bastion-firewall Comandos
1.0
Copyright © 2004 Jose María López
Hernández <jkerouac@bgsec.com>
Este documento esta protegido bajo la licencia pública FDL de
la Free Software Foundation.
bastion-firewall ha sido liberado bajo la licencia pública
GPL de la Free Software Foundation.
El titular del copyright da permiso para que este documento sea
copiado, distribuido y/o modificado bajo los terminos de la GNU Free
Documentation License (FDL), siempre que se incluya una nota donde se
especifiquen los autores originales del documento y el título
del mismo. El texto de la licencia en inglés se incluye en este
mismo documento y tiene validez legal plena.
Este documento y cualquier código fuente que se incluya se
distribuyen con la esperanza de que resulten útiles, pero SIN
NINGUNA GARANTIA; sin incluso la garantía implícita de
COMERCIALIZACIÓN o ADECUACION PARA UN PROPÓSITO EN
PARTICULAR. Si necesita más detalles consulte la GNU Free
Documentation License (FDL) y la GNU General Public License (GPL) de la
Free Software Foundation.
Tabla de Contenidos
Sobre bastion-firewall
Sobre los autores de bastion-firewall y
este tutorial
- Introducción
- Características de
bastion-firewall
- Conceptos de
bastion-firewall
COMANDOS
- bastion-firewall
- bastion-firewall-interface
- bastion-firewall-stats
- bsf_acceptip
- bsf_blackip
- bsf_changerule
- bsf_checkip
- bsf_clearconntrack
- bsf_clearlocks
- bsf_closeall
- bsf_closeip
- bsf_dropip
- bsf_dshield_to_list
- bsf_error
- bsf_helpvar
- bsf_makecert
- bsf_newservice
- bsf_newservicebulk
- bsf_openall
- bsf_openip
- bsf_start
- bsf_stats
- bsf_stop
- bsf_unacceptip
- bsf_unblackip
- bsf_unblackipall
- bsf_uncloseip
- bsf_undropip
- bsf_unopenip
- bsf_unwhiteip
- bsf_unwhiteipall
- bsf_whiteip
Licencias
GPL
FDL
Sobre bastion-firewall
bastion-firewall es un firewall desarrollado por Jose María
López Hernández <jkerouac@bgsec.com>
y bgSEC (www.bgsec.com) basado en
Netfilter e iptables y liberado bajo la licencia GPL de la Free
Software Foundation.
bastion-firewall está pensado como firewall llave en
mano para usuarios finales así como firewall completamente
customizable para usuarios avanzados. La configuración por medio
de ficheros bash permite una gran flexibilidad en la generación
de reglas. El código del firewall esta escrito en un 99 por
ciento en bash, con una pequeña parte en C para obtener los
datos de Netfilter y generar las paginas con las gráficas de
estadísticas de tráfico, este planteamiento permite a un
usuario que pueda programar en bash el cambiar bastion-firewall para
adaptarlo a cualquier sistema de producción. bastion-firewall ha
sido liberado por bgSEC bajo licencia GPL y su documentación
bajo licencia FDL, así que puede cambiar cualquier aspecto de
bastion-firewall y usarlo en su sistemas de producción o
liberarlo bajo licencia GPL manteniendo el Copyright original.
Como ejemplo de la flexibilidad de bastion-firewall bgSEC ha
liberado UNbeatABLE CD bajo licencia GPL, una adaptación de la
distribución Knoppix 3.3 con bastion-firewall integrado y que
permite usar el firewalll desde el CD sin necesidad de disco duro.
UNbeatABLE CD es una demostración de tecnología y debe
considerarse como tal, puede tomarse como ejemplo de la flexibilidad
del código o como punto de partida para generar firewalls ad-hoc
para sistemas de producción.
bastion-firewall 1.0 ha sido considerado apto para sistemas de
producción y se encuentra funcionando en varias máquinas
con buenos resultados, también ha sido utilizado para generar
scripts que son firewalls en si mismos y que después de editados
y adaptados se encuentran funcionando en sistemas de producción
con éxito.
bastion-firewall 1.0 ha sido desarrollado en España por Jose
María López Hernández <jkerouac@bgsec.com> y bgSEC (www.bgsec.com)
y por tanto los ficheros de configuración, la
documentación y los comentarios del código están
en español. Desde el comienzo del proyecto se pensó en
traducir todo el firewall al idioma ingles, y se han adaptado las
ordenes y los nombres de los ficheros para facilitar el cambio de
idioma sin tener que cambiar la estructura general del firewall. En
este momento se encuentran traducidos al ingles los ficheros de
configuración con toda su ayuda, las páginas de manual,
la ayuda de las órdenes, parte del interface gráfico
bastion-firewall-interface y bastion-firewall-stats en su totalidad.
También se han traducido los ficheros que acompañan a la
distribución y la guía rápida de
configuración. Esto debería bastar para que los
angloparlantes puedan usar bastion-firewall sin ningún tipo de
problemas, pero queda en el TODO la traducción completa de los
comentarios del código, del tutorial, de la ayuda y completar la
traducción del interface gráfico
bastion-firewall-interface.
Sobre los autores de
bastion-firewall y este tutorial
bastion-firewall, bastion-firewall-interface y
bastion-firewall-stats han sido creados por Jose María
López Hernández <jkerouac@bgsec.com>
y bgSEC (www.bgsec.com) y liberados
bajo licencia GPL (codigo) y FDL (documentación).
bastion-firewall-interface funciona sobre el servidor HTTP apache y
PHP4, deberá consultar las licencias de ambos programas si
quiere utilizarlos en su sistema de producción. Tanto apache
como PHP4 son Copyright de sus propietarios y no tienen ninguna
relación con bgSEC, aunque sus licencias permiten que sean
distribuidos junto al firewall sin modificar.
Tanto ulogd como rrdtool son parte integrante de bastion-firewall
pero sus Copyright pertenecen a sus propietarios, deberá
consultar sus licencias si quiere usarlos en su sistema de
producción con bastion-firewall-stats. Se distribuyen sin
modificar en forma binaria y codigo fuente, en los ficheros de
distribución se pueden consultar las licencias de cada uno de
los programas.
