domingo, marzo 11, 2007

Firestarter restrictivo y servicios de a bordo

Una solución piola y rápida cuando comparto Internet es el Firestarter. Se instala en un pocos minutos, y con un asistente APB queda todo listo antes que puedas decir ¡iptables!

Sin embargo, el asistente deja activada una compartición demasiado permisiva. Y lograr algo mas seguro no es tan simple como el asistente.

Hace un tiempo estoy compartiendo Internet con mis vecinos. Pero a pesar de los acuerdos preliminares, nunca falta el leecher que se tienta y empieza a saturar la conexión con el eDonkey, Ares, Bittorrent, y otros que hicieran las delicias de mi adolescencia. Pero ahora donde los veo, los censuro alegremente.

También suelo descubrir programas procedentes de esos Windows que envían programas sin razón aparente: Spywares, Adwares, algúno que otro troyano. A más contaminación, mas datagramas circulando por la red.

Otra necesidad que tengo, es que Obelix corre Apache y SSH. También corre no-ip, un conocido programita para informar la ip actual a una combinación de servers públicos de DNS: no-ip.com y zoneedit.com

Este truco es bien conocido en Lugmen (¡gracias chicas!). Sirve para utilizar la conexión de banda ancha sin ip fija, y así para poder tener asociado un dominio valido (com, org, etc).

En el manual de redes ya le había hecho referencia a mis changos de tercer año el uso de iptables y firestarter. Pero no tengo tiempo ni ganas de retomar el SGML. Aca va el update...

Bloquear todo excepto...

Esta parte es muy simple: en la primer captura se puede apreciar
  • Tildada la opción "restrictivo por omisión, tráfico en lista blanca"
  • Permitir las conexiones desde el host LAN: aquí van las maquinas absolutamente confiables. A las cuales no se les niega nada. Por ejemplo: 192.168.1.1
  • Permitir servicio - Puerto - Para: aquí se especifica claramente que servicio se les permite a las IP "ruidosas". Por ejemplo
    • POP3 - 110 - 192.168.1.6
    • SMTP - 25 - 192.168.1.6
    • DNS - 53 - 192.168.1.6
    • HTTP - 80 - 192.168.1.5
    • HTTPS - 443 - 192.168.1.5
    • DNS - 53 - 192.168.1.5
  • Ojo: el puerto 53 es necesario en todos los casos

Servicios del Firewall para la LAN: Hay que aclararlos en la misma ventana.






Habilitar el puerto de no-ip: 8245




Servicios para Internet: hay que hacerlo en 2 partes
  1. Permitirle al Firewall emitir estos paquetes: proceder como en la Captura 2
  2. Volvemos a Normativa para el tráfico entrante y aclaramos "A cualquiera".
  3. A veces son muchas reglas las que se están aplicando. ESPERAR aprox. 1 minuto.


Ahhh que placer es
  1. Usar Linux
  2. Servirse un Té de Naranja
  3. Observar los paquetes rebotar en la ventana de Eventos Bloqueados cual lluvia repicando en la ventana
a la/s 3:39 p. m.
Etiquetas:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)