Qué es un Firewall

Es un dispositivo que filtra el tráfico entre redes, como mínimo dos.

Este puede ser un dispositivo físico o un software sobre un sistema

operativo.

En general debemos verlo como una caja con DOS o mas interfaces de
red en la que se establecen una reglas de filtrado con las que se
decide si una conexión determinada puede establecerse o no.

Hoy en dia un firewall es un hardware especifico con un sistema

operativo o una IOS que filtra el tráfico TCP/UDP/ICMP/../IP y decide si
un paquete pasa, se modifica, se convierte o se descarta. Para que un
firewall entre redes funcione como tal debe tener al menos dos tarjetas
de red.
 Reglas de un Firewall
Política por defecto ACEPTAR.

➢
Todo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTAR
➢
Todo lo que venga de la red local al firewall ACEPTAR
➢
Todo lo que venga de la ip de casa del jefe al puerto tcp 1723
ACEPTAR
➢
Todo lo que venga de hora.rediris.es al puerto udo 123 ACEPTAR
➢
Todo lo que venga de la red local y vaya al exterior
ENMASCARAR
➢
Todo lo que venga del exterior al puerto tcp 1 al 1024 DENEGAR
➢
Todo lo que venga del exterior al puerto tcp 3389 DENEGAR
➢
Todo lo que venga del exterior al puerto udp 1 al 1024 DENEGAR
 En definitiva lo que se hace es:

➄ Habilita el acceso a puertos de administración

a determinadas IPs privilegiadas.

➄Enmascara el tráfico de la red local hacia el

exterior (NAT, una petición |de un pc de la LAN
sale al exterior con la ip pública), para poder
salir a internet.

Deniega el acceso desde el exterior a puertos

➄

de administración y a todo lo que este entre 1

y 1024.
 Maneras de implementar un Firewall

Hay dos :

1) Política por defecto ACEPTAR: en principio

todo lo que entra y sale por el firewall se
acepta y solo se denegará lo que se diga
explícitamente.

2) Política por defecto DENEGAR: todo esta

denegado, y solo se permitirá pasar por el
firewall aquellos que se permita
explícitamente.
Los siguientes comandos nos ayudaran a ver los
sockets/puertos LISTEN o en escucha.

Quiere decir los puertos abiertos, preparados para

establecer una conexion.

EJEMPLO
Explicacion: El comando netstat (Network Statics)
muestra un listado de las conexiones activas,
entrantes y salientes..

El parametro "-a" visualiza todas las conexiones

y puertos TCP y UDP, incluyendo las que están
"en escucha" (listening), y el parametro "-n"
muestra los puertos con su identificación en
forma numérica y no de texto. Finalmente"grep
LISTEN" muestra unicamente las interfaces y
puertos ques estan estado LISTEN (escucha).
Una lista de cosas que se pueden hacer con iptables.

-Capturar todas las peticiones que se hagan a la IP_1 y reenviarlas a

IP_2

iptables -t nat -A PREROUTING -d IP_1 -j DNAT --to-

destination IP_2
-Capturar todas las peticiones que se hagan al puerto X de la IP_1 y
reenviarlas al puerto Y de la IP_2

iptables -t nat -A PREROUTING -p tcp -d IP_1 --dport X -j

DNAT --to-destination IP_2:Y
-Bloquear totalmente los paquetes que vengan desde IP

iptables -A INPUT -s IP -j [REJECT ] [DROP]

-Bloquear totalmente los paquetes que tengan como destino IP

iptables -A INPUT -d IP -j [REJECT ] [DROP]

video
-Bloquear acceso a WinMX

iptables -A FORWARD -d 64.124.41.0/24 -j [REJECT] [DROP]

Notas:
Con la opcion REJECT la persona que envie el paquete recibira una
respuesta del tipo "icmp-port-unreachable".

Con la opcion DROP la persona que envie el paquete nunca va a recibir una
respuesta ya que son eliminados directamente.

Para eliminar una regla basta con reemplazar la opcion "-A" por "-D"
 Shorewall
Shorewall (Shoreline Firewall) es una robusta y extensible
herramienta de alto nivel para la configuración de muros
cortafuego.

Shorewall solo necesita se le proporcionen algunos datos

en algunos ficheros de texto simple y éste creará las
reglas de cortafuegos correspondientes a través de
iptables.

Shorewall puede permitir utilizar un sistema como muro

cortafuegos dedicado, sistema de múltiples funciones
como puerta de enlace, dispositivo de encaminamiento y
servidor.
Shorewall no solo le permite configurar un firewall
seguro, poderoso y robusto, también se puede lograr con
este el control del AB (Ancho de Banda) ya que maneja
el “Traffic Shaping/QOS”

Shorewall es de "bajo nivel", o sea, el shorewall como

firewall es para el iptables el equivalente en lenguaje
de programación lo que es C para ensamblador.
Para instalacion de shorewall:

root:~# apt-get install shorewall

root:~# apt-get install shorewall-doc (aporta una
información totamente completa y detallada)
NOTA.- tener en cuenta dependiendo si es una distribucion debian o red
hat, ya que esto va a cambiar de distribucion el modo de instalacion,
ejemplo anterior (Ubuntu).

/usr/share/doc/shorewall-common/README.Debian.gz
En esta direccion se encuentra el como configurar el shorewall

Lo primero que hay que hacer es crear en /etc/shorewall cuatro archivos

fundamentales para el funcionamiento del firewall:

1.interfaces 2.policy 3.rules 4.zones

NOTA: en /etc/shorewall/ sólo veeremos al principio de instalado dos

archivos: Makefile y shorewall.conf (No tocarlos!)
x.w iptables
 BIBLIOGRAFIA Y AYUDA DE
PROBLEMAS:

http://www.ecualug.org/2009/04/20/forums/ayuda_en_la_configuracion_de_shorewall

http://www.pello.info/filez/firewall/iptables.html#36

http://www.linuxparatodos.net/portal/staticpages/index.php?page=como-shorewall-3-interfaces

http://www.ecualug.org/2004/03/09/trucos_y_tips/iptablestips_o_como_hacer