Los addons hogwash, snort-inline, snort, pdumpq, Netfilter e
iptables y los ficheros de firewall stressing (ethereal, fragrouter,
ftest/ftestd, hping2, nasl, nmap/nmapfe, sing, snot y tcpdump) son
Copyright de sus propietarios y no tienen ninguna relación con
bgSEC. Se aconseja su uso para probar el firewall y se distribuyen sin
ninguna modificación como addons de bastion-firewall. Su uso es
opcional y no forman parte de bastion-firewall, se distribuyen como
binarios y como código fuente sin modificar. En la
distribución de cada programa se puede consultar la licencia y
el Copyright de cada uno de ellos.
1. Introduccion
bastion-firewall es un firewall completo para el Sistema Operativo
Linux basado en Netfilter e Iptables. Las premisas sobre las que se ha
desarrollado bastion-firewall son las siguientes:
- Flexibilidad: Se
elegió bash como lenguaje de programación por ser
suficientemente conocido por los administradores de sistemas, sencillo
de modificar y reprogramar o añadir código.
También es lo suficientemente potente para realizar casi
cualquier algoritmo que se desee desarrollar.
- Robustez: La
elección de bash como lenguaje de programación asegura
una gran facilidad en la realización de tests y en la
modificación del código. Esto asegura que cualquier error
o fallo en el firewall pueda ser solucionado por el mismo administrador
del sistema, sin necesidad de contratar servicios de consultoría
o aprender lenguajes de programación nuevos. El lenguaje es lo
suficientemente rígido para asegurar que cualquier error en los
scripts o los ficheros de configuración sea detectado
fácilmente.
- Extensibilidad:
bastion-firewall puede ser modificado y extendido por medio del
añadido de addons o por medio de plugins muy fáciles de
programar en codigo bash y que se integran fácilmente en el
código del firewall. En puntos claves del firewall se permite la
introducción de código local para que un administrador
pueda añadir reglas o código sin tener que tocar los
ficheros básicos de bastion-firewall. Los addons permiten usar
programas externos integrados con bastion-firewall usando la
funcionalidad de este para usar programas externos para distintas
tareas. Dos ejemplos de addons integrados son ulogd y snort-inline, que pueden ser
añadidos al firewall usando la funcionalidad implementada en
este.
- Fácil mantenimiento:
La utilización de bash tanto en el código como en los
ficheros de configuración permite modificar y mantener el
firewall de forma muy sencilla para cualquier administrador con
conocimientos básicos de programación en shell.
- Actualizaciones:
bastion-firewall se compone de una parte central compuesta por
código bash y bastion-firewall-stats programado en C, todo lo
demás son addons que se integran sin necesidad de ser
modificados, lo que permite que puedan ser actualizados sin afectar al
funcionamiento del firewall. Una colección de ficheros build
permiten la configuración inmediata mediante comandos
./configure de los addons y los complementos como rrdtools, apache o
php4, y pueden así ser actualizados en un tiempo mínimo
sin afectar al firewall. Es posible en muchos casos incluso actualizar
parte de estos addons en caliente, sin tener que parar el firewall.
- Soporte: bastion-firewall
puede ser administrado y modificado por los mismos administradores del
sistema de producción, pero también puede solicitarse
servicios de consultoria y soporte técnico a bgSEC( www.bgsec.com).
También es posible solicitar a bgSEC modificaciones o
adaptaciones a sistemas de producción de bastion-firewall.
- Documentación completa:
Simplemente con los ficheros de configuración es posible
comenzar a funcionar con bastion-firewall, pues incluyen una gran
cantidad de ayuda en forma de comentarios para cada variable que se
puede modificar. Además se adjunta en la distribución una
gran cantidad de ficheros de ayuda que explican todos y cada uno de los
aspectos de bastion-firewall. Los ficheros de código
están profusamente comentados para una fácil
comprensión y mantenimiento, y se espera que estén
traducidos al ingles en un corto espacio de tiempo.
- Funcionalidad: bastion-firewall
permite crear una cantidad de reglas enorme simplemente editando una
serie de variables en los ficheros de configuración, usando las
facilidades de grupos de redes, grupos de servicios, mensajes icmp y
protocolos, así como el uso de listas de IPs que pueden
incluirse en cualquier sitio donde se solicite una dirección IP.
Es posible el crear scripts con más de 3000 reglas simplemente
editando cuatro o cinco variables de los ficheros de
configuración.
- Adaptabilidad:
bastion-firewall se adapta a múltiples entornos, e incluye
templates para algunos de estos, que permiten tener un firewall en
producción simplemente editando media docena de variables y sin
tener que leer prácticamente documentación. Esta
preparado para poder ser usado como un simple firewall personal, como
un firewall con DMZ para una gran empresa o como generador de scripts
de firewalls que pueden ser instalados en varias máquinas.
- Portabilidad: El
código bash y la utilización de herramientas estandard de
Linux hacen a bastion-firewall perfecto para ser adaptado a
múltiples distribuciones de Linux o a sistemas de
producción completamente diferentes.
- Rapidez: La
ordenación de las reglas por medio de tablas según el
tipo de tráfico y la agrupación de puertos para servicios
con varios puertos permiten a bastion-firewall generar reglas que
Netfilter puede recorrer muy rápido, proporcionando una
respuesta superior a la de otros firewalls o a la de scripts escritos a
mano por un administrador. La cache de reglas permite cargar miles de
ellas en segundos usando iptables-restores/iptables-save cuando los
ficheros de configuración no hayan cambiado, hecho que el propio
firewall detecta y tiene en cuenta. Una vez configurado el firewall la
carga y descarga de cadenas y reglas lleva un tiempo mínimo para
el sistema, lo que aventaja a los scripts que ejecutan iptables orden
por orden y tardan un tiempo en generar las reglas.
