bastion-firewall Comandos 1.0

Copyright © 2004 Jose María López Hernández <jkerouac@bgsec.com>

Copyright © 2004 bgSEC (www.bgsec.com)

Este documento esta protegido bajo la licencia pública FDL de la Free Software Foundation.

bastion-firewall ha sido liberado bajo la licencia pública GPL de la Free Software Foundation.

El titular del copyright da permiso para que este documento sea copiado, distribuido y/o modificado bajo los terminos de la GNU Free Documentation License (FDL), siempre que se incluya una nota donde se especifiquen los autores originales del documento y el título del mismo. El texto de la licencia en inglés se incluye en este mismo documento y tiene validez legal plena.

Este documento y cualquier código fuente que se incluya se distribuyen con la esperanza de que resulten útiles, pero SIN NINGUNA GARANTIA; sin incluso la garantía implícita de COMERCIALIZACIÓN o ADECUACION PARA UN PROPÓSITO EN PARTICULAR. Si necesita más detalles consulte la GNU Free Documentation License (FDL) y la GNU General Public License (GPL) de la Free Software Foundation.

Tabla de Contenidos

Sobre bastion-firewall
Sobre los autores de bastion-firewall y este tutorial

1. Introducción
2. Características de bastion-firewall
   
3. Conceptos de bastion-firewall

COMANDOS

1. bastion-firewall
2. bastion-firewall-interface
3. bastion-firewall-stats
4. bsf_acceptip
5. bsf_blackip
6. bsf_changerule
7. bsf_checkip
8. bsf_clearconntrack
9. bsf_clearlocks
10. bsf_closeall
11. bsf_closeip
12. bsf_dropip
13. bsf_dshield_to_list
14. bsf_error
15. bsf_helpvar
16. bsf_makecert
17. bsf_newservice
18. bsf_newservicebulk
19. bsf_openall
20. bsf_openip
21. bsf_start
22. bsf_stats
23. bsf_stop
24. bsf_unacceptip
25. bsf_unblackip
26. bsf_unblackipall
27. bsf_uncloseip
28. bsf_undropip
29. bsf_unopenip
30. bsf_unwhiteip
31. bsf_unwhiteipall
32. bsf_whiteip

Licencias

Sobre bastion-firewall

bastion-firewall es un firewall desarrollado por Jose María López Hernández <jkerouac@bgsec.com> y bgSEC (www.bgsec.com) basado en Netfilter e iptables y liberado bajo la licencia GPL de la Free Software Foundation.

bastion-firewall  está pensado como firewall llave en mano para usuarios finales así como firewall completamente customizable para usuarios avanzados. La configuración por medio de ficheros bash permite una gran flexibilidad en la generación de reglas. El código del firewall esta escrito en un 99 por ciento en bash, con una pequeña parte en C para obtener los datos de Netfilter y generar las paginas con las gráficas de estadísticas de tráfico, este planteamiento permite a un usuario que pueda programar en bash el cambiar bastion-firewall para adaptarlo a cualquier sistema de producción. bastion-firewall ha sido liberado por bgSEC bajo licencia GPL y su documentación bajo licencia FDL, así que puede cambiar cualquier aspecto de bastion-firewall y usarlo en su sistemas de producción o liberarlo bajo licencia GPL manteniendo el Copyright original.

Como ejemplo de la flexibilidad de bastion-firewall bgSEC ha liberado UNbeatABLE CD bajo licencia GPL, una adaptación de la distribución Knoppix 3.3 con bastion-firewall integrado y que permite usar el firewalll desde el CD sin necesidad de disco duro. UNbeatABLE CD es una demostración de tecnología y debe considerarse como tal, puede tomarse como ejemplo de la flexibilidad del código o como punto de partida para generar firewalls ad-hoc para sistemas de producción.

bastion-firewall 1.0 ha sido considerado apto para sistemas de producción y se encuentra funcionando en varias máquinas con buenos resultados, también ha sido utilizado para generar scripts que son firewalls en si mismos y que después de editados y adaptados se encuentran funcionando en sistemas de producción con éxito.

bastion-firewall 1.0 ha sido desarrollado en España por Jose María López Hernández <jkerouac@bgsec.com> y bgSEC (www.bgsec.com) y por tanto los ficheros de configuración, la documentación y los comentarios del código están en español. Desde el comienzo del proyecto se pensó en traducir todo el firewall al idioma ingles, y se han adaptado las ordenes y los nombres de los ficheros para facilitar el cambio de idioma sin tener que cambiar la estructura general del firewall. En este momento se encuentran traducidos al ingles los ficheros de configuración con toda su ayuda, las páginas de manual, la ayuda de las órdenes, parte del interface gráfico bastion-firewall-interface y bastion-firewall-stats en su totalidad. También se han traducido los ficheros que acompañan a la distribución y la guía rápida de configuración. Esto debería bastar para que los angloparlantes puedan usar bastion-firewall sin ningún tipo de problemas, pero queda en el TODO la traducción completa de los comentarios del código, del tutorial, de la ayuda y completar la traducción del interface gráfico bastion-firewall-interface.

Sobre los autores de bastion-firewall y este tutorial

bastion-firewall, bastion-firewall-interface y bastion-firewall-stats han sido creados por Jose María López Hernández <jkerouac@bgsec.com> y bgSEC (www.bgsec.com) y liberados bajo licencia GPL (codigo) y FDL (documentación).

bastion-firewall-interface funciona sobre el servidor HTTP apache y PHP4, deberá consultar las licencias de ambos programas si quiere utilizarlos en su sistema de producción. Tanto apache como PHP4 son Copyright de sus propietarios y no tienen ninguna relación con bgSEC, aunque sus licencias permiten que sean distribuidos junto al firewall sin modificar.

Tanto ulogd como rrdtool son parte integrante de bastion-firewall pero sus Copyright pertenecen a sus propietarios, deberá consultar sus licencias si quiere usarlos en su sistema de producción con bastion-firewall-stats. Se distribuyen sin modificar en forma binaria y codigo fuente, en los ficheros de distribución se pueden consultar las licencias de cada uno de los programas.

