Leather for sale.replica Monogram Canvas handbags for sale.replica Monogram denim handbags for sale.

19/11/11 21:58

viagra online dijo...

me encanta este nuevo tutorial tuyo!realmente ha sido demasiado util para mi

7/2/12 17:47

pruebasdecorreo pruebasdecorreo dijo...

Hola que tal!!Te comento un poco de mi caso, ya seguitodos los pasos al pie de la letra... pero ahoraquiere saber como puede verificar si el puerto143 de imap esta abierto en mi pc

Saludos ]!!!!

9/7/12 02:09


12 de 13 08/04/13 13:50

Entrada más reciente Entrada antigua

Publicar un comentario en la entrada

Página principal

Suscribirse a: Enviar comentarios (Atom)


13 de 13 08/04/13 13:50

Arno-iptables.pdf

Documents

Transcript of Arno-iptables.pdf