Saludos y ..
ballester.david en gmail.com
ballester.david en gmail.com
Lun Jul 2 22:46:28 BST 2007
El lun, 02-07-2007 a las 20:53 +0200, Raul Veleiro A (en Yahoo)
escribió:
> Anda... yo pensé que iptables arrancaba por defecto en el
> Linux ... ????
No y sí, lo explico más abajo
> Pero haciendo un ps -ef | grep iptables (como root) no me sale
> nada...!
Y no saldrá
> ¿Como puedo ver si esta ejecuntándose o no?
>
iptables no es un proceso, iptables es una herramienta para que el
administrador defina y mantenga las reglas de firewalling, masquerading
( snat, dnat... ) y más cosas que estan muy bien explicadas aquí:
http://es.wikipedia.org/wiki/Netfilter/iptables
el firewalling y muchas cosas más ( Quality of Service -QoS- por
ejemplo ) es algo que se activa/desactiva a nivel de kernel y no hay
ningún proceso actuando por en medio. Si tienes el código de netfilter
compilado en tu núcleo ( normalmente como módulos - netfilter es un
conjunto de funcionalidades, no un solo 'software' ) y dichos módulos
cargados, tienes el 'firewall' activado y gestionando conexiones. Por lo
tanto, no verás procesos ejecutándose en la máquina que te indiquen que
el firewalling está funcionando ( por ejemplo, tampoco puedes ver
procesos de enrutado, pero tu máquina enruta los paquetes). Para
cerciorarte de que se estan inspeccionando paquetes puedes verificar que
primero, tienes el módulo iptables cargado ( lsmod | grep table ) y
segundo, usando la herramienta iptables, ver que reglas se están
aplicando a las conexiones de/contra/a_través de la o las ethernets de
tu máquina ( iptables -L ). ( también puedes mirar en /proc/net y
en /sys/module, busca algo relacionado a iptables, no tengo el iptables
cargado en este PC )
¿Como se para y arranca el firewalling? Bueno, si seguimos la forma de
'parar/arrancar' un módulo deberíamos descargarlo del núcleo ( rmmod
módulo y además previamente haber descargado otros módulos que
estuvieran haciendo uso de éste ), el siguiente paso sería no permitir
que en el siguiente arranque del sistema ese módulo se cargara 'por
defecto' ( /etc/modprobe.conf, blacklists... ). Para 'arrancarlo' sería
un proceso inverso, verificar que está en modprobe.conf, cargarlo en el
núcleo, etc...
Esto es demasiado complicado, así que la forma que se usa para
'desactivar' el firewalling es mediante la herramienta iptables, y se
cargan unas reglas que permiten todo el tráfico, así el módulo sigue
cargado y funcionando pero el resultado de las reglas que se aplican es
el mismo resultado que se obtiene si no se inspeccionan paquetes.
> En el otro PC tengo el Fwbuilder instalado (y tampoco veo nada de
> iptables con el ps -ef...). El Fwbuilder parece mejor que el
> firestarter.
Si, a mí me gusta mucho más que firestarter. Sobre todo para administrar
muchos firewalls de forma centralizada en una organización donde hay
'objetos' comunes.
> El fwbuilder es una GUI para crear reglas firewall en modo gráfico,
> que al instalarse se convierten en iptables.
... casi, vas por el buen camino.
fwbuiler, al igual que firestarter, en el fondo es un GUI donde se
definen las reglas de filtrado, masquerading... pero pudiendo definir
objetos ( redes, grupos de ips, macs, rangos de puertos... ) y definir
las reglas de modo 'arrastrar y soltar' dichos objetos ( tiene
muchísimas más funcionalidades, esto es solo una muestra ). Una vez
definidas las reglas se 'compilan' ( se verifica que no se solapen unas
con otras, se genera una versión por cada grupo de cambios, por
ejemplo ) y una vez 'compiladas' se genera un script que transforma
dichas reglas a comandos de iptables ( también convierte a comandos ipwf
de BSD, pix de Nokia... ) y si tu configuración lo permite, es capaz de
transportar dicho script al host destino y aplicar dichas reglas.
> Mas info en: http://www.fwbuilder.org
D.
--
http://dballester.blogspot.com
The Ubuntu Counter Project - user number # 4472
counter.li.org #206389
Más información sobre la lista de distribución ubuntu-es