Los addons hogwash, snort-inline, snort, pdumpq, Netfilter e iptables y los ficheros de firewall stressing (ethereal, fragrouter, ftest/ftestd, hping2, nasl, nmap/nmapfe, sing, snot y tcpdump) son Copyright de sus propietarios y no tienen ninguna relación con bgSEC. Se aconseja su uso para probar el firewall y se distribuyen sin ninguna modificación como addons de bastion-firewall. Su uso es opcional y no forman parte de bastion-firewall, se distribuyen como binarios y como código fuente sin modificar. En la distribución de cada programa se puede consultar la licencia y el Copyright de cada uno de ellos.

1. Introduccion

• Flexibilidad: Se elegió bash como lenguaje de programación por ser suficientemente conocido por los administradores de sistemas, sencillo de modificar y reprogramar o añadir código. También es lo suficientemente potente para realizar casi cualquier algoritmo que se desee desarrollar.
• Robustez: La elección de bash como lenguaje de programación asegura una gran facilidad en la realización de tests y en la modificación del código. Esto asegura que cualquier error o fallo en el firewall pueda ser solucionado por el mismo administrador del sistema, sin necesidad de contratar servicios de consultoría o aprender lenguajes de programación nuevos. El lenguaje es lo suficientemente rígido para asegurar que cualquier error en los scripts o los ficheros de configuración sea detectado fácilmente.
• Extensibilidad: bastion-firewall puede ser modificado y extendido por medio del añadido de addons o por medio de plugins muy fáciles de programar en codigo bash y que se integran fácilmente en el código del firewall. En puntos claves del firewall se permite la introducción de código local para que un administrador pueda añadir reglas o código sin tener que tocar los ficheros básicos de bastion-firewall. Los addons permiten usar programas externos integrados con bastion-firewall usando la funcionalidad de este para usar programas externos para distintas tareas. Dos ejemplos de addons integrados son ulogd y snort-inline, que pueden ser añadidos al firewall usando la funcionalidad implementada en este.
  
• Fácil mantenimiento: La utilización de bash tanto en el código como en los ficheros de configuración permite modificar y mantener el firewall de forma muy sencilla para cualquier administrador con conocimientos básicos de programación en shell.
• Actualizaciones: bastion-firewall se compone de una parte central compuesta por código bash y bastion-firewall-stats programado en C, todo lo demás son addons que se integran sin necesidad de ser modificados, lo que permite que puedan ser actualizados sin afectar al funcionamiento del firewall. Una colección de ficheros build permiten la configuración inmediata mediante comandos ./configure de los addons y los complementos como rrdtools, apache o php4, y pueden así ser actualizados en un tiempo mínimo sin afectar al firewall. Es posible en muchos casos incluso actualizar parte de estos addons en caliente, sin tener que parar el firewall.
• Soporte: bastion-firewall puede ser administrado y modificado por los mismos administradores del sistema de producción, pero también puede solicitarse servicios de consultoria y soporte técnico a bgSEC( www.bgsec.com). También es posible solicitar a bgSEC modificaciones o adaptaciones a sistemas de producción de bastion-firewall.
• Documentación completa: Simplemente con los ficheros de configuración es posible comenzar a funcionar con bastion-firewall, pues incluyen una gran cantidad de ayuda en forma de comentarios para cada variable que se puede modificar. Además se adjunta en la distribución una gran cantidad de ficheros de ayuda que explican todos y cada uno de los aspectos de bastion-firewall. Los ficheros de código están profusamente comentados para una fácil comprensión y mantenimiento, y se espera que estén traducidos al ingles en un corto espacio de tiempo.
• Funcionalidad: bastion-firewall permite crear una cantidad de reglas enorme simplemente editando una serie de variables en los ficheros de configuración, usando las facilidades de grupos de redes, grupos de servicios, mensajes icmp y protocolos, así como el uso de listas de IPs que pueden incluirse en cualquier sitio donde se solicite una dirección IP. Es posible el crear scripts con más de 3000 reglas simplemente editando cuatro o cinco variables de los ficheros de configuración.
• Adaptabilidad: bastion-firewall se adapta a múltiples entornos, e incluye templates para algunos de estos, que permiten tener un firewall en producción simplemente editando media docena de variables y sin tener que leer prácticamente documentación. Esta preparado para poder ser usado como un simple firewall personal, como un firewall con DMZ para una gran empresa o como generador de scripts de firewalls que pueden ser instalados en varias máquinas.
• Portabilidad: El código bash y la utilización de herramientas estandard de Linux hacen a bastion-firewall perfecto para ser adaptado a múltiples distribuciones de Linux o a sistemas de producción completamente diferentes.
• Rapidez: La ordenación de las reglas por medio de tablas según el tipo de tráfico y la agrupación de puertos para servicios con varios puertos permiten a bastion-firewall generar reglas que Netfilter puede recorrer muy rápido, proporcionando una respuesta superior a la de otros firewalls o a la de scripts escritos a mano por un administrador. La cache de reglas permite cargar miles de ellas en segundos usando iptables-restores/iptables-save cuando los ficheros de configuración no hayan cambiado, hecho que el propio firewall detecta y tiene en cuenta. Una vez configurado el firewall la carga y descarga de cadenas y reglas lleva un tiempo mínimo para el sistema, lo que aventaja a los scripts que ejecutan iptables orden por orden y tardan un tiempo en generar las reglas.
• 
  

2. Características de bastion-firewall

• Programado en bash (99 por ciento del código) y C. Esto proporciona flexibilidad y facilidad de modificación del código. Unas 26000 lineas de código bash y C que proporcionan una funcionalidad muy alta, implementando casi todas las posibilidades de protecciones del kernel de Linux, incluidas las que se modifican en /proc y las del sistema Netfilter/iptables.
  
• Basado en las facilidades Netfilter e Iptables proporcionadas por casi todas las distribuciones de Linux y por el kernel oficial. El firewall no usa ningún tipo de código propio o facilidades programadas, por lo que las ordenes que invoca son todas comandos iptables que crean reglas como lo haría un script, pero sin tener que escribir ni una sola linea de código.
• El sistema no usa perl, python, ruby o comandos que puedan ser utilizados por un supuesto atacante como herramientas de trabajo después de un compromiso del sistema.  bastion-firewall puede correr en una distribución muy pequeña, en modo texto y con un número de paquetes instalados mínimo.
  
