Professional Documents
Culture Documents
Y
Firewall Avanzado
Bueno para comenzar quisiera explicar un poco la pantalla
principal del BrazilFW e indicar donde se encuentran estas
opciones, mucho de esto se explica solo leyendo la pantalla
Versión del BrazilFW
IP que obtiene el BrazilFW
Barra de herramientas
Estado de la
memoria y
datos del
equipo
Firewall Simple
Como de esta parte tratar el tema se ira explicando parte a parte
el objetivo es lograr un entendimiento mas amplio de su
funcionamiento .
En la imagen se muestra la parte del Firewall simple por
completo con cada una de sus partes.
Lista blanca y lista negra
Iniciando con la explicación de “firewall simple” contamos con las siguientes herramientas para administración, navegación
acceso y uso de la red, como son Permitir , Denegar y/o Filtrar, IP, puertos y protocolos
En este punto contamos con los siguientes items:
Permitir
Denegar
Filtrar
Empecemos con la sección de Filtrado de Usuarios Internos, esta parte se divide en dos secciones
IP’s puertos y protocolos
1.‐Permitir el acceso a todos los usuarios internos (aquí debemos agregar que se puede dar el uso de la lista negar)
Como dice su nombre es para que todo aquel que se conecte a la red pueda navegar y tener acceso a los servicios
brindados por nuestra red. Amenos que se agregue algún dato especifico para que algún equipo en nuestra red no tenga
esos privilegios de este modo agregamos en la lista negra la IP o la MAC addres de este equipo ( recordar que la mac adres se
conforma por 6 bloques de 2 dígitos hexadecimales XX:XX:XX:XX:XX:XX)
2.‐ Denegar el acceso a todos los usuarios internos ( aquí se puede dar el uso de la lista blanca)
Como dice su nombre impide la entrada o el uso de la red a todos los usuarios de la red a menos que se especifique en la
lista Blanca ya sea por su IP y MAC addres, de este modo solo navegaran los equipos que nosotros permitamos.
Pero la sección de Denegar el acceso a todos los usuarios internos tiene una herramienta mas, Direcciones IP y MAC
relacionadas, lo que hace esta opción una ves se configura de la manera a adecuada es solo permitir la navegación de los
equipos que tengan configurada la IP que uno le asigne y estará relacionada a su dirección MAC que tenga en su equipo (
digamos como ejemplo que yo asigno la IP 192.168.0.2 a la MAC 00:11:22:33:44 :55, entonces mientras ese quipo tenga la IP
asignada podrá usar la red , pero si el equipo se le configura una IP diferente negara la navegación ya que en el sistema su
MAC adres no coincidirá con la IP que le tenemos asignada)
Filtrado de servicios externos
Esta herramienta permite administrar a nivel general de la red los puertos que estarán cerrado o abiertos ya sea en UDP o
en TCP dentro del rango de los 65535 puertos que pertenecen al protocolo TCP.
Esta herramienta permite administrar los puertos de acceso y restricción para protocolos UDP o TCP en el rango de los
65535 puertos pertenecientes al protocolo TCP
Bueno esta parte se sub divide en
Esto quiere decir que solo los puertos o rango de puertos que indiquemos en la lista negra serán bloqueados.
2.‐ Denegar el uso de todos los servicios externos ( con la lista blanca administraras los puertos sin restricción abiertos )
Con el uso de la lista blanca los puertos o rango de puertos que se indiquen serán los que se encuentren con acceso o
estén abiertos.
La sintaxis a usar en ambos casos será la siguiente:
Para utilizar un puerto simple se redacta numero de puerto protocolo solo separado por un espacio
Ejemplo 80 tcp o 80 udp
para utilizar un rango de puertos la nomenclatura es la siguiente :
Lista de protocolos disponibles
100bao aim dayofdefeat‐ html http‐dap filetransfer ivs rlogin rpm rtf thecircle tor tsp
aimwebcontent source dhcp http‐ msnmessenger rtp rtsp shoutcastunknown unset
applejuice ares directconnect freshdownload mute napster sip skypeout uucp validcertssl
armagetron dns doom3 http‐itunes http‐ nbns ncp netbios skypetoskype ventrilo vnc
audiogalaxy edonkey exe rtsp http nimda nntp ntp smb smtp snmp‐ whois
battlefield1942 fasttrack finger httpaudio ogg openft mon snmp‐trap worldofwarcraft
battlefield2 flash freenet ftp httpcachehit pcanywhere pdf snmp socks x11 xboxlive
battlefield2142 gif gkrellm httpcachemiss perl png poco soribada xunlei yahoo zip
bgp biff gnucleuslan httpvideo ident pop3 postscript soulseek ssdp ssh zmaap
bittorrent chikka gnutella goboogy imap imesh ipp pressplay qq ssl stun subspace
cimd ciscovpn gopher h323 irc jabber jpeg quake‐halflife subversion tar
citrix code_red halflife2‐ kugoo live365 quake1 teamfortress2
counterstrike‐ deathmatch liveforspeed lpd quicktime radmin teamspeak telnet
source cvs hddtemp hotline mohaa mp3 msn‐ rar rdp replaytv‐ tesla tftp
Para terminar con firewall simple
Una ves que hemos terminado de configurar nuestro Firewall simple el paso siguiente es de los mas importantes
ya que si no presionamos en el botón que dice “Enviar” nuestra configuración no será almacenada en la memoria
temporal y nuestras modificaciones se perderán. Una ves precionado nos apareceran las siguientes leyendas
1.‐ Su regla de reenvío fue cambiada exitosamente.
2.‐ Usted debe Recargar el Firewall para aplicar los cambios. (Nos recuerda que hay que presionar en Recargar
firewall para que surtan efecto nuestras configuraciones.)