2. Características de
bastion-firewall
Las características principales de bastion-firewall son entre
otras:
- Programado en bash (99 por ciento del código) y C. Esto
proporciona flexibilidad y facilidad de modificación del
código. Unas 26000 lineas de código bash y C que
proporcionan una funcionalidad muy alta, implementando casi todas las
posibilidades de protecciones del kernel de Linux, incluidas las que se
modifican en /proc y las del sistema Netfilter/iptables.
- Basado en las facilidades Netfilter e Iptables proporcionadas por
casi todas las distribuciones de Linux y por el kernel oficial. El
firewall no usa ningún tipo de código propio o
facilidades programadas, por lo que las ordenes que invoca son todas
comandos iptables que crean reglas como lo haría un script, pero
sin tener que escribir ni una sola linea de código.
- El sistema no usa perl, python, ruby o comandos que puedan ser
utilizados por un supuesto atacante como herramientas de trabajo
después de un compromiso del sistema. bastion-firewall
puede correr en una distribución muy pequeña, en modo
texto y con un número de paquetes instalados mínimo.
- Administración basada en ficheros de configuración
en texto plano y tratados como código bash, permitiendo
introducir código en los ficheros de configuración para
la generación de los valores de las variables.
- Administración basada en web mediante
bastion-firewall-interface que modifica los ficheros de
configuración, habilitando al administrador a realizar una
configuración mixta, editando cosas con el interface y retocando
luego si es necesario o útil los ficheros de
configuración.
- Ficheros de configuración totalmente comentados y con
ayuda para cada variable que se puede alterar en el firewall. Los
ficheros son autoexplicativos e incluyen documentación sobre el
funcionamiento del firewall. En teoría sólo con esta
documentación bastaría para configurar completamente el
firewall y todas sus opciones, sin necesidad de leer ni una sola linea
de documentación.
- Sistema de estadísticas del tráfico basadas en web
y que contienen gráficas del tráfico realizadas con
rrdtool. Estas gráficas se generan automáticamente con
solo incluir una directiva en el fichero del configuración del
firewall o una opción en cada servicio o grupo de servicios de
los que queremos obtener gráficas de tráfico.
Creación automática de una página web que permite
ver las estadísticas gráficas con facilidad.
- Sistema de separación del tráfico y de
agrupación y ordenación de las reglas, servicios y
protocolos para obtener una máxima velocidad en el tratamiento
del tráfico por parte de Netfilter. La idea es que Netfilter
tenga que comprobar el mínimo número de reglas y que las
reglas que afectan a un servicio y tienen varios puertos estén
agrupadas en un solo comando.
- Ficheros preparados para añadir código local por el
administrador en puntos estratégicos de la carga de reglas del
firewall, esto permite modificar el firewall sin tener que tocar el
codigo.
- Posibilidad de escribir plugins de forma muy sencilla para
añadir funcionalidad al firewall. El firewall detecta los nuevos
plugins y los integra en las reglas a generar, proporcionando una forma
inmejorable de añadir código a bastion-firewall.
- Uso de programas externos y addons totalmente estandard, sin
ninguna modificación, permitiendo que sean actualizados o
substituidos por otros con facilidad.
- Funciona en sistemas o distribuciones con un mínimo de
comandos, básicamente usa bash, los comandos estandard de Linux
e incluye rrdtool y ulogd en la distribución, por lo que no es
preciso que estén instalados en el sistema.
- Sistema de blacklist para bloquear direcciones IP
permanentemente. Sistema de whitelist para indicar que direcciones
nunca se deben bloquear. Se proporcionan ordenes para administrar ambas
listas y pueden ser usadas desde un IDS o IPS para bloquear posibles
atacantes sin peligro de provocar un ataque de denegación de
servicio.
- Sistema de blacklist y whitelists para direcciones MAC. Es
similar al sistema de blacklist/whitelist para direcciones IP.
- Sistema de MACs restringidas que permite elegir que
máquinas podrán hablar con el firewall y cuales no, tanto
en la red local como en la red externa (como en una DMZ).
- Posibilidad de utilizar listas de IPs en cada lugar donde
normalmente introduciríamos una dirección IP.
bastion-firewall expandirá la lista de IPs y creará las
reglas para cada IP.
- Posibilidad de crear nuevos servicios, grupos de servicios y
grupos de redes, para gestionar el funcionamiento del firewall
simplemente editando un número mínimo de variables.
- Sistema MD5 para detectar cambios en la configuración y
elegir entre regenerar de nuevo las reglas o cargar las reglas en la
cache si no se ha modificado la configuración desde el
último reinicio del firewall.
- Doble filosofía de funcionamiento del firewall, la primera
usando flujos de tráfico a bloquear o permitir y la segunda
usando tablas donde se especifican las reglas.
- Permite para cada servicio especificar los flujos de
tráfico entre los interfaces de entrada y salida y las IPs de la
red local y la remota, así como si quieremos que se apunten las
conexiones en los logs, si queremos que se pasen a ulogd y si queremos
que se creen estadísticas para el servicio en cuestión.
- El administrador puede añadir mediante ordenes o editando
los ficheros nuevos servicios o grupos de servicios de forma muy
sencilla, y luego especificar las reglas para estos grupos o servicios.
No es necesario tocar el código para añadir nuevos
servicios al firewall, e incluso existe una orden para añadir
una lista de servicios contenida en un fichero al firewall, permitiendo
añadir gran cantidad de servicios sin tener que editar los
ficheros de configuración.
- Implementación de las facilidades incluidas en los pom
incluidos con iptables.
- Proteccion contra ataques contra el kernel, spoofing, ataques de
denegación de servicio, ataques de llenado de los logs, escaneos
de puertos.
- Posibilidad de especificar como queremos rechazar o aceptar los
paquetes. Uso de REJECT o DROP a elección del administrador.