• Administración basada en ficheros de configuración en texto plano y tratados como código bash, permitiendo introducir código en los ficheros de configuración para la generación de los valores de las variables.
• Administración basada en web mediante bastion-firewall-interface que modifica los ficheros de configuración, habilitando al administrador a realizar una configuración mixta, editando cosas con el interface y retocando luego si es necesario o útil los ficheros de configuración.
• Ficheros de configuración totalmente comentados y con ayuda para cada variable que se puede alterar en el firewall. Los ficheros son autoexplicativos e incluyen documentación sobre el funcionamiento del firewall. En teoría sólo con esta documentación bastaría para configurar completamente el firewall y todas sus opciones, sin necesidad de leer ni una sola linea de documentación.
• Sistema de estadísticas del tráfico basadas en web y que contienen gráficas del tráfico realizadas con rrdtool. Estas gráficas se generan automáticamente con solo incluir una directiva en el fichero del configuración del firewall o una opción en cada servicio o grupo de servicios de los que queremos obtener gráficas de tráfico. Creación automática de una página web que permite ver las estadísticas gráficas con facilidad.
  
• Sistema de separación del tráfico y de agrupación y ordenación de las reglas, servicios y protocolos para obtener una máxima velocidad en el tratamiento del tráfico por parte de Netfilter. La idea es que Netfilter tenga que comprobar el mínimo número de reglas y que las reglas que afectan a un servicio y tienen varios puertos estén agrupadas en un solo comando.
• Ficheros preparados para añadir código local por el administrador en puntos estratégicos de la carga de reglas del firewall, esto permite modificar el firewall sin tener que tocar el codigo.
• Posibilidad de escribir plugins de forma muy sencilla para añadir funcionalidad al firewall. El firewall detecta los nuevos plugins y los integra en las reglas a generar, proporcionando una forma inmejorable de añadir código a bastion-firewall.
• Uso de programas externos y addons totalmente estandard, sin ninguna modificación, permitiendo que sean actualizados o substituidos por otros con facilidad.
• Funciona en sistemas o distribuciones con un mínimo de comandos, básicamente usa bash, los comandos estandard de Linux e incluye rrdtool y ulogd en la distribución, por lo que no es preciso que estén instalados en el sistema.
• Sistema de blacklist para bloquear direcciones IP permanentemente. Sistema de whitelist para indicar que direcciones nunca se deben bloquear. Se proporcionan ordenes para administrar ambas listas y pueden ser usadas desde un IDS o IPS para bloquear posibles atacantes sin peligro de provocar un ataque de denegación de servicio.
• Sistema de blacklist y whitelists para direcciones MAC. Es similar al sistema de blacklist/whitelist para direcciones IP.
  
• Sistema de MACs restringidas que permite elegir que máquinas podrán hablar con el firewall y cuales no, tanto en la red local como en la red externa (como en una DMZ).
• Posibilidad de utilizar listas de IPs en cada lugar donde normalmente introduciríamos una dirección IP. bastion-firewall expandirá la lista de IPs y creará las reglas para cada IP.
• Posibilidad de crear nuevos servicios, grupos de servicios y grupos de redes, para gestionar el funcionamiento del firewall simplemente editando un número mínimo de variables.
• Sistema MD5 para detectar cambios en la configuración y elegir entre regenerar de nuevo las reglas o cargar las reglas en la cache si no se ha modificado la configuración desde el último reinicio del firewall.
• Doble filosofía de funcionamiento del firewall, la primera usando flujos de tráfico a bloquear o permitir y la segunda usando tablas donde se especifican las reglas.
• Permite para cada servicio especificar los flujos de tráfico entre los interfaces de entrada y salida y las IPs de la red local y la remota, así como si quieremos que se apunten las conexiones en los logs, si queremos que se pasen a ulogd y si queremos que se creen estadísticas para el servicio en cuestión.
• El administrador puede añadir mediante ordenes o editando los ficheros nuevos servicios o grupos de servicios de forma muy sencilla, y luego especificar las reglas para estos grupos o servicios. No es necesario tocar el código para añadir nuevos servicios al firewall, e incluso existe una orden para añadir una lista de servicios contenida en un fichero al firewall, permitiendo añadir gran cantidad de servicios sin tener que editar los ficheros de configuración.
• Implementación de las facilidades incluidas en los pom incluidos con iptables.
• Proteccion contra ataques contra el kernel, spoofing, ataques de denegación de servicio, ataques de llenado de los logs, escaneos de puertos.
• Posibilidad de especificar como queremos rechazar o aceptar los paquetes. Uso de REJECT o DROP a elección del administrador.
• Creación de un fichero script cada vez que se regeneran las reglas que contiene TODAS las ordenes que ha ejecutado el firewall, tanto para activar las protecciones del kernel como las ordenes iptables que ha ejecutado. La ejecución de este script tiene el mismo efecto que arrancar el firewall. El script incluye comentarios de cada orden que ejecuta y de los servicio que habilita o bloquea. Este script permite usar bastion-firewall como un potente generador de scripts que son firewalls en si mismos, habilitando al administrador a crear firewalls ad-hoc para sistemas en concreto simplemente alterando algunas variables en los ficheros de configuración. Es una de las características más potentes y útiles de bastion-firewall.
  
