bastion-firewall Guia rapida 1.0

Copyright © 2004 Jose María López Hernández <jkerouac@bgsec.com>

Copyright © 2004 bgSEC (www.bgsec.com)

Este documento esta protegido bajo la licencia pública FDL de la Free Software Foundation.

bastion-firewall ha sido liberado bajo la licencia pública GPL de la Free Software Foundation.

El titular del copyright da permiso para que este documento sea copiado, distribuido y/o modificado bajo los terminos de la GNU Free Documentation License (FDL), siempre que se incluya una nota donde se especifiquen los autores originales del documento y el título del mismo. El texto de la licencia en inglés se incluye en este mismo documento y tiene validez legal plena.

Este documento y cualquier código fuente que se incluya se distribuyen con la esperanza de que resulten útiles, pero SIN NINGUNA GARANTIA; sin incluso la garantía implícita de COMERCIALIZACIÓN o ADECUACION PARA UN PROPÓSITO EN PARTICULAR. Si necesita más detalles consulte la GNU Free Documentation License (FDL) y la GNU General Public License (GPL) de la Free Software Foundation.

Tabla de Contenidos

Sobre bastion-firewall
Sobre los autores de bastion-firewall y este tutorial

Introducción
Características de bastion-firewall
Conceptos básicos de bastion-firewall
Guía rápida de bastion-firewall
Configuración rápida de bastion-firewall
Arrancar y parar bastion-firewall

Licencias

GPL
FDL

Sobre bastion-firewall

bastion-firewall es un firewall desarrollado por Jose María López Hernández <jkerouac@bgsec.com> y bgSEC (www.bgsec.com) basado en Netfilter e iptables y liberado bajo la licencia GPL de la Free Software Foundation.

bastion-firewall está pensado como firewall llave en mano para usuarios finales así como firewall completamente customizable para usuarios avanzados. La configuración por medio de ficheros bash permite una gran flexibilidad en la generación de reglas. El código del firewall esta escrito en un 99 por ciento en bash, con una pequeña parte en C para obtener los datos de Netfilter y generar las paginas con las gráficas de estadísticas de tráfico, este planteamiento permite a un usuario que pueda programar en bash el cambiar bastion-firewall para adaptarlo a cualquier sistema de producción. bastion-firewall ha sido liberado por bgSEC bajo licencia GPL y su documentación bajo licencia FDL, así que puede cambiar cualquier aspecto de bastion-firewall y usarlo en su sistemas de producción o liberarlo bajo licencia GPL manteniendo el Copyright original.

Como ejemplo de la flexibilidad de bastion-firewall bgSEC ha liberado UNbeatABLE CD bajo licencia GPL, una adaptación de la distribución Knoppix 3.3 con bastion-firewall integrado y que permite usar el firewalll desde el CD sin necesidad de disco duro. UNbeatABLE CD es una demostración de tecnología y debe considerarse como tal, puede tomarse como ejemplo de la flexibilidad del código o como punto de partida para generar firewalls ad-hoc para sistemas de producción.

bastion-firewall 1.0 ha sido considerado apto para sistemas de producción y se encuentra funcionando en varias máquinas con buenos resultados, también ha sido utilizado para generar scripts que son firewalls en si mismos y que después de editados y adaptados se encuentran funcionando en sistemas de producción con éxito.

bastion-firewall 1.0 ha sido desarrollado en España por Jose María López Hernández <jkerouac@bgsec.com> y bgSEC (www.bgsec.com) y por tanto los ficheros de configuración, la documentación y los comentarios del código están en español. Desde el comienzo del proyecto se pensó en traducir todo el firewall al idioma ingles, y se han adaptado las ordenes y los nombres de los ficheros para facilitar el cambio de idioma sin tener que cambiar la estructura general del firewall. En este momento se encuentran traducidos al ingles los ficheros de configuración con toda su ayuda, las páginas de manual, la ayuda de las órdenes, parte del interface gráfico bastion-firewall-interface y bastion-firewall-stats en su totalidad. También se han traducido los ficheros que acompañan a la distribución y la guía rápida de configuración. Esto debería bastar para que los angloparlantes puedan usar bastion-firewall sin ningún tipo de problemas, pero queda en el TODO la traducción completa de los comentarios del código, del tutorial, de la ayuda y completar la traducción del interface gráfico bastion-firewall-interface.