- Creación de un fichero script cada vez que se regeneran
las reglas que contiene TODAS las ordenes que ha ejecutado el firewall,
tanto para activar las protecciones del kernel como las ordenes
iptables que ha ejecutado. La ejecución de este script tiene el
mismo efecto que arrancar el firewall. El script incluye comentarios de
cada orden que ejecuta y de los servicio que habilita o bloquea. Este
script permite usar bastion-firewall como un potente generador de
scripts que son firewalls en si mismos, habilitando al administrador a
crear firewalls ad-hoc para sistemas en concreto simplemente alterando
algunas variables en los ficheros de configuración. Es una de
las características más potentes y útiles de
bastion-firewall.
- Creación de logs del funcionamiento del firewall y avisos
de inicio y parada de este, así como de los addons.
- Detección y posible bloqueo de trafico nuevo sin SYN, de
fragmentos de tráfico, de tráfico considerado invalido
por conntrack o de trafico no valido o considerado spoofing.
- Permite mandar por ejemplo el trafico HTTP que se ha decidido
aceptar a snort-inline para que este lo inspeccione y decida si el
firewall debe bloquearlo o dejarlo pasar. Esto constituye una forma de
IPS bastante eficaz y muy segura si mantenemos una cantidad
pequeña de reglas en snort-inline. La ventaja de usar este
método es que snort-inline realiza un tratamiento completo del
tráfico HTTP por poner un ejemplo antes de comprobar con sus
reglas si debe ordenar al firewall que bloquee o permita el
tráfico.
- Permite usar ulogd para mandar los logs a una base de datos como
mysql o postgresql, o crear logs personalizados que luego pueden ser
tratados con swatch o programas similares.
- Tratamiento personalizado o configuración por defecto de
todo el trafico ICMP. Posiblidad de que conntrack devuelva mensajes
ICMP o no los devuelva.
- Posibilidad de creación de reglas mediante tablas usando
todas las facilidades de grupos de IPs o servicios del firewall y que
tienen precedencia sobre las demás reglas del firewall para
ajustar el firewall cuando tenemos varias redes que queremos tratar de
forma diferente.
- Funcionalidad de proxy transparente, NAT, SNAT, DNAT o REDIRECT
por medio de tablas y mediante fichero de configuración. Para
cada servicio puede indicarse un servidor interno de la red local que
proporcione servicios al exterior mediante DNAT simplemente
introduciendo su IP en una variable.
- Funciona sin modificaciones tanto sobre las versiones 2.4 del
kernel como en las 2.6.
- Al cargar el firewall y si debe regenerar las reglas comprueba
que estan disponibles todos los comandos necesarios así como
todas las IPs, grupos y listas que se incluyan en los ficheros de
configuración. También comprueba que las reglas tengan la
sintaxis correcta y produce errores intentando dar ayuda sobre donde se
ha producido el error si se introducen datos incorrectos.
- Permite el uso de rangos y listas de IPs, expandiendolos a
direcciones IPs, pues iptables no soporta rangos de IPs directamente.
- bastion-firewall puede funcionar con cualquier número de
interfaces de entrada o de salida, siempre que el enrutado sea correcto
entre estos interfaces y redes, esto permite por ejemplo tener
conexiones a varios routers ADSL desde una LAN y especificar reglas
para todo el trafico que ha de entrar o salir por ellos. Es necesario
que el administrador use el comando ip para habilitar el enrutado entre
la LAN y las interfaces que conectan a los routers.
- Permite una gran cantidad de combinaciones de logs, usando los
logs de apache o ulogd.
Estas son simplemente las características más importantes
de bastion-firewall, para más información consultar los
ficheros de configuración y si tiene conocimientos de bash el
codigo de firewall. De cualquier forma la manera más
gráfica de ver como funciona el firewall es configurandolo
someramente y luego estudiando el script que se ha creado, y comparando
las opciones que hemos especificado con las reglas iptables que se han
quedado. También podemos ver con iptables -L como se organizan
las reglas, pero puede ser complicado seguir el flujo del
tráfico en este momento, todo esto se explicará en las
siguientes secciones.
3. Conceptos de
bastion-firewall
El funcionamiento de un firewall es simple, se trata de un dispositivo
que se introduce entre dos redes y que regula el tráfico que
puede
pasar de una red a otra, teniendo en cuenta una serie de reglas
predeterminadas que indican que tráfico debe pasar y que
tráfico debe
bloquearse. Estas reglas pueden indicar que se bloquee o se permita el
tráfico según una serie de parámetros que pueden
ser entre otros: la
dirección de origen, la dirección de destino, el
interface de entrada,
el interface de salida, el puerto de origen, el puerto de destino, etc.
bastion-firewall introduce el concepto de flujos de tráfico,
entendiendo por flujo el flujo de datos que va de una red o una
máquina
a otra red u otra máquina, atravesando siempre el firewall.
Estos
flujos de datos se ordenan por medio de cuatro datos, el interface de
entrada, el interface de salida, la red de origen y la red de destino,
con lo que tenemos los siguientes flujos de datos:
lan-to-fw : Tráfico de
la red LAN interna al firewall
fw-to-lan : Tráfico del
firewall a la red LAN interna
ext-to-fw : Tráfico de
la red EXT externa al firewall
fw-to-ext : Tráfico del
firewall a la red EXT externa
lan-to-ext : Tráfico de
la red LAN interna a la red LAN externa
ext-to-lan : Tráfico de
la red EXT externa a la red LAN interna
Y por último un tipo de flujo especial que sirve para hacer DNAT
(Destination Network Address Translation) de una red o maquina exterior
de la red EXT a una maquina de la red LAN interna:
ext-to-dnat : Tráfico
DNAT de la red EXT externa a una máquina de la red LAN interna
Estos tráficos son los que incluiremos en las variables de la
configuración para habilitar el tráfico en una
dirección para un flujo
de datos, teniendo en cuenta que luego pueden llevar las siguientes
opciones:
:drop Bloquear el
tráfico (para hacer solo log o estadísticas de trafico)
:log Hacer log de las
conexiones para este tipo de tráfico
:stats Sacar
estadísticas para este tipo de tráfico (para luego crear
gráficas de tráfico)
:ulog Mandar el trafico a
ulogd para que cree un log en una base de datos o en un fichero de
texto plano
Estos flujos de tráfico son para EL INICIO DE LA CONEXION, pues
como el
firewall usa la facilidad de Connection Tracking (conntrack) de
Netfilter el tráfico de vuelta se permite siempre que se haya
permitido
el inicio de la conexión.