• Creación de logs del funcionamiento del firewall y avisos de inicio y parada de este, así como de los addons.
• Detección y posible bloqueo de trafico nuevo sin SYN, de fragmentos de tráfico, de tráfico considerado invalido por conntrack o de trafico no valido o considerado spoofing.
• Permite mandar por ejemplo el trafico HTTP que se ha decidido aceptar a snort-inline para que este lo inspeccione y decida si el firewall debe bloquearlo o dejarlo pasar. Esto constituye una forma de IPS bastante eficaz y muy segura si mantenemos una cantidad pequeña de reglas en snort-inline. La ventaja de usar este método es que snort-inline realiza un tratamiento completo del tráfico HTTP por poner un ejemplo antes de comprobar con sus reglas si debe ordenar al firewall que bloquee o permita el tráfico.
• Permite usar ulogd para mandar los logs a una base de datos como mysql o postgresql, o crear logs personalizados que luego pueden ser tratados con swatch o programas similares.
• Tratamiento personalizado o configuración por defecto de todo el trafico ICMP. Posiblidad de que conntrack devuelva mensajes ICMP o no los devuelva.
• Posibilidad de creación de reglas mediante tablas usando todas las facilidades de grupos de IPs o servicios del firewall y que tienen precedencia sobre las demás reglas del firewall para ajustar el firewall cuando tenemos varias redes que queremos tratar de forma diferente.
• Funcionalidad de proxy transparente, NAT, SNAT, DNAT o REDIRECT por medio de tablas y mediante fichero de configuración. Para cada servicio puede indicarse un servidor interno de la red local que proporcione servicios al exterior mediante DNAT simplemente introduciendo su IP en una variable.
• Funciona sin modificaciones tanto sobre las versiones 2.4 del kernel como en las 2.6.
• Al cargar el firewall y si debe regenerar las reglas comprueba que estan disponibles todos los comandos necesarios así como todas las IPs, grupos y listas que se incluyan en los ficheros de configuración. También comprueba que las reglas tengan la sintaxis correcta y produce errores intentando dar ayuda sobre donde se ha producido el error si se introducen datos incorrectos.
• Permite el uso de rangos y listas de IPs, expandiendolos a direcciones IPs, pues iptables no soporta rangos de IPs directamente.
• bastion-firewall puede funcionar con cualquier número de interfaces de entrada o de salida, siempre que el enrutado sea correcto entre estos interfaces y redes, esto permite por ejemplo tener conexiones a varios routers ADSL desde una LAN y especificar reglas para todo el trafico que ha de entrar o salir por ellos. Es necesario que el administrador use el comando ip para habilitar el enrutado entre la LAN y las interfaces que conectan a los routers.
• Permite una gran cantidad de combinaciones de logs, usando los logs de apache o ulogd.

3. Conceptos de bastion-firewall

lan-to-ext

fw-to-lan

fw-to-ext

COMANDOS

bastion-firewall

NAME

SYNOPSIS

DESCRIPTION

USAGE

bastion-firewall puede ser arrancado usando el comando:

/etc/rc.d/init.d/bastion-firewall start

y parado con:

/etc/rc.d/init.d/bastion-firewall stop

el estatus se muestra con:

/etc/rc.d/init.d/bastion-firewall status

Tambien se puede controlar con las ordenes bsf_start y bsf_stop.

bastion-firewall tiene una gran cantidad de opciones de configuracion y posibilidades, asi como un gran numero de ordenes para controlarlo. Para poder usarlo es necesario leer al menos los ficheros de configuracion. Se recomienda leer la documentacion que viene con la distribucion del firewall para comprender como funciona y como configurarlo correctamente.

bastion-firewall permite una gran flexibilidad en su configuracion, puede crear estadisticas y graficas del trafico en las cadenas y en el firewall y generar scripts bash que son firewalls en si mismos. Permite crear una gran cantidad de reglas cambiando solo algunas variables en los ficheros de configuracion, usando grupos de servicios y listas de ips. Tiene una cache que una vez generadas las reglas puede cargar miles de ellas en segundos. Todas estas opciones y muchas mas pueden ser consultadas en la documentacion.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bastion-firewall-interface

NAME

SYNOPSIS

DESCRIPTION

USAGE

/etc/rc.d/init.d/bastion-firewall-interface start:

Inicia el interface basado en web de bastion-firewall.

/etc/rc.d/init.d/bastion-firewall-interface stop :

Para el interface basado en web de bastion-firewall.

/etc/rc.d/init.d/bastion-firewall-interface status :

Muestra el estatus del interface basado en web de bastion-firewall

Para manejar el bastion-firewall-interface apunte con su navegador a la siguiente direccion:

http://localhost:10002 para HTTP en claro

http://localhost:10003 para HTTP sobre SSL

Si quiere manejarlo desde una consola en otra maquina diferente al firewall substituya localhost por la direccion IP o nombre DNS de la maquina que contiene bastion-firewall. Tenga en cuenta que debe tener permiso para acceder a estos puertos del firewall.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bastion-firewall-stats

NAME

SYNOPSIS

DESCRIPTION

USAGE

bastion-firewall-stats :

Actualiza las bases de datos rrdtool en /var/lib/bastion-firewall/rrd y crea las graficas y las paginas con las estadisticas de trafico del firewall en /var/lib/bastion-firewall/html. El comportamiento por defecto y el mas aconsejable es actualizar las bases de datos cada cinco minutos y las paginas y las graficas cada hora. Normalmente se ejecuta en el inicio justo despues de bastion-firewall desde el script en /etc/rc.d/init.d o /etc/init.d.

Usa los siguientes comandos .bsf en /usr/lib/bastion-firewall/bsf:

bfscreate.bsf : Crea los ficheros rrdtool si no lo ha hecho bsf_start

bfsupdate.bsf : Actualiza una base de datos de rrdtool

bfsgraph.bsf : Crea una grafica con los datos de rrdtool

bfshtml.bsf : Crea la pagina de estadisticas de trafico

Los parametros que acepta el comando son los siguientes:

segundos :

Segundos entre las actualizaciones de las bases de datos rrd con los datos obtenidos de las cadenas de netfilter, segundos es por defecto 300 (5 minutos) Y NUNCA DEBERIA CAMBIAR ESTO, SI LO CAMBIA DEBERA ALTERAR LOS SCRIPTS.

veces :

Cuantas veces el programa tiene que esperar 'segundos' para actualiazar los graficos con los datos en las bases de datos rrd para que queden actualizados cada (segundos*veces) segundos, veces es por defecto 12 (una hora) PERO PUEDE CAMBIARLO A 6 O 3 QUIZA PARA OBTENER GRAFICAS CADA 30 MINUTOS O 15 MINUTOS.