Sobre los autores de bastion-firewall y este tutorial

bastion-firewall, bastion-firewall-interface y bastion-firewall-stats han sido creados por Jose María López Hernández <jkerouac@bgsec.com> y bgSEC (www.bgsec.com) y liberados bajo licencia GPL (codigo) y FDL (documentación).

bastion-firewall-interface funciona sobre el servidor HTTP apache y PHP4, deberá consultar las licencias de ambos programas si quiere utilizarlos en su sistema de producción. Tanto apache como PHP4 son Copyright de sus propietarios y no tienen ninguna relación con bgSEC, aunque sus licencias permiten que sean distribuidos junto al firewall sin modificar.

Tanto ulogd como rrdtool son parte integrante de bastion-firewall pero sus Copyright pertenecen a sus propietarios, deberá consultar sus licencias si quiere usarlos en su sistema de producción con bastion-firewall-stats. Se distribuyen sin modificar en forma binaria y codigo fuente, en los ficheros de distribución se pueden consultar las licencias de cada uno de los programas.

Los addons hogwash, snort-inline, snort, pdumpq, Netfilter e iptables y los ficheros de firewall stressing (ethereal, fragrouter, ftest/ftestd, hping2, nasl, nmap/nmapfe, sing, snot y tcpdump) son Copyright de sus propietarios y no tienen ninguna relación con bgSEC. Se aconseja su uso para probar el firewall y se distribuyen sin ninguna modificación como addons de bastion-firewall. Su uso es opcional y no forman parte de bastion-firewall, se distribuyen como binarios y como código fuente sin modificar. En la distribución de cada programa se puede consultar la licencia y el Copyright de cada uno de ellos.

1. Introduccion

bastion-firewall es un firewall completo para el Sistema Operativo Linux basado en Netfilter e Iptables. Las premisas sobre las que se ha desarrollado bastion-firewall son las siguientes:

Flexibilidad: Se elegió bash como lenguaje de programación por ser suficientemente conocido por los administradores de sistemas, sencillo de modificar y reprogramar o añadir código. También es lo suficientemente potente para realizar casi cualquier algoritmo que se desee desarrollar.
Robustez: La elección de bash como lenguaje de programación asegura una gran facilidad en la realización de tests y en la modificación del código. Esto asegura que cualquier error o fallo en el firewall pueda ser solucionado por el mismo administrador del sistema, sin necesidad de contratar servicios de consultoría o aprender lenguajes de programación nuevos. El lenguaje es lo suficientemente rígido para asegurar que cualquier error en los scripts o los ficheros de configuración sea detectado fácilmente.
Extensibilidad: bastion-firewall puede ser modificado y extendido por medio del añadido de addons o por medio de plugins muy fáciles de programar en codigo bash y que se integran fácilmente en el código del firewall. En puntos claves del firewall se permite la introducción de código local para que un administrador pueda añadir reglas o código sin tener que tocar los ficheros básicos de bastion-firewall. Los addons permiten usar programas externos integrados con bastion-firewall usando la funcionalidad de este para usar programas externos para distintas tareas. Dos ejemplos de addons integrados son ulogd y snort-inline, que pueden ser añadidos al firewall usando la funcionalidad implementada en este.
Fácil mantenimiento: La utilización de bash tanto en el código como en los ficheros de configuración permite modificar y mantener el firewall de forma muy sencilla para cualquier administrador con conocimientos básicos de programación en shell.
Actualizaciones: bastion-firewall se compone de una parte central compuesta por código bash y bastion-firewall-stats programado en C, todo lo demás son addons que se integran sin necesidad de ser modificados, lo que permite que puedan ser actualizados sin afectar al funcionamiento del firewall. Una colección de ficheros build permiten la configuración inmediata mediante comandos ./configure de los addons y los complementos como rrdtools, apache o php4, y pueden así ser actualizados en un tiempo mínimo sin afectar al firewall. Es posible en muchos casos incluso actualizar parte de estos addons en caliente, sin tener que parar el firewall.
Soporte: bastion-firewall puede ser administrado y modificado por los mismos administradores del sistema de producción, pero también puede solicitarse servicios de consultoria y soporte técnico a bgSEC( www.bgsec.com). También es posible solicitar a bgSEC modificaciones o adaptaciones a sistemas de producción de bastion-firewall.
Documentación completa: Simplemente con los ficheros de configuración es posible comenzar a funcionar con bastion-firewall, pues incluyen una gran cantidad de ayuda en forma de comentarios para cada variable que se puede modificar. Además se adjunta en la distribución una gran cantidad de ficheros de ayuda que explican todos y cada uno de los aspectos de bastion-firewall. Los ficheros de código están profusamente comentados para una fácil comprensión y mantenimiento, y se espera que estén traducidos al ingles en un corto espacio de tiempo.
Funcionalidad: bastion-firewall permite crear una cantidad de reglas enorme simplemente editando una serie de variables en los ficheros de configuración, usando las facilidades de grupos de redes, grupos de servicios, mensajes icmp y protocolos, así como el uso de listas de IPs que pueden incluirse en cualquier sitio donde se solicite una dirección IP. Es posible el crear scripts con más de 3000 reglas simplemente editando cuatro o cinco variables de los ficheros de configuración.
Adaptabilidad: bastion-firewall se adapta a múltiples entornos, e incluye templates para algunos de estos, que permiten tener un firewall en producción simplemente editando media docena de variables y sin tener que leer prácticamente documentación. Esta preparado para poder ser usado como un simple firewall personal, como un firewall con DMZ para una gran empresa o como generador de scripts de firewalls que pueden ser instalados en varias máquinas.
Portabilidad: El código bash y la utilización de herramientas estandard de Linux hacen a bastion-firewall perfecto para ser adaptado a múltiples distribuciones de Linux o a sistemas de producción completamente diferentes.
Rapidez: La ordenación de las reglas por medio de tablas según el tipo de tráfico y la agrupación de puertos para servicios con varios puertos permiten a bastion-firewall generar reglas que Netfilter puede recorrer muy rápido, proporcionando una respuesta superior a la de otros firewalls o a la de scripts escritos a mano por un administrador. La cache de reglas permite cargar miles de ellas en segundos usando iptables-restores/iptables-save cuando los ficheros de configuración no hayan cambiado, hecho que el propio firewall detecta y tiene en cuenta. Una vez configurado el firewall la carga y descarga de cadenas y reglas lleva un tiempo mínimo para el sistema, lo que aventaja a los scripts que ejecutan iptables orden por orden y tardan un tiempo en generar las reglas.

2. Características de bastion-firewall

Las características principales de bastion-firewall son entre otras:

Programado en bash (99 por ciento del código) y C. Esto proporciona flexibilidad y facilidad de modificación del código. Unas 26000 lineas de código bash y C que proporcionan una funcionalidad muy alta, implementando casi todas las posibilidades de protecciones del kernel de Linux, incluidas las que se modifican en /proc y las del sistema Netfilter/iptables.
Basado en las facilidades Netfilter e Iptables proporcionadas por casi todas las distribuciones de Linux y por el kernel oficial. El firewall no usa ningún tipo de código propio o facilidades programadas, por lo que las ordenes que invoca son todas comandos iptables que crean reglas como lo haría un script, pero sin tener que escribir ni una sola linea de código.
El sistema no usa perl, python, ruby o comandos que puedan ser utilizados por un supuesto atacante como herramientas de trabajo después de un compromiso del sistema. bastion-firewall puede correr en una distribución muy pequeña, en modo texto y con un número de paquetes instalados mínimo.
Administración basada en ficheros de configuración en texto plano y tratados como código bash, permitiendo introducir código en los ficheros de configuración para la generación de los valores de las variables.
Administración basada en web mediante bastion-firewall-interface que modifica los ficheros de configuración, habilitando al administrador a realizar una configuración mixta, editando cosas con el interface y retocando luego si es necesario o útil los ficheros de configuración.
Ficheros de configuración totalmente comentados y con ayuda para cada variable que se puede alterar en el firewall. Los ficheros son autoexplicativos e incluyen documentación sobre el funcionamiento del firewall. En teoría sólo con esta documentación bastaría para configurar completamente el firewall y todas sus opciones, sin necesidad de leer ni una sola linea de documentación.
Sistema de estadísticas del tráfico basadas en web y que contienen gráficas del tráfico realizadas con rrdtool. Estas gráficas se generan automáticamente con solo incluir una directiva en el fichero del configuración del firewall o una opción en cada servicio o grupo de servicios de los que queremos obtener gráficas de tráfico. Creación automática de una página web que permite ver las estadísticas gráficas con facilidad.
Sistema de separación del tráfico y de agrupación y ordenación de las reglas, servicios y protocolos para obtener una máxima velocidad en el tratamiento del tráfico por parte de Netfilter. La idea es que Netfilter tenga que comprobar el mínimo número de reglas y que las reglas que afectan a un servicio y tienen varios puertos estén agrupadas en un solo comando.
Ficheros preparados para añadir código local por el administrador en puntos estratégicos de la carga de reglas del firewall, esto permite modificar el firewall sin tener que tocar el codigo.
Posibilidad de escribir plugins de forma muy sencilla para añadir funcionalidad al firewall. El firewall detecta los nuevos plugins y los integra en las reglas a generar, proporcionando una forma inmejorable de añadir código a bastion-firewall.
Uso de programas externos y addons totalmente estandard, sin ninguna modificación, permitiendo que sean actualizados o substituidos por otros con facilidad.
Funciona en sistemas o distribuciones con un mínimo de comandos, básicamente usa bash, los comandos estandard de Linux e incluye rrdtool y ulogd en la distribución, por lo que no es preciso que estén instalados en el sistema.
Sistema de blacklist para bloquear direcciones IP permanentemente. Sistema de whitelist para indicar que direcciones nunca se deben bloquear. Se proporcionan ordenes para administrar ambas listas y pueden ser usadas desde un IDS o IPS para bloquear posibles atacantes sin peligro de provocar un ataque de denegación de servicio.
Sistema de blacklist y whitelists para direcciones MAC. Es similar al sistema de blacklist/whitelist para direcciones IP.
Sistema de MACs restringidas que permite elegir que máquinas podrán hablar con el firewall y cuales no, tanto en la red local como en la red externa (como en una DMZ).
Posibilidad de utilizar listas de IPs en cada lugar donde normalmente introduciríamos una dirección IP. bastion-firewall expandirá la lista de IPs y creará las reglas para cada IP.
Posibilidad de crear nuevos servicios, grupos de servicios y grupos de redes, para gestionar el funcionamiento del firewall simplemente editando un número mínimo de variables.
Sistema MD5 para detectar cambios en la configuración y elegir entre regenerar de nuevo las reglas o cargar las reglas en la cache si no se ha modificado la configuración desde el último reinicio del firewall.