Por ejemplo: ext-to-lan:log:stats permitiría que se iniciara una
conexión desde la red exterior EXT a la interior LAN y el
trafico entre
la red EXT y LAN y también por medio de conntrack el
tráfico de LAN a
EXT. Conntrack es lo suficientemente hábil como para llevar
cuenta de
las conexiones y sólo habilita el tráfico para una
conexión en
particular, por lo que se habla de Stateful Firewall (Firewall con
estado), pues recuerda cuando se ha establecido una conexión
(estado
ESTABLISHED) e incluso cuando es otra conexión relacionada con
la
primera, como en el ftp (estado RELATED). El firewall permite por tanto
con esta regla el trafico de EXT a LAN por ser el inicio de la
conexión y el de LAN a EXT por ser ESTABLISHED. Además el
firewall
apunta en los logs en el inicio de la conexión y crea
estadísticas de
todo el tráfico que se produce en la conexión. Netfilter
guarda una
tabla en /proc/net/ip_conntrack con las conexiones aceptadas, las
establecidas y las relacionadas, para mantener en todo momento el
estado del firewall y saber que conexiones permitir y cuales no.
Graficamente los tipos de tráfico que tenemos son:
donde cada tipo de tráfico es el explicado más arriba, y
se entiende
que cada dirección de tráfico indica el inicio de la
conexión,
habilitandose el tráfico en el sentido contrario por medio de
Connection Tracking.
Veamos tres ejemplos gráficamente de flujos o direcciones de
tráfico:
lan-to-ext
fw-to-lan
fw-to-ext
COMANDOS
bastion-firewall
NAME
bastion-firewall - Firewall completo basado en Netfilter e iptables
SYNOPSIS
bastion-firewall
DESCRIPTION
bastion-firewall es un firewall escrito en bash y codigo C y basado en
Netfilter e iptables. Se configura con ficheros de configuracion y
puede crear estadisticas y graficas del trafico de la red y de las
cadenas.
USAGE
bastion-firewall puede ser arrancado usando el comando:
/etc/rc.d/init.d/bastion-firewall start
y parado con:
/etc/rc.d/init.d/bastion-firewall stop
el estatus se muestra con:
/etc/rc.d/init.d/bastion-firewall status
Tambien se puede controlar con las ordenes bsf_start y bsf_stop.
bastion-firewall tiene una gran cantidad de opciones de configuracion
y posibilidades, asi como un gran numero de ordenes para controlarlo.
Para poder usarlo es necesario leer al menos los ficheros de
configuracion. Se recomienda leer la documentacion que viene con
la distribucion del firewall para comprender como funciona y como
configurarlo correctamente.
bastion-firewall permite una gran flexibilidad en su configuracion,
puede crear estadisticas y graficas del trafico en las cadenas y en
el firewall y generar scripts bash que son firewalls en si mismos.
Permite crear una gran cantidad de reglas cambiando solo algunas
variables en los ficheros de configuracion, usando grupos de servicios
y listas de ips. Tiene una cache que una vez generadas las reglas
puede cargar miles de ellas en segundos. Todas estas opciones y muchas
mas pueden ser consultadas en la documentacion.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bastion-firewall-interface
NAME
bastion-firewall-interface - Inicializa el interface web de
bastion-firewall
SYNOPSIS
/etc/rc.d/init.d/bastion-firewall-interface [start] [stop] [status]
DESCRIPTION
bastion-firewall-interface carga el demonio httpd con php4 que permite
servir las paginas dinamicas para configurar el firewall de manera
grafica
desde cualquier navegador.
USAGE
/etc/rc.d/init.d/bastion-firewall-interface start:
Inicia el interface basado en web de bastion-firewall.
/etc/rc.d/init.d/bastion-firewall-interface stop :
Para el interface basado en web de bastion-firewall.
/etc/rc.d/init.d/bastion-firewall-interface status :
Muestra el estatus del interface basado en web de bastion-firewall
Para manejar el bastion-firewall-interface apunte con su navegador
a la siguiente direccion:
http://localhost:10002 para
HTTP en claro
http://localhost:10003 para
HTTP sobre SSL
Si quiere manejarlo desde una consola en otra maquina diferente al
firewall substituya localhost por la direccion IP o nombre DNS de
la maquina que contiene bastion-firewall. Tenga en cuenta que debe
tener permiso para acceder a estos puertos del firewall.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bastion-firewall-stats
NAME
bastion-firewall-stats - Demonio encargado de las estadisticas
SYNOPSIS
bastion-firewall-stats [segundos] [veces]
DESCRIPTION
bastion-firewall-stats es el comando que actualiza las bases de datos
rrdtool para crear las estadisticas y las graficas de trafico de
bastion-firewall. Es un programa en C que llama a varios scripts
bash en /usr/lib/bastion-firewall/bsf.
USAGE
bastion-firewall-stats :
Actualiza las bases de datos rrdtool en /var/lib/bastion-firewall/rrd
y crea las graficas y las paginas con las estadisticas de trafico del
firewall en /var/lib/bastion-firewall/html. El comportamiento por
defecto y el mas aconsejable es actualizar las bases de datos cada
cinco minutos y las paginas y las graficas cada hora. Normalmente se
ejecuta en el inicio justo despues de bastion-firewall desde el
script en /etc/rc.d/init.d o /etc/init.d.