Si solo queremos cambiar el numero de veces que se crearan las graficas deberemos usar el comando: " bastion-firewall-stats 300 'veces' " con 'veces' el numero de veces que cada 300 segundos se crearan las graficas, para no tener que tocar los scripts.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_acceptip

NAME

SYNOPSIS

DESCRIPTION

USAGE

   bsf_acceptip direccionip (xxx.xxx.xxx.xxx)
   bsf_acceptip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_acceptip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_acceptip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_acceptip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_acceptip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_blackip

NAME

SYNOPSIS

DESCRIPTION

USAGE

   bsf_blackip direccionip (xxx.xxx.xxx.xxx)
   bsf_blackip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_blackip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_blackip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_blackip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_blackip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_changerule

NAME

SYNOPSIS

DESCRIPTION

USAGE

   bsf_changerule [opcion] trafico servicio/grupo

servicio: Nombre de un servicio (HTTP) o grupo (GROUP_SERVER)

trafico: Una direccion de trafico con sus opciones, como por ejemplo fw-to-lan:log:stats o lan-to-ext. No se comprueba la validez de la regla de trafico que se introduce.

opciones:
 -a Meter un nuevo tipo de trafico a la regla
 -d Quitar un tipo de trafico de la regla, para esto
    debe coincidir exactamente con el que tenemos
 -n Borrar todas las reglas de trafico para este servicio

bsf_changerule -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_checkip

NAME

SYNOPSIS

DESCRIPTION

USAGE

   bsf_checkip direccionip (xxx.xxx.xxx.xxx)
   bsf_checkip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_checkip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_checkip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_checkip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

Si se trata de un rango o una lista devuelve todas las IPs incluidas en el rango o indicadas en la lista comprobadas y chequeadas para ver si son correctas.

bsf_checkip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_clearconntrack

NAME

SYNOPSIS

DESCRIPTION

USAGE

bsf_clearconntrack direccionip (xxx.xxx.xxx.xxx) : Borra las conexiones TCP para una direccion IP

bsf_clearconntrack -a : Borra todas las entradas de la tabla

Este comando necesita que tengamos instalado hping2, pues usa esta utilidad para mandar un RST a cada lado de la sesion TCP.

Es totalmente normal que aparezcan errores indicando que se ha terminado hping2. Se lo ejecuta y luego se lo mata para no tener que esperar las respuestas a los reset.

Solo sirve para TCP.

bsf_clearconntrack -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_clearlocks

NAME

SYNOPSIS

DESCRIPTION

USAGE

bsf_clearlocks : Borra todos los ficheros lock de bastion-firewall

bsf_clearlocks -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_closeall

NAME

SYNOPSIS

DESCRIPTION

USAGE

bsf_closeall : Cierra el trafico en todas las interfaces menos loopback

bsf_closeall [-f] : No permite tampoco trafico loopback

bsf_closeall -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_closeip

NAME

SYNOPSIS

DESCRIPTION

USAGE

   bsf_closeip direccionip (xxx.xxx.xxx.xxx)
   bsf_closeip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_closeip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_closeip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_closeip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_closeip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_dropip

NAME

SYNOPSIS

DESCRIPTION

USAGE

   bsf_dropip direccionip (xxx.xxx.xxx.xxx)
   bsf_dropip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_dropip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_dropip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_dropip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_dropip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_dshield_to_list

NAME

SYNOPSIS

DESCRIPTION

USAGE

Transforma un fichero de redes que se recomienda bloquear, en el formato Recommended Block List de dshield.org en un fichero lista de bastion-firewall.

Este fichero se puede bajar con su firma y comprobarla con el script perl dshield-get_block.pl o con wget/curl de:

http://feeds.dshield.org/block.txt

y la firma de:

http://feeds.dshield.org/block.txt.asc

Luego se puede meter el fichero resultante en el directorio /etc/bastion-firewall/lists y el nombre block.list en blacklist.conf para bloquear estas redes.

bsf_dshield_to_list -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_error

NAME

SYNOPSIS

DESCRIPTION

USAGE

bsf_error fichero variable (or X) mensaje

Manejar un mensaje de error en el firewall y dar ayuda al usuario para que pueda resolverlo. Si pasamos como variable X es que no hay ninguna variable implicada, por lo que no se buscara su valor ni ayuda. No es un error el pasar una variable que no tiene valor, pues, precisamente el fallo puede ser que la variable este vacia. Si el mensaje contiene espacios deberia ir entre comillas ""

Este comando puede ser usado en los ficheros locales de script del firewall y tambien en scripts o plugins que escribamos para el firewall.

bsf_error -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_helpvar

NAME

SYNOPSIS

DESCRIPTION

USAGE

Este comando puede ser usado en los ficheros locales de script del firewall y tambien en scripts o plugins que escribamos para el firewall.

bsf_helpvar -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_makecert

NAME

SYNOPSIS

DESCRIPTION

USAGE

Crea el certificado para poder usar bastion-firewall-interface sobre SSL. Luego nos permite borrar la clave maestra del certificado para no tener que introducirla cada vez que arranquemos bastion-firewall-interface.

bsf_makecert -r :

Borra las claves y certificados actuales que tenemos.

bsf_makecert -h | --help :

Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_newservice

NAME

SYNOPSIS

DESCRIPTION

USAGE

Las opciones son:

NOMBRE_SERVICIO: Nombre del servicio, no debe coincidir con ninguno de los ya definidos ni con variables que se usen en los ficheros de configuracion.

PUERTOS: Lista de puertos en la forma puerto/protocolo. Por ejemplo 80/tcp o 53/udp

bsf_newservice -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_newservicebulk

NAME

SYNOPSIS

DESCRIPTION

USAGE

Crear un grupo de nuevos servicios en el firewall.

FICHERO: Fichero que contiene una lista de servicios

El formato del fichero es:

NOMBRESERVICIO puerto/protocolo [puerto/protocolo] [...]

donde NOMBRESERVICIO puerto/protocolo tienen el formato indicado en rules.conf.

Ejemplo: MYDATABASE 80/tcp 22/tcp 161:162/udp

El nombre del servicio no debe coincidir con ninguno de los ya definidos ni con variables que se usen en los ficheros de configuracion.

bsf_newservicebulk -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_openall

NAME

SYNOPSIS

DESCRIPTION

USAGE

bsf_openall : Abre el trafico en todas las interfaces del firewall proporcionando conexion total entre todas las redes del firewall.

bsf_openall -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_openip

NAME

SYNOPSIS

DESCRIPTION

USAGE

   bsf_openip direccionip (xxx.xxx.xxx.xxx)
   bsf_openip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_openip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_openip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_openip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_openip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_start