Doble filosofía de funcionamiento del firewall, la primera usando flujos de tráfico a bloquear o permitir y la segunda usando tablas donde se especifican las reglas.
Permite para cada servicio especificar los flujos de tráfico entre los interfaces de entrada y salida y las IPs de la red local y la remota, así como si quieremos que se apunten las conexiones en los logs, si queremos que se pasen a ulogd y si queremos que se creen estadísticas para el servicio en cuestión.
El administrador puede añadir mediante ordenes o editando los ficheros nuevos servicios o grupos de servicios de forma muy sencilla, y luego especificar las reglas para estos grupos o servicios. No es necesario tocar el código para añadir nuevos servicios al firewall, e incluso existe una orden para añadir una lista de servicios contenida en un fichero al firewall, permitiendo añadir gran cantidad de servicios sin tener que editar los ficheros de configuración.
Implementación de las facilidades incluidas en los pom incluidos con iptables.
Proteccion contra ataques contra el kernel, spoofing, ataques de denegación de servicio, ataques de llenado de los logs, escaneos de puertos.
Posibilidad de especificar como queremos rechazar o aceptar los paquetes. Uso de REJECT o DROP a elección del administrador.
Creación de un fichero script cada vez que se regeneran las reglas que contiene TODAS las ordenes que ha ejecutado el firewall, tanto para activar las protecciones del kernel como las ordenes iptables que ha ejecutado. La ejecución de este script tiene el mismo efecto que arrancar el firewall. El script incluye comentarios de cada orden que ejecuta y de los servicio que habilita o bloquea. Este script permite usar bastion-firewall como un potente generador de scripts que son firewalls en si mismos, habilitando al administrador a crear firewalls ad-hoc para sistemas en concreto simplemente alterando algunas variables en los ficheros de configuración. Es una de las características más potentes y útiles de bastion-firewall.
Creación de logs del funcionamiento del firewall y avisos de inicio y parada de este, así como de los addons.
Detección y posible bloqueo de trafico nuevo sin SYN, de fragmentos de tráfico, de tráfico considerado invalido por conntrack o de trafico no valido o considerado spoofing.
Permite mandar por ejemplo el trafico HTTP que se ha decidido aceptar a snort-inline para que este lo inspeccione y decida si el firewall debe bloquearlo o dejarlo pasar. Esto constituye una forma de IPS bastante eficaz y muy segura si mantenemos una cantidad pequeña de reglas en snort-inline. La ventaja de usar este método es que snort-inline realiza un tratamiento completo del tráfico HTTP por poner un ejemplo antes de comprobar con sus reglas si debe ordenar al firewall que bloquee o permita el tráfico.
Permite usar ulogd para mandar los logs a una base de datos como mysql o postgresql, o crear logs personalizados que luego pueden ser tratados con swatch o programas similares.
Tratamiento personalizado o configuración por defecto de todo el trafico ICMP. Posiblidad de que conntrack devuelva mensajes ICMP o no los devuelva.
Posibilidad de creación de reglas mediante tablas usando todas las facilidades de grupos de IPs o servicios del firewall y que tienen precedencia sobre las demás reglas del firewall para ajustar el firewall cuando tenemos varias redes que queremos tratar de forma diferente.
Funcionalidad de proxy transparente, NAT, SNAT, DNAT o REDIRECT por medio de tablas y mediante fichero de configuración. Para cada servicio puede indicarse un servidor interno de la red local que proporcione servicios al exterior mediante DNAT simplemente introduciendo su IP en una variable.
Funciona sin modificaciones tanto sobre las versiones 2.4 del kernel como en las 2.6.
Al cargar el firewall y si debe regenerar las reglas comprueba que estan disponibles todos los comandos necesarios así como todas las IPs, grupos y listas que se incluyan en los ficheros de configuración. También comprueba que las reglas tengan la sintaxis correcta y produce errores intentando dar ayuda sobre donde se ha producido el error si se introducen datos incorrectos.
Permite el uso de rangos y listas de IPs, expandiendolos a direcciones IPs, pues iptables no soporta rangos de IPs directamente.
bastion-firewall puede funcionar con cualquier número de interfaces de entrada o de salida, siempre que el enrutado sea correcto entre estos interfaces y redes, esto permite por ejemplo tener conexiones a varios routers ADSL desde una LAN y especificar reglas para todo el trafico que ha de entrar o salir por ellos. Es necesario que el administrador use el comando ip para habilitar el enrutado entre la LAN y las interfaces que conectan a los routers.
Permite una gran cantidad de combinaciones de logs, usando los logs de apache o ulogd.