Usa los siguientes comandos .bsf en /usr/lib/bastion-firewall/bsf:
bfscreate.bsf :
Crea los ficheros rrdtool si no lo ha hecho bsf_start
bfsupdate.bsf :
Actualiza una base de datos de rrdtool
bfsgraph.bsf :
Crea una grafica con los datos de rrdtool
bfshtml.bsf :
Crea la pagina de estadisticas de trafico
Los parametros que acepta el comando son los siguientes:
segundos :
Segundos entre las actualizaciones de las bases de datos rrd
con los datos obtenidos de las cadenas de netfilter, segundos es por
defecto 300 (5 minutos) Y NUNCA DEBERIA CAMBIAR ESTO,
SI LO CAMBIA DEBERA ALTERAR LOS SCRIPTS.
veces :
Cuantas veces el programa tiene que esperar 'segundos' para
actualiazar los graficos con los datos en las bases de datos rrd
para que queden actualizados cada (segundos*veces) segundos, veces es
por defecto 12 (una hora) PERO PUEDE CAMBIARLO A 6 O 3 QUIZA
PARA OBTENER GRAFICAS CADA 30 MINUTOS O 15 MINUTOS.
Si solo queremos cambiar el numero de veces que se crearan las
graficas deberemos usar el comando: " bastion-firewall-stats 300
'veces' "
con 'veces' el numero de veces que cada 300 segundos se crearan las
graficas, para no tener que tocar los scripts.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_acceptip
NAME
bsf_acceptip - Habilitar una ip, rango o red de forma temporal
SYNOPSIS
bsf_acceptip ip|rango|red|ip/mascara|list [-h] [--help]
DESCRIPTION
bsf_acceptip permite habilitar una direccion IP, rango o red en el
firewall de forma temporal, hasta el proximo reinicio del firewall.
Tiene precedencia sobre todas las reglas del firewall.
USAGE
bsf_acceptip puede ser llamada con una de las siguientes opciones:
bsf_acceptip direccionip (xxx.xxx.xxx.xxx)
bsf_acceptip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
bsf_acceptip red CIDR (xxx.xxx.xxx.xxx/xx)
bsf_acceptip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
bsf_acceptip file.list (lista en /etc/bastion-firewall/lists)
direccionip:
Una direccion IP cualquiera
rango:
Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que
tener en cuenta que siempre se expande y se trata IP por IP, por lo
que no es conveniente usar rangos de mas de algunos cientos de IPs o
crearemos miles de reglas que inutilizaran nuestro firewall
red CIDR:
Red expresada en la forma 192.168.1.0/24
ip/mascara:
IP y mascara para describir una red o rango
file.list:
Fichero con una lista de IPs en /etc/bastion-firewall/lists
bsf_acceptip -h | --help:
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_blackip
NAME
bsf_blackip - Bloquear una ip, rango o red de forma permanente
SYNOPSIS
bsf_blackip ip|rango|red|ip/mascara|list [-h] [--help]
DESCRIPTION
bsf_blackip permite bloquear una direccion IP, rango o red en el
firewall de forma permanente, metiendola en el fichero blacklist.conf
para que se bloquee siempre que se inicie el firewall. Tiene
precedencia sobre todas las reglas del firewall.
USAGE
bsf_blackip puede ser llamada con una de las siguientes opciones:
bsf_blackip direccionip (xxx.xxx.xxx.xxx)
bsf_blackip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
bsf_blackip red CIDR (xxx.xxx.xxx.xxx/xx)
bsf_blackip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
bsf_blackip file.list (lista en /etc/bastion-firewall/lists)
direccionip:
Una direccion IP cualquiera
rango:
Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que
tener en cuenta que siempre se expande y se trata IP por IP, por lo
que no es conveniente usar rangos de mas de algunos cientos de IPs o
crearemos miles de reglas que inutilizaran nuestro firewall
red CIDR:
Red expresada en la forma 192.168.1.0/24
ip/mascara:
IP y mascara para describir una red o rango
file.list:
Fichero con una lista de IPs en /etc/bastion-firewall/lists
bsf_blackip -h | --help:
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_changerule
NAME
bsf_changerule - Cambia una regla de trafico del firewall
SYNOPSIS
bsf_changerule [opcion] trafico servicio/grupo [-h] [--help]
DESCRIPTION
bsf_changerule cambia una regla para un servicio en el las reglas del
firewall de manera permanente, editando el fichero rules.conf.
USAGE
Debemos especificar la opcion con el tipo de accion que se quiere
realizar sobre la regla y luego el trafico a habilitar o deshabilitar
y el nombre del servicio o grupo sobre el que queremos actuar.
bsf_changerule [opcion] trafico servicio/grupo
servicio:
Nombre de un servicio (HTTP) o grupo (GROUP_SERVER)
trafico:
Una direccion de trafico con sus opciones, como por ejemplo
fw-to-lan:log:stats o lan-to-ext. No se comprueba la validez de la
regla de trafico que se introduce.
opciones:
-a Meter un nuevo tipo de trafico a la regla
-d Quitar un tipo de trafico de la regla, para esto
debe coincidir exactamente con el que tenemos
-n Borrar todas las reglas de trafico para este servicio
bsf_changerule -h | --help :
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_checkip
NAME
bsf_checkip - Chequear la correccion de una ip, rango, red o lista de
IPs
SYNOPSIS
bsf_checkip ip|rango|red|ip/mascara|list [-h] [--help]
DESCRIPTION
bsf_checkip permite chequear una direccion IP, rango, red o lista de
IPs en forma de fichero .list para ver si son correctas y ajustadas a
los tipos de datos que admite el firewall. Si se trata de un rango o
una lista expande el dato y devuelve todas las IPs que lo componen.
USAGE
bsf_checkip puede ser llamada con una de las siguientes opciones:
bsf_checkip direccionip (xxx.xxx.xxx.xxx)
bsf_checkip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
bsf_checkip red CIDR (xxx.xxx.xxx.xxx/xx)
bsf_checkip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
bsf_checkip file.list (lista en /etc/bastion-firewall/lists)
direccionip:
Una direccion IP cualquiera
rango:
Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que
tener en cuenta que siempre se expande y se trata IP por IP, por lo
que no es conveniente usar rangos de mas de algunos cientos de IPs o
crearemos miles de reglas que inutilizaran nuestro firewall
red CIDR:
Red expresada en la forma 192.168.1.0/24
ip/mascara:
IP y mascara para describir una red o rango
file.list:
Fichero con una lista de IPs en /etc/bastion-firewall/lists
Si se trata de un rango o una lista devuelve todas las IPs incluidas
en el rango o indicadas en la lista comprobadas y chequeadas para ver
si son correctas.
bsf_checkip -h | --help:
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_clearconntrack
NAME
bsf_clearconntrack - Borra conexiones TCP de la tabla de conntrack
SYNOPSIS
bsf_clearconntrack [direccionip] [-a] [-h] [--help]
DESCRIPTION
bsf_clearconntrack borra las conexiones TCP de la tabla de conntrack
para una direccion IP determinada o borra la tabla completamente. Se
cortan las sesiones mandando un RST a cada lado de la conexion.