3.‐ Usted necesita resguardar su configuración para grabar los cambios. (Nos recuerda resguardar los cambios, de
este modo quedara gravado en la memoria permanente , si no se realiza esto una ves que se reinicie el router se
perderá cualquier configuración que hallamos echo.
Firewall avanzado
Firewall avanzado es una herramienta que como su nombre lo dice avanzada de administración de la red ya
que con ella podemos administrar a nivel de IP y protocolos dando Accesos o Denegando el mismo de
manera mas confiable y especifica.
Bueno para empezar debemos saber que aremos por ejemplo si nosotros hemos usado en el firewall simple el Denegar el
uso de todos los servicios externos aremos algunos ejemplos de cómo se crearan loas reglas en el router para la navegación
e iremos abriendo algunos puertos y se ira viendo como enrutar la navegación a sitios específicos .
Primero que nada vamos hasta la parte final de la pagina del Firewall avanzado y presionamos en donde dice Acceso y nos
abrira una pagina con un formato a llenar
En la parte superior se muestra el formato que nos aparecerá para poder crear una regla en nuestro router . Se ira
desglosando y explicando cada parte
En esta opción claramente se entiende que nos sirve para saber si la
Regla que hagamos estará activa o no, digamos que es para tener en
reserva alguna regla que se aplicara posteriormente o simplemente
saber si la tenemos activa
De este modo sabemos que es lo que ara nuestra regla ya sea
permitir o negar
Aquí se escoge el protocolo que será usado en la
regla se puede elegir entre ALL TCP UDP y ICMP
o el numero del protocolo que use el servicio
Aquí se establecerá el origen se puede escoger
entre IP or Host name, MAC, local Network,
Local Interface, Local IP Adres, internet, Internet
interface , interface IP Address y Any. En la
Segunda barra de texto se podrá introducir
Nombre, IP , MAC u otro dato de la red.
Aquí se puede agregar el puerto o el rango de puertos que se negaran o
se permitirán según sea el caso
Aquí se establecera el destino al igual que en el
origen se escoge de la lista antes mencionada y en el }
recuadro en blanco pondremos el destino según se
allá definido
Se indicara el puerto o el rango de puertos que se
aplicaran en la regla.
Al final nos deja poner un comentario para que podamos identificar o saber para que sirve la regla que hemos puesto
Como se muestra en este
Ejemplo se da a entender
que el proceso esta activo ,
Es para permitir para la IP de
la red especificada el uso de
un Puerto en especifico (22)
en cualquier destino.
Al final se comenta el nombre
de la persona a la que se le
asigno la regla y el motivo que
es tener el puerto de conexión
SSh abierto para los diferentes
sitios que se utilizara
Otro ejemplo pero con una
regla que nos permite que
toda la red local navegue o
Acece a la dirección que esta
en internet .
Para editar alguna de las reglas que hemos creado solo es cuestión de ir a la pagina principal de Firewall
avanzado buscar en la lista la regla que queremos modificar y presionar en la opción de editar
para borrar una regla creada solo es cuestión de presionar sobre la misma al final el botón de “Delete”
Por ultimo veremos algunas funciones que también podemos encontrar en el Firewall simple, es una
configuración no grafica y se agregan comando como si fuera simple texto.
Primero veremos la parte que se marca en rojo, si presionamos sobre el nombre nos mandara a una pantalla de este tipo
En este apartado encontraremos la mayor parte delas
configuraciones que se hagan en cualquiera de las dos
modalidades del Firewall, puestos bloqueados o permitidos, IP’s
MAC addres y /o cualquier otra configuración que agregamos
en los pasos anteriores, así mismo podemos usar este medio
para dar de alta las reglas que queramos o para realizar un
resguardo manual a un block de notas copiando la información
que esta contenida.
De manera seguida sedara una explicación de algunos comandos
que encontraran dentro del recuadro ya mostrado
Configuración de las Reglas del Firewall
access Y permit all 192.168.0.31 any all all # canisales
Desglosado
access = aun no se que diferencia hay con administrativa
Y = pones "Y" para activada y "N" para no activa
all = el protocolo que utilizara ya sea TCP UDP o todos (all)
192.168.0.31 = ala ip que deseas que tenga los privilegios o negaciones
all = puertos destino (note se que se repite esta palabra) , delimitaras los puertos a usar del destino al cual estas
dirigiendo los privilegios ( lo mas probable de red externa)
Sintaxis
block_port (puerto a bloquear) (despues de un espacio el protocolo tcp udp)
Ejemplo:
block_port 22 tcp
Ejemplo:
allow_port 33885 udp
Bloque y apertura de Mac addres en archivo de configuración de Firewall
Sintaxis
block_mac (la MAC addres a bloquear que esta conformado por 6 bloques de 2 dígitos hexadecimales)
Ejemplo:
block_mac 00:11:22:33:44:55
allow_mac (la MAC addres a admitir que esta conformado por 6 bloques de 2 dígitos hexadecimales)
Ejemplo:
allow_mac 00:11:22:33:44:55
Bloque y apertura de dirección IP en archivo de configuración de Firewall
Sintaxis
block_ip (dirección IP a bloquear)
Ejemplo:
block_ip 192.168.0.254
allow_ip (dirección IP a Permitir)
Ejemplo:
allow_ip 192.168.0.10
Bloque de protocolos en archivo de configuración de Firewall
Ejemplo:
block_protocol msn‐filetransfer
Relacionar una IP con una MAC addres en archivo de configuración de Firewall
match_ip_mac 192.168.0.100 00:11:22:33:44:55
Autor Fco. Dario Granillo Landgrave
Alias: Krizar Ashiel Dagarr