teora-filtrado-4: (0.01) (potato)
	Nociones de filtrado de paquetes (IV) -Test offline con IP alias-

0.01 23/12/2000 primera versin
0.02 26/10/2002 alias lo:0 en lugar de eth0:0


Resumen de contenido:
--------------------
Testeo offline
    Levantar la IP alias
    Escaneo con nmap
    Otras pruebas
    Para ver las reglas (y el conteo de paquetes y bytes)
    Para ver el log de reglas prohibidas
    MAS INFO



Testeo offline

	Podeis testear mi cortafuegos firewall-easy desconectados de internet,
	y sin necesidad de levantar la conexin ppp, esto es posible gracias
	a que este cortafuegos esta diseado para esto ;-)



    Levantar la IP alias

	Os recominedo una IP alias de p.ej.: 1.1.1.1, para evitar que las
	reglas del cortafuegos que prohiben las entradas de rangos privados
	os impida testear las otras...

	1) Aadir a /etc/network/interfaces:
---8<---

# Alias IP (otra IP a escuchar en el mismo interface)
# ---SIEMPRE debe estar tras la inicializacin del interface real---

iface lo:0 inet static
	noauto
	address 1.1.1.1
	netmask 255.255.255.0
	network 1.1.1.0
	broadcast 1.1.1.255
--->8---

	"noauto" hace que el interface no se levante en el arranque del sistema
	(donde se hace un "ifup -a") y lo podamos activar o desactivar a mano 


	2) Lanzar:
	    ifup lo:0		# parta activar el alias ahora mismo
	    ifconfig		# para verificar que lo:0 existe
	    ifdown lo:0		# para desactivar el alias
	    ifconfig		# para verificar que lo:0 no existe



    Escaneo con nmap

	nmap -S 1.1.1.1 -P0 -sT -sU -v -p 22 1.1.1.1
	    # -S = forzar IP de salida a 1.1.1.1 (es necesario para udp, sino
	     sale como 127.0.0.1 y es bloqueada por la regla antispoof)
	    # -P0 = No hacer ping
	    # -sT = escaneo tcp
	    # -sU = escaneo udp
	    # -v = modo verboso
	    # -p = puerto a escanear, rangos como: 1-1024


	ATENCION: El escaneo va muy _MUY_ lento, esto es que el cortafuegos va
	 bien y es invisible y no devuelve nada forzando la espera de timeout

	No os creais cuando nmap dice "open", mirar los contadores de las reglas
	y el archivo de log y vereis que los paquetes fueron prohibidos :-)
    


    Otras pruebas

	ping 1.1.1.1
	ssh 1.1.1.1
	telnet 1.1.1.1
	telnet 1.1.1.1 80	# Intentamos entrar el el puerto tcp 80 (www)
	nmap -S 1.1.1.1 -P0 -sT -sU -v -p 20022 1.1.1.1   # test tcp/udp altos



    Para ver las reglas (y el conteo de paquetes y bytes)

	ipchains -L -n -v               # kernel 2.2
	iptables -t filter -L -n -v     # kernel 2.4



    Para ver el log de reglas prohibidas

	cat /var/log/messages



    MAS INFO

        IP Aliasing:	Net-HOWTO (seccin "IP Aliasing")

	man ifup		# manual del comando ifup
	man interfaces		# formato del archivo de interfaces