USAGE
bsf_clearconntrack direccionip (xxx.xxx.xxx.xxx) :
Borra las conexiones TCP para una direccion IP
bsf_clearconntrack -a :
Borra todas las entradas de la tabla
Este comando necesita que tengamos instalado hping2, pues usa esta
utilidad
para mandar un RST a cada lado de la sesion TCP.
Es totalmente normal que aparezcan errores indicando que se ha
terminado hping2. Se lo ejecuta y luego se lo mata para no tener
que esperar las respuestas a los reset.
Solo sirve para TCP.
bsf_clearconntrack -h | --help :
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_clearlocks
NAME
bsf_clearlocks - Borra todos los ficheros lock de bastion-firewall
SYNOPSIS
bsf_clearlocks [-h] [--help]
DESCRIPTION
bsf_clearlocks borra los ficheros lock producidos por los scripts de
inicio de bastion-firewall y sus addons.
USAGE
bsf_clearlocks :
Borra todos los ficheros lock de bastion-firewall
bsf_clearlocks -h | --help :
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_closeall
NAME
bsf_closeall - Cierra el firewall para todo el trafico temporalmente
SYNOPSIS
bsf_closeall [-f] [-h] [--help]
DESCRIPTION
bsf_closeall cierra el firewall temporalmente a todo el trafico que
se produzca en sus redes. Es una medida de proteccion inmediata en caso
de ataques o compromisos del sistema.
USAGE
bsf_closeall permite proteger inmediatamente la red detras del firewall
cerrando todos los interfaces a todo el trafico que se pueda producir.
Es una medida extrema para casos donde tenemos constancia de que se ha
producido un ataque o intrusion y tambien para momentos de
administracion
del firewall o similares.
bsf_closeall :
Cierra el trafico en todas las interfaces menos loopback
bsf_closeall [-f] :
No permite tampoco trafico loopback
bsf_closeall -h | --help :
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_closeip
NAME
bsf_closeip - Bloquear una ip, rango o red de forma temporal
SYNOPSIS
bsf_closeip ip|rango|red|ip/mascara|list [-h] [--help]
DESCRIPTION
bsf_closeip permite bloquear una direccion IP, rango o red en el
firewall de forma temporal, hasta el proximo reinicio del firewall.
Tiene precedencia sobre todas las reglas del firewall.
USAGE
bsf_closeip puede ser llamada con una de las siguientes opciones:
bsf_closeip direccionip (xxx.xxx.xxx.xxx)
bsf_closeip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
bsf_closeip red CIDR (xxx.xxx.xxx.xxx/xx)
bsf_closeip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
bsf_closeip file.list (lista en /etc/bastion-firewall/lists)
direccionip:
Una direccion IP cualquiera
rango:
Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que
tener en cuenta que siempre se expande y se trata IP por IP, por lo
que no es conveniente usar rangos de mas de algunos cientos de IPs o
crearemos miles de reglas que inutilizaran nuestro firewall
red CIDR:
Red expresada en la forma 192.168.1.0/24
ip/mascara:
IP y mascara para describir una red o rango
file.list:
Fichero con una lista de IPs en /etc/bastion-firewall/lists
bsf_closeip -h | --help:
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_dropip
NAME
bsf_dropip - Bloquear una ip, rango o red de forma temporal sin
precedencia
sobre las demas reglas del firewall
SYNOPSIS
bsf_dropip ip|rango|red|ip/mascara|list [-h] [--help]
DESCRIPTION
bsf_dropip permite bloquear una direccion IP, rango o red en el
firewall de forma temporal, hasta el proximo reinicio del firewall.
La diferencia con bsf_closeip es que este comando NO TIENE precedencia
sobre todas las demas reglas del firewall, simplemente se mete en la
tabla de direcciones a bloquear, pero puede ser luego habilitada por
otros medios.
USAGE
bsf_dropip puede ser llamada con una de las siguientes opciones:
bsf_dropip direccionip (xxx.xxx.xxx.xxx)
bsf_dropip rango (xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx)
bsf_dropip red CIDR (xxx.xxx.xxx.xxx/xx)
bsf_dropip ip/mascara (xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx)
bsf_dropip file.list (lista en /etc/bastion-firewall/lists)
direccionip:
Una direccion IP cualquiera
rango:
Un rango de IPs que no puede ser mayor de 200000 IPs, aunque hay que
tener en cuenta que siempre se expande y se trata IP por IP, por lo
que no es conveniente usar rangos de mas de algunos cientos de IPs o
crearemos miles de reglas que inutilizaran nuestro firewall
red CIDR:
Red expresada en la forma 192.168.1.0/24
ip/mascara:
IP y mascara para describir una red o rango
file.list:
Fichero con una lista de IPs en /etc/bastion-firewall/lists
bsf_dropip -h | --help:
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_dshield_to_list
NAME
bsf_dshield_to_list - Transforma un fichero de redes que se recomienda
bloquear en dshield.org en un fichero lista .list de bastion-firewall
SYNOPSIS
bsf_dshield_to_list block.txt block.list [-h] [--help]
DESCRIPTION
bsf_dshield_to_list transforma un fichero de redes que se recomienda
bloquear, en el formato Recommended Block List de dshield.org en un
fichero lista de bastion-firewall.
USAGE
bsf_dshield_to_list block.txt block.list
Transforma un fichero de redes que se recomienda bloquear, en el
formato Recommended Block List de dshield.org en un fichero lista de
bastion-firewall.