Estas son simplemente las características más importantes de bastion-firewall, para más información consultar los ficheros de configuración y si tiene conocimientos de bash el codigo de firewall. De cualquier forma la manera más gráfica de ver como funciona el firewall es configurandolo someramente y luego estudiando el script que se ha creado, y comparando las opciones que hemos especificado con las reglas iptables que se han quedado. También podemos ver con iptables -L como se organizan las reglas, pero puede ser complicado seguir el flujo del tráfico en este momento, todo esto se explicará en las siguientes secciones.

3. Conceptos básicos de bastion-firewall

El funcionamiento de un firewall es simple, se trata de un dispositivo que se introduce entre dos redes y que regula el tráfico que puede pasar de una red a otra, teniendo en cuenta una serie de reglas predeterminadas que indican que tráfico debe pasar y que tráfico debe bloquearse. Estas reglas pueden indicar que se bloquee o se permita el tráfico según una serie de parámetros que pueden ser entre otros: la dirección de origen, la dirección de destino, el interface de entrada, el interface de salida, el puerto de origen, el puerto de destino, etc.

bastion-firewall introduce el concepto de flujos de tráfico, entendiendo por flujo el flujo de datos que va de una red o una máquina a otra red u otra máquina, atravesando siempre el firewall. Estos flujos de datos se ordenan por medio de cuatro datos, el interface de entrada, el interface de salida, la red de origen y la red de destino, con lo que tenemos los siguientes flujos de datos:

lan-to-fw : Tráfico de la red LAN interna al firewall
fw-to-lan : Tráfico del firewall a la red LAN interna
ext-to-fw : Tráfico de la red EXT externa al firewall
fw-to-ext : Tráfico del firewall a la red EXT externa
lan-to-ext : Tráfico de la red LAN interna a la red LAN externa
ext-to-lan : Tráfico de la red EXT externa a la red LAN interna

Y por último un tipo de flujo especial que sirve para hacer DNAT (Destination Network Address Translation) de una red o maquina exterior de la red EXT a una maquina de la red LAN interna:

ext-to-dnat : Tráfico DNAT de la red EXT externa a una máquina de la red LAN interna

Estos tráficos son los que incluiremos en las variables de la configuración para habilitar el tráfico en una dirección para un flujo de datos, teniendo en cuenta que luego pueden llevar las siguientes opciones:

:drop Bloquear el tráfico (para hacer solo log o estadísticas de trafico)
:log Hacer log de las conexiones para este tipo de tráfico
:stats Sacar estadísticas para este tipo de tráfico (para luego crear gráficas de tráfico)
:ulog Mandar el trafico a ulogd para que cree un log en una base de datos o en un fichero de texto plano

Estos flujos de tráfico son para EL INICIO DE LA CONEXION, pues como el firewall usa la facilidad de Connection Tracking (conntrack) de Netfilter el tráfico de vuelta se permite siempre que se haya permitido el inicio de la conexión.

Por ejemplo: ext-to-lan:log:stats permitiría que se iniciara una conexión desde la red exterior EXT a la interior LAN y el trafico entre la red EXT y LAN y también por medio de conntrack el tráfico de LAN a EXT. Conntrack es lo suficientemente hábil como para llevar cuenta de las conexiones y sólo habilita el tráfico para una conexión en particular, por lo que se habla de Stateful Firewall (Firewall con estado), pues recuerda cuando se ha establecido una conexión (estado ESTABLISHED) e incluso cuando es otra conexión relacionada con la primera, como en el ftp (estado RELATED). El firewall permite por tanto con esta regla el trafico de EXT a LAN por ser el inicio de la conexión y el de LAN a EXT por ser ESTABLISHED. Además el firewall apunta en los logs en el inicio de la conexión y crea estadísticas de todo el tráfico que se produce en la conexión. Netfilter guarda una tabla en /proc/net/ip_conntrack con las conexiones aceptadas, las establecidas y las relacionadas, para mantener en todo momento el estado del firewall y saber que conexiones permitir y cuales no.

Graficamente los tipos de tráfico que tenemos son:

donde cada tipo de tráfico es el explicado más arriba, y se entiende que cada dirección de tráfico indica el inicio de la conexión, habilitandose el tráfico en el sentido contrario por medio de Connection Tracking.

Veamos tres ejemplos gráficamente de flujos o direcciones de tráfico:

lan-to-ext

fw-to-lan

fw-to-ext

4. Guía rápida de bastion-firewall

Configurar bastion-firewall implica la edición de una serie de ficheros en texto plano que contienen una serie de variables que permiten especificar el funcionamiento del firewall, las características generales de estos fichero son:

