Firewall Iptables

Para los que os apetezca enredar un poco y entender un poco mejor un firewall por dentro, como funciona, como se configura, iptables es el modulo firewall que viene integrado dentro de casi cualquier kernel linux.

Este es el diagrama más completo que he encontrado de como un paquete puede pasar por las diferentes tablas de iptables (http://upload.wikimedia.org/wikipedia/commons/8/8f/Diagrama_linux_netfilter_iptables.gif)
otros diagramas

• http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/images/iptables_small.png
• http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/images/iptables_small.png
• http://www.billauer.co.il/non-html/ipmasq-html2x.gif 

Para los que no se atrevan a tan bajo nivel existen varias gestiones de entorno gráfico, pero la que se utiliza más (o la que mas me gusta) es firewall builder (apt-get install fwbuilder).

algunos enlaces que os serán de mucha utilidad.

• http://www.pello.info/filez/firewall/iptables.html
• http://www.kriptopolis.org/iptables-1
• http://www.kriptopolis.org/iptables-2
• http://www.kriptopolis.org/iptables-3

para los que todavía se queden con ganas de más ¿se puede montar un IDS que añada reglas al firewall y ademas sea libre?. La respuesta es si y además es con el conocido IDS snort. El software que une iptables y snort es fwsnort, no os asustéis por que es muy sencillo de instalar. El problema es cuando queramos ajustarlo, sobre todo si queremos que las reglas añadidas por fwsnort hagan DROP.

Como habilitar el servicio snmp en checkpoint R71 FW1

cpconfig

Pulsamos 4

Y nos aparece el siguiente menú

Configuring SNMP Extension...

=============================

The SNMP daemon enables Check Point products module

to export its status to external network management tools.

Would you like to enable Check Point products SNMP daemon ? (y/n) [n] ?y

Para terminar pulsamos 11

Por si acaso habilitamos el demonio en el inicio

chkconfig snmpd

Hay que tocar 3 archivos

Este es el menos importante por si queremos cambar syslocation y syscontact

/etc/snmp/snmpd.conf

syslocation  "Unknown"

syscontact  Unknown

en el archivo /etc/snmp/snmpd.users.conf debemos añadir los servidores que pueden consultar este firewall

vi /etc/snmp/snmpd.users.conf

rocommunity comunidadelectura 127.0.0.1

Para modificar la comunidad por defecto donde pone “public” cambiamos a la que queramos manteniendo las comillas (ej: comunidaddelectura)

cat /etc/fw/conf/snmp.C

:snmp_community (

                :read ("comunidaddelectura")

                :write ()

        )

Para probar que funciona

snmpwalk -c comunidadelectura –v1 127.0.0.1

Puerto que hay que abrir en las reglas del firewall únicamente  desde la maquina que realiza las peticiones hacia el firewall UDP 161 en destino origen cualquier puerto