NAME

SYNOPSIS

DESCRIPTION

USAGE

bsf_start : Inicia el firewall y regenera si es necesario las reglas si ha cambiado la configuracion. Se encarga de crear todos los ficheros necesarios para las estadisticas y los logs. Usa la cache para cargar miles de reglas en segundos si la configuracion no ha cambiado. Usa un sistema basado en MD5 para comprobar si han cambiado los ficheros de configuracion. Realiza copia de seguridad de las reglas anteriores si es necesario y de los ficheros antiguos de rrdtools y de las estadisticas. Reinicia las bases de datos de rrdtool y las estadisticas. Crea el fichero script /var/lib/bastion-firewall/script/bastion-firewall.sh que contiene codigo bash con todo las acciones que ha realizado el firewall, y permite usar bastion-firewall como generador de scripts de iptables.

bsf_start -f : Obliga a que se regeneren las reglas, los ficheros de bases de datos, los ficheros de estadisticas y las sumas MD5. Sirve para obligar a bastion-firewall a releer los ficheros de configuracion aunque no hayan cambiado y tambien para regenerar las estadisticas.

bsf_start -t : Realiza un test de la configuracion del firewall, cargando el firewall igual que en una ejecucion normal pero sin alterar las cadenas ni las reglas de Netfilter. Crea el fichero script con el codigo generado por el firewall, pero no toca las reglas grabadas ni la cache de reglas.

bsf_start -h : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_stats

NAME

SYNOPSIS

DESCRIPTION

USAGE

bsf_stats :

Actualiza las bases de datos rrdtool en /var/lib/bastion-firewall/rrd y crea las graficas y las paginas con las estadisticas de trafico del firewall en /var/lib/bastion-firewall/html. El comportamiento por defecto y el mas aconsejable es actualizar las bases de datos cada cinco minutos y las paginas y las graficas cada hora. Normalmente se ejecuta en el inicio justo despues de bastion-firewall desde el script en /etc/rc.d/init.d o /etc/init.d.

Usa los siguientes comandos .bsf en /usr/lib/bastion-firewall:

bfscreate.bsf : Crea los ficheros rrdtool si no lo ha hecho bsf_start

bfsupdate.bsf : Actualiza una base de datos de rrdtool

bfsgraph.bsf : Crea una grafica con los datos de rrdtool

bfshtml.bsf : Crea la pagina de estadisticas de trafico

Los parametros que acepta el comando son los siguientes:

segundos :

Segundos entre las actualizaciones de las bases de datos rrd con los datos obtenidos de las cadenas de netfilter, segundos es por defecto 300 (5 minutos) Y NUNCA DEBERIA CAMBIAR ESTO, SI LO CAMBIA DEBERA ALTERAR LOS SCRIPTS.

veces :

Cuantas veces el programa tiene que esperar 'segundos' para actualiazar los graficos con los datos en las bases de datos rrd para que queden actualizados cada (segundos*veces) segundos, veces es por defecto 12 (una hora) PERO PUEDE CAMBIARLO A 6 O 3 QUIZA PARA OBTENER GRAFICAS CADA 30 MINUTOS O 15 MINUTOS.

Si solo queremos cambiar el numero de veces que se crearan las graficas deberemos usar el comando: bsf_stats 300 veces para no tener que tocar los scripts.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_stop

NAME

SYNOPSIS

DESCRIPTION

USAGE

bsf_stop -f : Para el firewall y no tiene en cuenta las reglas grabadas, simplemente abre todo.

bsf_stop -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_unacceptip

NAME

SYNOPSIS

DESCRIPTION

USAGE

   bsf_unacceptip direccionip (xxx.xxx.xxx.xxx)
   bsf_unacceptip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_unacceptip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_unacceptip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_unacceptip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_unacceptip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_unblackip

NAME

SYNOPSIS

DESCRIPTION

USAGE

   bsf_unblackip direccionip (xxx.xxx.xxx.xxx)
   bsf_unblackip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_unblackip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_unblackip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_unblackip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_unblackip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_unblackipall

NAME

SYNOPSIS

DESCRIPTION

USAGE

 Desbloquear todas las direcciones IP que haya en la blacklist
 de forma online, quitandolas de la cadena de bloqueo. Dejamos
 una copia de seguridad en el directorio de backup.

bsf_unblackipall -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_uncloseip

NAME

SYNOPSIS

DESCRIPTION

USAGE

bsf_uncloseip puede ser llamada con una de las siguientes opciones:

   bsf_uncloseip direccionip (xxx.xxx.xxx.xxx)
   bsf_uncloseip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_uncloseip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_uncloseip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_uncloseip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_uncloseip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_undropip

NAME

SYNOPSIS

DESCRIPTION

USAGE

   bsf_undropip direccionip (xxx.xxx.xxx.xxx)
   bsf_undropip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_undropip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_undropip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_undropip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_undropip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_unopenip

NAME

SYNOPSIS

DESCRIPTION

USAGE

bsf_unopenip puede ser llamada con una de las siguientes opciones:

   bsf_unopenip direccionip (xxx.xxx.xxx.xxx)
   bsf_unopenip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_unopenip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_unopenip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_unopenip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_unopenip -h | --help: Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_unwhiteip

NAME

SYNOPSIS

DESCRIPTION

USAGE

La orden puede tomar la forma:

   bsf_unwhiteip direccionip (xxx.xxx.xxx.xxx)
   bsf_unwhiteip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_unwhiteip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_unwhiteip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_unwhiteip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_unwhiteip -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_unwhiteipall

NAME

SYNOPSIS

DESCRIPTION

USAGE

Quitar todas las direcciones IP que haya en la whitelist de forma online, quitandolas de la cadena de no bloqueo (whitelist). Dejamos una copia de seguridad en el directorio de backup.

bsf_unwhiteipall -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

bsf_whiteip

NAME

SYNOPSIS

DESCRIPTION

USAGE

Podemos tener el caso de que una direccion no sea bloqueable pero que el trafico con ella no este habilitado por otras reglas del firewall, por lo que si no usamos la directiva REALWHITELIST del firewall no podemos asegurar que las direcciones que tenemos en la whitelist van a tener conexion con nuestras redes.