Se tratan como código bash que se incluye con el código del firewall, por tanto deben seguir TODAS las reglas de corrección que necesita cualquier script en bash, aunque sea un código bash muy simple que solo define variables.
Todas la configuración del firewall se realiza editando una serie de variables que se editan como cualquier variable bash, deben tener una etiqueta, un signo de igual y luego entre comillas deben tener el valor de la etiqueta que define la variable. Ejemplo: HTTP_PORT="fw-to-ext:stats lan-to-fw:log"
Se puede incluir código bash para definir las variables, siempre teniendo en cuenta que devuelvan el valor correcto y que sea código bash valido. Ejemplo: MYIPT=$(which iptables). En este caso no hay que poner comillas, pues estamos generando el valor con un código que se ejecutará cuando se cargue el firewall. Esto es aplicable a cualquier variable del firewall, y da una flexibilidad muy grande a la configuración de bastion-firewall.
Si una variable ocupa más de una linea debe incluirse como último caracter de la primera linea el símbolo \ y continuar justo al principio de la siguiente, igual que hariamos en cualquier programa en bash.
En algunos ficheros se pueden definir nuevos grupos, servicios, protocolos o reglas para las tablas, no es necesario hacer nada más que incluir las lineas para el nuevo servicio o grupo y ya está, bastion-firewall reconocerá el nuevo servicio o lo que hayamos incluido.
Se pueden definir nuevas variables intermedias para guardar datos o para ejecutar comandos o realizar acciones. Estas variables nunca deben comenzar por GROUP_ o ICMPX_ o PROTX_ o terminar en _PORT o en _DNATSERVER o el sistema las reconocerá erroneamente como un grupo de servicios o redes, un tipo de trafico ICMP o un protocolo, o una definición de puertos de un servicio o de una IP para hacer DNAT.
Nunca puede utilizar variables que ya estén en uso en otro fichero de configuración, hay algunas excepciones a esto, pero como regla general NUNCA se deben de definir variables con el mismo nombre en dos ficheros de configuración o en el mismo fichero, pues el sistema solo verá una.
Es posible usar unas variables en la definicion de otras, de la misma forma que se hace en bash. Ejemplo: MYNEW_LAN="192.168.7.1/24" y luego definimos NET_LAN="$MYNEW_LAN 192.168.8.1/24". Se define primero la variable si es necesario hacerlo y luego la incluimos en otra anteponiendo el simbolo $ a la variable que queremos expandir dentro de la otra variable. Esto brinda muchas posibilidades a la configuración del firewall y es una característica de bastion-firewall muy útil en muchos casos. Es consecuencia de que los ficheros de configuración se traten como código bash, con todo lo que esto implica.

Los ficheros de configuración que se entregan con la distribución son correctos, por lo que si somos mínimamente cuidadosos al editarlos no deberíamos tener ningún problema en crear configuraciones correctas. De cualquier forma el sistema intenta chequear gran cantidad de errores comunes que se pueden cometer al editar los ficheros de configuración del firewall, así como la validez de los datos introducidos en todas las variables principales, las que definen redes y las que definen servicios y las reglas que introducimos para esos servicios. Eso lleva un tiempo y puede verse al arrancar el firewall cuando genera las reglas, pero es fundamental para evitar errores extraños.

5. Configuración rápida de bastion-firewall

La forma más rápida de configurar bastion-firewall es usando alguno de los templates preconfigurados que se adjuntan con la configuración de bastion-firewall y en la documentación. Tenemos cuatro templates:

home-soho : Para configuraciones de firewall personales o para oficinas con muy pocas máquinas y con necesidades de seguridad bajas.
office : Para oficinas con bastantes máquinas y necesidades de seguridad medias, como evitar los P2P o los programas de Mensajería Instantanea.
enterprise : Para empresas. Seguridad muy alta y bastantes restricciones en materia de P2P y Mensajería Instantanea.
dmz : Configuración para uno de los firewalls perimetrales de una DMZ.

Estas configuraciones se editan luego cambiado las variables necesarias para adecuarlas a los interfaces y rangos de red que tenemos así como al nivel de seguridad, logging y estadísticas que necesitemos.

Por defecto las configuraciones no realizan muchos logs ni estadísticas, pues son funciones que el administrador debe decidir según sus necesidades. En el caso de las estadísticas se activan las estadísticas generales de tráfico de red e interfaces, pero no para los servicios que activamos.

Las variables mínimas que debemos cambiar para que funcione nuestro firewall con cualquiera de las configuracione son:

En networks.conf :

INTEFACE_IGNORE
INTERFACE_LAN
INTERFACE_EXT
NET_IGNORE
NET_LAN
NET_EXT
USEIPFW
MASQ_INTERNET
PROXYTRANS

En rules.conf hay que editar las variables del tipo:

GROUP_
SERVICE_ (Servicios, cada uno en vez de SERVICE tiene su nombre)
ICMPX_DEFAULT_CONF (o cada una de las variables para ICMP, y en su caso GRICMPX_DEFAULT)
PROT_
MULTICASTX_ (solo si queremos tráfico multicast, normalmente video sobre red)

para adecuarlas a las reglas que queramos tener en el firewall. Normalmente lo más cómodo es usar la configuración por defecto de ICMP y luego usar los grupos para configurar los servicios, pues estan ordenados por el tipo de servicio que incluyen, según las configuraciones más comunes que se suelen dar en un firewall.

