IPTABLES en Linux, parte fundamental para protegernos.

Muchos de los nuevos usuarios Linux no toman en cuenta la seguridad en su Sistema, IPTABLES es un firewall que viene en toda distribución, su configuración es parte fundamental.

Si comparamos, Internet es como si fuera las ciudades, calles, donde pasan un sin fin de personas, tu pc es tu casa, como toda casa tiene puertas y ventanas. Tu sabes si le pones vidrios blindados o si tu puerta estará siempre abierta o cerrada.

En eso consiste en tener un Firewall, gestionar tus puertos de comunicación y evitar que te roben en tu casa.

En varias comunidades siempre me mencionan que use herramientas para la X pero pues yo prefiero mi script para configurar IPTABLES teniendo la ventaja que puedes configurar todo a tu gusto “a la medida”. Aunque no hay que negar que las interfaces te facilitan todo pues ya tiene reglas mas complejas y efectivas.

Los siguientes scripts vienen detallados de lo que hacen aunque creo que la mejor manera de estar protegidos es cerrar todo puerto por haber y despues abrir solo los necesarios.

#!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables
## Ejemplo de script para firewall entre red-local e internet

echo -n Aplicando Reglas de Firewall…

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT

#en caso de tener apache funcionando abrir port 80

iptables -A INPUT -s 0.0.0.0/0 -p tcp –dport 80 -j ACCEPT

# bloquear posibles ICMP extraños
iptables -A INPUT -p icmp –icmp-type echo-request -j DROP

## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red
# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp –dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp –dport 1:1024 -j DROP

#cerrar webproxy
iptables -A INPUT -s 0.0.0.0/0 -p tcp –dport 8080 -j DROP

# Cerramos un puerto de gestión: webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp –dport 10000 -j DROP

echo ” OK . Verifique que lo que se aplica con: iptables -L -n”

# Fin del script

Es importante el archivo siempre tenga al inicio #!/bin/sh

Creo que esta bastante explicado es lo mas basico que uno debe llevar en un script para IPTABLES esto lo podemos guardar en un archivo de texto y despues darle permisos de ejecución

$ chmod u+x /ruta/archivo

y listo con solo ejecutar,

$ sudo /ruta/./archivo

en ese momento pedira el password para ejecucion en modo root (para cambiar reglas siempre usar root, notar el . antes de la / ya que eso realiza la ejecución) y las reglas estarán activa.

A todos nos ha pasado que cuando estamos experimentando con IPTABLES llega un momento de querer borrar toda reglas existente en el mismo, lo podemos hacer de forma segura de la siguiente forma usando este pequeño script.

#!/bin/sh
#limpio mis reglas
iptables –flush
iptables –table nat –flush
iptables –delete-chain
iptables –table nat –delete-chain

Igual lo guardamos en un archivo de texto con el nombre limpiareglas (tu puedes ponerle el nombre que quieras) y le damos permisos de ejecución (arriba ya lo mencione).

Listo, al ejecutar:

$ sudo ./limpiareglas

se limpiara todas las reglas contenidas en IPTABLES.

Para que se te haga comodo puedes ejecutar todo script desde tu X, creando un lanzador que contenga como comando

sudo /ruta/donde/se/encuentra/el/archivo/./archivoaejecutar

(en caso de un script con reglas iptables es necesario el “sudo”, si en otros scripts no lo requieres no lo añadas)

Despues marcar la casilla que dice “Ejecutar en Terminal” y no olvides ponerle nombre al lanzador, cada vez que ejecutes el lanzador te mandará a una consola y pedirá que introduzcas el password (recuerda es el password que usas al utilizar sudo).

Hay un sin fin de maneras de usar un script, no nadamas para IPTABLES, de hecho puedes programar cosas mas complejas segun tus necesidades.

Fuentes a consultar: IPTABLES manual práctico

15 Agosto 2006 Publicado por kojikabuto | Linux | | 10 comentarios

Buen cliente para uso de Telefonia VOIP

Tengo una cuenta VOIP, el proveedor ni se los menciono porque no me gusto el servicio.

Buscando la forma de hacer llamadas desde mi linux (ubuntu dapper) ningun cliente funcionaban y los que si funcionan solo lo hacian con su respectivo proveedor (skype, softphone ekiga, etc) ninguno me permitia usar mi propio SIP.

Hasta que por pura casualidad estaba buscando algunos paquetes con aptitude, que vi un paquete llamado twinkle

twinkle - Voice over Internet Protocol (VoIP) SIP Phone

y pues lo instale

$ sudo aptitude install twinkle

Perfecto, llene la configuración de acuerdo a los datos que me dio el proveedor VOIP y realize mi primera llamada, realmente me sorprendi, pues siempre habia realizado llamadas usando windows desde otra máquina.