La orden puede tomar la forma:

   bsf_whiteip direccionip (xxx.xxx.xxx.xxx)
   bsf_whiteip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
   bsf_whiteip red CIDR (xxx.xxx.xxx.xxx/xx)
   bsf_whiteip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
   bsf_whiteip file.list (lista en /etc/bastion-firewall/lists)

direccionip: Una direccion IP cualquiera

rango: Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que tener en cuenta que siempre se expande y se trata IP por IP, por lo que no es conveniente usar rangos de mas de algunos cientos de IPs o crearemos miles de reglas que inutilizaran nuestro firewall

red CIDR: Red expresada en la forma 192.168.1.0/24

ip/mascara: IP y mascara para describir una red o rango

file.list: Fichero con una lista de IPs en /etc/bastion-firewall/lists

bsf_whiteip -h | --help : Proporciona ayuda en linea sobre el comando, para mas informacion debe consultar la documentacion de bastion-firewall y las paginas de manual.

Los ficheros de configuracion incluyen una gran cantidad de comentarios de ayuda. Estos comentarios son esenciales para comprender como funciona el firewall y como se generan las reglas.

Por favor lea la documentacion que incluye bastion-firewall. Puede encontrar esta documentacion en /usr/share/doc/bastion-firewall-1.0  

FILES

BUGS

NOTES

SEE ALSO

AUTHOR

GPL

                    GNU GENERAL PUBLIC LICENSE
                       Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc.

59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

Preamble

The licenses for most software are designed to take away your freedom to share and change it. By contrast, the GNU General Public License is intended to guarantee your freedom to share and change free software--to make sure the software is free for all its users. This General Public License applies to most of the Free Software Foundation's software and to any other program whose authors commit to using it. (Some other Free Software Foundation software is covered by the GNU Library General Public License instead.) You can apply it to your programs, too.

When we speak of free software, we are referring to freedom, not price. Our General Public Licenses are designed to make sure that you have the freedom to distribute copies of free software (and charge for this service if you wish), that you receive source code or can get it if you want it, that you can change the software or use pieces of it in new free programs; and that you know you can do these things.

To protect your rights, we need to make restrictions that forbid anyone to deny you these rights or to ask you to surrender the rights. These restrictions translate to certain responsibilities for you if you distribute copies of the software, or if you modify it.

For example, if you distribute copies of such a program, whether gratis or for a fee, you must give the recipients all the rights that you have. You must make sure that they, too, receive or can get the source code. And you must show them these terms so they know their rights.

We protect your rights with two steps: (1) copyright the software, and (2) offer you this license which gives you legal permission to copy, distribute and/or modify the software.

Also, for each author's protection and ours, we want to make certain that everyone understands that there is no warranty for this free software. If the software is modified by someone else and passed on, we want its recipients to know that what they have is not the original, so that any problems introduced by others will not reflect on the original authors' reputations.

Finally, any free program is threatened constantly by software patents. We wish to avoid the danger that redistributors of a free program will individually obtain patent licenses, in effect making the program proprietary. To prevent this, we have made it clear that any patent must be licensed for everyone's free use or not licensed at all.

The precise terms and conditions for copying, distribution and modification follow.

GNU GENERAL PUBLIC LICENSE TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

1. You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.
2. You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.
3. If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)

   ---

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

1. Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
2. Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
3. Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

How to Apply These Terms to Your New Programs

If you develop a new program, and you want it to be of the greatest possible use to the public, the best way to achieve this is to make it free software which everyone can redistribute and change under these terms.

To do so, attach the following notices to the program. It is safest to attach them to the start of each source file to most effectively convey the exclusion of warranty; and each file should have at least the "copyright" line and a pointer to where the full notice is found.

<one line to give the program's name and a brief idea of what it does.> Copyright (C) <year> <name of author>

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA

Also add information on how to contact you by electronic and paper mail.

If the program is interactive, make it output a short notice like this when it starts in an interactive mode:

Gnomovision version 69, Copyright (C) year name of author Gnomovision comes with ABSOLUTELY NO WARRANTY; for details type `show w'. This is free software, and you are welcome to redistribute it under certain conditions; type `show c' for details.

The hypothetical commands `show w' and `show c' should show the appropriate parts of the General Public License. Of course, the commands you use may be called something other than `show w' and `show c'; they could even be mouse-clicks or menu items--whatever suits your program.

You should also get your employer (if you work as a programmer) or your school, if any, to sign a "copyright disclaimer" for the program, if necessary. Here is a sample; alter the names:

Yoyodyne, Inc., hereby disclaims all copyright interest in the program `Gnomovision' (which makes passes at compilers) written by James Hacker.

<signature of Ty Coon>, 1 April 1989
Ty Coon, President of Vice

This General Public License does not permit incorporating your program into proprietary programs. If your program is a subroutine library, you may consider it more useful to permit linking proprietary applications with the library. If this is what you want to do, use the GNU Library General Public License instead of this License.

FDL

                GNU Free Documentation License
                  Version 1.2, November 2002

Copyright (C) 2000,2001,2002 Free Software Foundation, Inc.

59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

0. PREAMBLE

The purpose of this License is to make a manual, textbook, or other functional and useful document "free" in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for their work, while not being considered responsible for modifications made by others.

This License is a kind of "copyleft", which means that derivative works of the document must themselves be free in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free software.

We have designed this License in order to use it for manuals for free software, because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does. But this License is not limited to software manuals; it can be used for any textual work, regardless of subject matter or whether it is published as a printed book. We recommend this License principally for works whose purpose is instruction or reference.

1. APPLICABILITY AND DEFINITIONS

This License applies to any manual or other work, in any medium, that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. Such a notice grants a world-wide, royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The "Document", below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as "you". You accept the license if you copy, modify or distribute the work in a way requiring permission under copyright law.

A "Modified Version" of the Document means any work containing the Document or a portion of it, either copied verbatim, or with modifications and/or translated into another language.

A "Secondary Section" is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document's overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship could be a matter of historical connection with the subject or with related matters, or of legal, commercial, philosophical, ethical or political position regarding them.

The "Invariant Sections" are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in the notice that says that the Document is released under this License. If a section does not fit the above definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none.

The "Cover Texts" are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5 words, and a Back-Cover Text may be at most 25 words.

A "Transparent" copy of the Document means a machine-readable copy, represented in a format whose specification is available to the general public, that is suitable for revising the document straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modification by readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy that is not "Transparent" is called "Opaque".

Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML, PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only.

The "Title Page" means, for a printed book, the title page itself, plus such following pages as are needed to hold, legibly, the material this License requires to appear in the title page. For works in formats which do not have any title page as such, "Title Page" means the text near the most prominent appearance of the work's title, preceding the beginning of the body of the text.

