LEEME firewall-easy

  *!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  *!! ATENCION AL ACTUALIZAR DESDE <0.40: Al cambiar los nombres de variables
  *!!   al Ingls en firewall-easy.conf este archivo es incompatible con
  *!!   versiones anteriores, INSTALA EL NUEVO DE ESTE PAQUETE Y RECONFIGURALO.
  *!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


CONFIGURACION DE FIREWALL-EASY

Aunque la configuracin es bastante automtica, y se autodetectan IP, mask y
DNS, an puede que sea necesario afinar algunos detalles:


AVISO SOBRE EL LOG EN KERNEL 2.2
Te recomiendo encarecidamente que desactives el log de paquetes (NOLOG = yes)
si estas usando un kernel 2.2 o inferior, ya que no tienen limitacin de log.
Un atacante decidido que conozca tu IP puede llenar tu disco duro con log de
paquetes. Es mas seguro emplear un kernel 2.4 (iptables).


RED LOCAL
Si tienes una red local adems de la conexin a Internet necesitas declarar
que interface usas para la red local, esto hace que no se apliquen las reglas
de Internet a tu red local y esta pueda acceder a todos tus servicios

    1) Edita /etc/firewall-easy.conf
    2) Aade una linea como IFACE_REDLOCAL=eth0 o el interface que uses


FTP ACTIVO
Hay dos tipos de FTP el pasivo o modo "puerto" y el activo
- En el modo pasivo es nuestro sistema el que abre la conexin de datos
- En el modo activo o "puerto" es el servidor FTP el que intenta abrir una
 conexin de datos contra nosotros

Los navegadores modernos trabajan por defecto en modo pasivo
Los navegadores de modo texto acostumbrar a poder ser configurados para
 trabajar en modo pasivo (busca "passive" en el man de su configuracin).

Si el servidor FTP te obliga a utilizar el modo activo entoces tienes varias
 opciones:

OPCION DE SEGURIDAD ALTA:
    No uses FTP activo, cambia de cliente FTP a uno que soporte el modo 
    "passive" o cambia de proveedor

OPCION DE SEGURIDAD MEDIA:
    1) Edita /etc/firewall-easy.conf
    2) Aade una linea como FTP="1.1.1.1 2.2.2.2" con las IP del servidor FTP

OPCION DE SEGURIDAD BAJA:
    1) Edita /etc/firewall-easy.conf
    2) Aade una linea como FTP="0/0"
    
    Esto tiene el inconveniente de que te pueden escanear (y de hecho seguro
    que lo hacen) utilizando el puerto origen ftp-data
    
    a) De entrada eres visible a pings TCP en esos escaneos
    b) Si tienes algn servicio activo en un puerto alto (1024-65535) no
     prohibido expresamente con una regla anterior puede ser intentado acceder
     desde Internet


DMZ EN INTERFACE DE INTERNET
Si estas conectando p.e. a un router ADSL configurado como multiPC en una red
privada necesitas excluir el rango usado para esta red de $NO_PRIV en
/etc/firewall-easy.conf para poder accederlo.