En linux la transmisión tiene mas calidad aunque los cortes son frecuentes, se que no es de mi conexión ya que cuando pasan esos cortes, hasta la página de internet de dicho proveedor cae completamente.

Solo estoy esperando terminarme mi credito de ese servicio y pagar mejor un skype u otro mas estable y con conexión real a otros paises.

No paguen servicios VOIP de dudosa procedencia si no pasarán por malas experiencias como yo (servidor down, sin líneas a llamada a otros países, cortes repentinos de la llamada).

04 Agosto 2006 Publicado por kojikabuto | Linux | | No hay comentarios

Como instalar Multifuncional SAMSUNG SCX 4100 en Ubuntu Dapper

Esta Multifuncional es una de las mas económicas, en cuanto a consumo de toner y recarga. Hasta ahora la recomiendo para quienes tienen una oficina o cibercafe.

Una de las particularidades de esta multifuncional es que es compatible con LINUX, eso fué lo que me agrado.

En el manual del producto menciona que es compatible con:

• Redhat 7.1 and above
• Linux Mandrake 8.0 and above
• SuSE 7.1 and above
• Caldera OpenLinux 3.1 and above
• Turbo Linux 7.0 and above
• Slackware 8.1 and above

Software Requerido

• Linux Kernel 2.4 or higher
• Glibc 2.2 or higher
• CUPS
• SANE (yo use xsane)

Pero no se que pasa que los drivers que vienen en el CD original no funcionaron al menos en las distribuciones en que probe, Fedora core y Ubuntu Dapper. Y pues para mi era necesario tener la impresora y el scaner funcionando en mi distro.
Aquí presento la solución.

1. Hay que bajar el último pack en la zona de drivers de la página de samsung para Linux. http://www.samsung.com/mx/support/index.asp yo estoy usando la versión 20060719092647968_UnifiedLinuxDriver.tr.gz

2. Descomprimir el archivo, hay que observar que dentro del comprimido hay un directorio llamado Linux.

3. Abrimos una consola y nos situamos en la carpeta Linux y ejecutamos el archivo install.sh de la siguiente forma.

$ sudo ./install.sh

Vas a ver algunos errores que según no encuentra un dispositivo, no te preocupes ahí es donde esta el detalle tu sigue con la instalación.

Si pruebas en este momento la impresora veras que no responde, esto se debe porque Linux no encuentra en que puerto esta dado de alta la impresora, vamos a decircelo de la siguiente forma.

1. Vamos a añadir 2 líneas en el archivo 45-libsane.rules en el directorio /etc/udev/rules.d abre una consola y ejecuta.

$ sudo gedit /etc/udev/rules.d/45-libsane.rules

2. Agrega las líneas antes de la línea LABEL=”libsane_rules_end”

# Samsung|SCX-4100
SYSFS{idVendor}==”04e8″, SYSFS{idProduct}==”3413″, MODE=”664″, GROUP=”scanner”

Aquí le estamos dando ha linux el uso del scanner para todos los usuarios y diciendole como se llama el dispositivo correcto.

3. Ahora vamos abrir el archivo

$ sudo gedit /etc/udev/rules.d/60-symlinks.rules

Añadimos las siguientes lineas al final del documento.

# Create symlink for usb printer to /dev/usb/lp*

BUS==”usb”, KERNEL==”lp[0-9]*”, SYMLINK+=”usb/%k”

Aquí estamos direccionando la impresora al puerto USB correcto y que es asignado al archivo /dev/usblp0 de esta forma ya tu entorno linux debe reconocer tu impresora y por xsane tambien.

4. Solo falta reiniciar servicios para que surtan efecto.

$sudo /etc/init.d/udev restart

$sudo /etc/init.d/cupsys restart

Y listo puedes configurar desde menu/sistema/administracion/impresoras la multifuncional.

Fuente: Documento original

01 Agosto 2006 Publicado por kojikabuto | Linux | | 2 comentarios

A marcha Forzada…

En la sección de guias y manuales, estoy tratando de subir todo el material de propia autoría, aunque como ya saben “apoyando a la libre educación”, si tienen alguna sugerencia o comentario será bienvenido.

27 Julio 2006 Publicado por kojikabuto | General | | No hay comentarios

Mi escritorio con transparencia en terminal gnome

Aqui les muestro como tener una consola gnome-terminal en transparente.

¿Como lo hice?, no es una transparencia real según entendi pues se apoya gracias a alltray un paquete que sirve para poner muchas cosas en el tray, el siguiente how’to es para UBUNTU DAPPER distribución que utilizo actualmente instrucciones

26 Julio 2006 Publicado por kojikabuto | Linux | | 1 comentario

Cambiando de blog

Muy buen servicio de miarroba pero cansado de su desorganización he cambiado de blog, donde gracias a wordpress tengo una mejor organización y vista.

Ahora si como dicen a empezar a darle!!!!

26 Julio 2006 Publicado por kojikabuto | General | | No hay comentarios