A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specific section name mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of such a section when you modify the Document means that it remains a section "Entitled XYZ" according to this definition.

The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License.

2. VERBATIM COPYING

You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this License, the copyright notices, and the license notice saying this License applies to the Document are reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough number of copies you must also follow the conditions in section 3.

You may also lend copies, under the same conditions stated above, and you may publicly display copies.

3. COPYING IN QUANTITY

If you publish printed copies (or copies in media that commonly have printed covers) of the Document, numbering more than 100, and the Document's license notice requires Cover Texts, you must enclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies. The front cover must present the full title with all words of the title equally prominent and visible. You may add other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects.

If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.

If you publish or distribute Opaque copies of the Document numbering more than 100, you must either include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque copy a computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy of the Document, free of added material. If you use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public.

It is requested, but not required, that you contact the authors of the Document well before redistributing any large number of copies, to give them a chance to provide you with an updated version of the Document.

4. MODIFICATIONS

You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely this License, with the Modified Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. In addition, you must do these things in the Modified Version:

1. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of previous versions (which should, if there were any, be listed in the History section of the Document). You may use the same title as a previous version if the original publisher of that version gives permission.
2. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modifications in the Modified Version, together with at least five of the principal authors of the Document (all of its principal authors, if it has fewer than five), unless they release you from this requirement.
3. State on the Title page the name of the publisher of the Modified Version, as the publisher.
4. Preserve all the copyright notices of the Document.
5. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices.
6. Include, immediately after the copyright notices, a license notice giving the public permission to use the Modified Version under the terms of this License, in the form shown in the Addendum below.
7. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document's license notice.
8. Include an unaltered copy of this License.
9. Preserve the section Entitled "History", Preserve its Title, and add to it an item stating at least the title, year, new authors, and publisher of the Modified Version as given on the Title Page. If there is no section Entitled "History" in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the Modified Version as stated in the previous sentence.
10. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Document, and likewise the network locations given in the Document for previous versions it was based on. These may be placed in the "History" section. You may omit a network location for a work that was published at least four years before the Document itself, or if the original publisher of the version it refers to gives permission.
11. For any section Entitled "Acknowledgements" or "Dedications", Preserve the Title of the section, and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein.
12. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers or the equivalent are not considered part of the section titles.
13. Delete any section Entitled "Endorsements". Such a section may not be included in the Modified Version.
14. Do not retitle any existing section to be Entitled "Endorsements" or to conflict in title with any Invariant Section.
15. Preserve any Warranty Disclaimers.

If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document, you may at your option designate some or all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version's license notice. These titles must be distinct from any other section titles.

You may add a section Entitled "Endorsements", provided it contains nothing but endorsements of your Modified Version by various parties--for example, statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard.

You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already includes a cover text for the same cover, previously added by you or by arrangement made by the same entity you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission from the previous publisher that added the old one.

The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version.

5. COMBINING DOCUMENTS

You may combine the Document with other documents released under this License, under the terms defined in section 4 above for modified versions, provided that you include in the combination all of the Invariant Sections of all of the original documents, unmodified, and list them all as Invariant Sections of your combined work in its license notice, and that you preserve all their Warranty Disclaimers.

The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be replaced with a single copy. If there are multiple Invariant Sections with the same name but different contents, make the title of each such section unique by adding at the end of it, in parentheses, the name of the original author or publisher of that section if known, or else a unique number. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work.

In the combination, you must combine any sections Entitled "History" in the various original documents, forming one section Entitled "History"; likewise combine any sections Entitled "Acknowledgements", and any sections Entitled "Dedications". You must delete all sections Entitled "Endorsements".

6. COLLECTIONS OF DOCUMENTS

You may make a collection consisting of the Document and other documents released under this License, and replace the individual copies of this License in the various documents with a single copy that is included in the collection, provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects.

You may extract a single document from such a collection, and distribute it individually under this License, provided you insert a copy of this License into the extracted document, and follow this License in all other respects regarding verbatim copying of that document.

7. AGGREGATION WITH INDEPENDENT WORKS

A compilation of the Document or its derivatives with other separate and independent documents or works, in or on a volume of a storage or distribution medium, is called an "aggregate" if the copyright resulting from the compilation is not used to limit the legal rights of the compilation's users beyond what the individual works permit. When the Document is included in an aggregate, this License does not apply to the other works in the aggregate which are not themselves derivative works of the Document.

If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document is less than one half of the entire aggregate, the Document's Cover Texts may be placed on covers that bracket the Document within the aggregate, or the electronic equivalent of covers if the Document is in electronic form. Otherwise they must appear on printed covers that bracket the whole aggregate.

8. TRANSLATION

Translation is considered a kind of modification, so you may distribute translations of the Document under the terms of section 4. Replacing Invariant Sections with translations requires special permission from their copyright holders, but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. You may include a translation of this License, and all the license notices in the Document, and any Warranty Disclaimers, provided that you also include the original English version of this License and the original versions of those notices and disclaimers. In case of a disagreement between the translation and the original version of this License or a notice or disclaimer, the original version will prevail.

If a section in the Document is Entitled "Acknowledgements", "Dedications", or "History", the requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual title.

9. TERMINATION

You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

10. FUTURE REVISIONS OF THIS LICENSE

The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns. See http://www.gnu.org/copyleft/.

Each version of the License is given a distinguishing version number. If the Document specifies that a particular numbered version of this License "or any later version" applies to it, you have the option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. If the Document does not specify a version number of this License, you may choose any version ever published (not as a draft) by the Free Software Foundation.

ADDENDUM: How to use this License for your documents

To use this License in a document you have written, include a copy of the License in the document and put the following copyright and license notices just after the title page:

Copyright (c) YEAR YOUR NAME.
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".

If you have Invariant Sections, Front-Cover Texts and Back-Cover Texts, replace the "with...Texts." line with this:

with the Invariant Sections being LIST THEIR TITLES, with the Front-Cover Texts being LIST, and with the Back-Cover Texts being LIST.

If you have Invariant Sections without Cover Texts, or some other combination of the three, merge those two alternatives to suit the situation.

If your document contains nontrivial examples of program code, we recommend releasing these examples in parallel under your choice of free software license, such as the GNU General Public License, to permit their use in free software.