Este fichero se puede bajar con su firma y comprobarla con el script
perl dshield-get_block.pl o con wget/curl de:
http://feeds.dshield.org/block.txt
y la firma de:
http://feeds.dshield.org/block.txt.asc
Luego se puede meter el fichero resultante en el directorio
/etc/bastion-firewall/lists y el nombre block.list en
blacklist.conf para bloquear estas redes.
bsf_dshield_to_list -h | --help :
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_error
NAME
bsf_error - Manejar un mensaje de error en el firewall y dar ayuda al
usuario para que pueda resolverlo
SYNOPSIS
bsf_error fichero variable (or X) mensaje [-h] [--help]
DESCRIPTION
bsf_error manejar un mensaje de error en el firewall y dar ayuda al
usuario para que pueda resolverlo, usando el sistema de ayuda de los
ficheros de configuracion.
USAGE
bsf_error fichero variable (or X) mensaje
Manejar un mensaje de error en el firewall y dar ayuda al
usuario para que pueda resolverlo.
Si pasamos como variable X es que no hay ninguna variable
implicada, por lo que no se buscara su valor ni ayuda.
No es un error el pasar una variable que no tiene valor, pues,
precisamente el fallo puede ser que la variable este vacia.
Si el mensaje contiene espacios deberia ir entre comillas ""
Este comando puede ser usado en los ficheros locales de script
del firewall y tambien en scripts o plugins que escribamos para
el firewall.
bsf_error -h | --help :
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_helpvar
NAME
bsf_helpvar - Muestra la ayuda sobre una variable del firewall incluida
en alguno de los ficheros de configuracion.
SYNOPSIS
bsf_helpvar variable [-h] [--help]
DESCRIPTION
bsf_helpvar muestra ayuda sobre una variable del firewall incluida en
alguno de los ficheros de configuracion en /etc/bastion-firewall.
USAGE
bsf_helpvar variable
Muestra el texto de ayuda que tenemos en el fichero de configuracion
sobre esta variable en concreto.
Este comando puede ser usado en los ficheros locales de script
del firewall y tambien en scripts o plugins que escribamos para
el firewall.
bsf_helpvar -h | --help :
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_makecert
NAME
bsf_makecert - Crea los certificados para bastion-firewall-interface
SYNOPSIS
bsf_makecert [-r] [-h] [--help]
DESCRIPTION
bsf_makecert crea el certificado para poder usar el interface
web de bastion-firewall sobre SSL. El certificado no tiene validez
fuera de nuestro entorno local, pues es autofirmado. Si queremos un
certificado real debemos solicitarlo a una entidad certificadora
tipo Verisign.
USAGE
bsf_makecert :
Crea el certificado para poder usar bastion-firewall-interface sobre
SSL.
Luego nos permite borrar la clave maestra del certificado para no tener
que introducirla cada vez que arranquemos bastion-firewall-interface.
bsf_makecert -r :
Borra las claves y certificados actuales que tenemos.
bsf_makecert -h | --help :
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
bsf_clearlocks(1),
bsf_closeall(1),
bsf_closeip(1),
bsf_dropip(1),
bsf_dshield_to_list(1),
bsf_error(1),
bsf_helpvar(1),
bsf_makecert(1),
bsf_newservice(1),
bsf_newservicebulk(1),
bsf_openall(1),
bsf_openip(1),
bsf_start(1),
bsf_stats(1),
bsf_stop(1),
bsf_unacceptip(1),
bsf_unblackip(1),
bsf_unblackipall(1),
bsf_uncloseip(1),
bsf_undropip(1),
bsf_unopenip(1),
bsf_unwhiteip(1),
bsf_unwhiteipall(1),
bsf_whiteip(1)
AUTHOR
Copyright (C) 2004 por bgSEC (www.bgsec.com)
<consultoria@bgsec.com>
y Jose Maria Lopez Hernandez <jkerouac@bgsec.com>
bsf_newservice
NAME
bsf_newservice - Crear un nuevo servicio en el firewall
SYNOPSIS
bsf_newservice NOMBRE_SERVICIO PUERTOS [-h] [--help]
DESCRIPTION
bsf_newservice crea un nuevo servicio en el firewall y lo mete en el
fichero rules.conf para que pueda ser usado en cualquier otro sitio
del firewall.
USAGE
bsf_newservice NOMBRE_SERVICIO PUERTOS
Las opciones son:
NOMBRE_SERVICIO:
Nombre del servicio, no debe coincidir con ninguno de los ya definidos
ni con variables que se usen en los ficheros de configuracion.
PUERTOS:
Lista de puertos en la forma puerto/protocolo. Por ejemplo 80/tcp o
53/udp
bsf_newservice -h | --help :
Proporciona ayuda en linea sobre el comando, para mas informacion
debe consultar la documentacion de bastion-firewall y las paginas
de manual.
Los ficheros de configuracion incluyen una gran cantidad de comentarios
de ayuda. Estos comentarios son esenciales para comprender como
funciona
el firewall y como se generan las reglas.
Por favor lea la documentacion que incluye bastion-firewall. Puede
encontrar
esta documentacion en /usr/share/doc/bastion-firewall-1.0
FILES
Los ficheros de configuracion de bastion-firewall se encuentran
en /etc/bastion-firewall y tienen extension .conf, deben ser
considerados
codigo bash.
BUGS
Por favor lea /usr/share/doc/bastion-firewall-1.0/BUGS para los errores
conocidos y /usr/share/doc/bastion-firewall-1.0/TODO para lo que
todavia
queda por hacer.
NOTES
bastion-firewall es software liberado bajo licencia GPL. Por favor lea
la licencia en /etc/bastion-firewall/LICENCIA.txt o cualquier copia
oficial de
la licencia GPL.
SEE ALSO
bastion-firewall(1),
bastion-firewall-interface(1),
bastion-firewall-stats(1),
bsf_acceptip(1),
bsf_blackip(1),
bsf_changerule(1),
bsf_checkip(1),
bsf_clearconntrack(1),