También podemos crear nuestros propios grupos, incluyendo los nombres de los servicios que queremos tratar en el grupo y luego dando al grupo las opciones que deseemos para aceptar, bloquear, loggear o hacer estadísticas del tráfico.

Cuanto esté configurado simplemente arrancamos el firewall con /etc/rc.d/init.d/bastion-firewall start o bsf_start y si lo deseamos arrancamos el sistema de generación de estadísticas con /etc/rc.d/init.d/bastion-firewall-stats start o bsf_stats.

6. Arrancar y parar bastion-firewall

Para arrancar bastion-firewall podemos usar el script del sistema de initscripts que se incluye con la distribución o una orden. Para pararlo se hace de forma similar. También podemos incluirlo en los scripts de inicio de initscripts para que arranque con la máquina, usando el comando chkconfig en las distribuciones derivadas de RedHat o incluyendo los links en los directorios adecuados para las derivadas de Debian. Los addons se arrancan y se paran con sus propios scripts de inicio. Todos los scripts de inicio sirven para todas las distribuciones, porque no usan comandos o funciones propias de las distribuciones, solo código bash genérico.

Las ordenes que podemos usar son la siguientes si tenemos una distribución tipo RedHat (si es Debian simplemente cambiar /etc/rc.d/init.d por /etc/init.d):

/etc/rc.d/init.d/bastion-firewall start : Arrancar bastion-firewall usando el sistema de cache si es posible.
bsf_start : Arrancar bastion-firewall usando el sistema de cache si es posible.
bsf_start -f : Arrancar bastion-firewall forzando la regeneración de las reglas aunque no haya cambiado la configuración (por ejemplo si hemos añadido código).
bsf_start -t : Arranca el firewall en modo test, sin crear ningún tipo de cadena ni de reglas. Sirve para probar la configuración. Genera el script del firewall en /var/lib/bastion-firewall/script para que podamos comprobar que se han realizado las acciones y se han creado las reglas que deseamos.

/etc/rc.d/init.d/bastion-firewall stop : Para el firewall y si lo hemos especificado en la configuración devuelve Netfilter al estado anterior al arranque.
bsf_stop : Para el firewall y si lo hemos especificado en la configuración devuelve Netfilter al estado anterior al arranque.
bsf_stop -f : Para el firewall y borra todas las reglas forzosamente, aunque hayamos especificado en la configuración que se carguen las reglas anteriores al arranque del firewall.

/etc/rc.d/init.d/bastion-firewall-stats start : Carga el sistema de estadísticas, siempre debe arrancarse despues de arrancar bastion-firewall, porque sino el daemon de estadísticas no encontrará las tablas y no arrancará.
bsf_stats : Carga el sistema de estadísticas, igual que el anterior.

/etc/rc.d/init.d/bastion-firewall-ulogd start : Carga el addon del sistema de logging ulogd para hacer logs a bases de datos o a ficheros de texto plano.
/etc/rc.d/init.d/bastion-firewall-ulogd stop : Para el addon del sistema de logging ulogd.

/etc/rc.d/init.d/bastion-firewall-snort-inline start : Carga el addon de snort-inline, que permite mandar trafico por la facilidad QUEUE a el IPS snort-inline para denegar o aceptar tráfico que ya hemos tratado con el firewall.
/etc/rc.d/init.d/bastion-firewall-snort-inline stop : Para el addon de snort-inline.

/etc/rc.d/init.d/bastion-firewall-interface start : Carga el addon del daemon apache con PHP 4 para poder manejar por medio de un navegador web bastion-firewall. Escucha en el puerto 10002/tcp para HTTP normal y en el puerto 10003/tcp para HTTP sobre SSL (HTTPS).
/etc/rc.d/init.d/bastion-firewall-interface stop : Para el addon del daemon apache con PHP 4.

/etc/rc.d/init.d/bastion-firewall-hogwash start : Carga el addon de hogwash para bastion-firewall. Hogwash es un IPS independiente y no integrado con bastion-firewall.
/etc/rc.d/init.d/bastion-firewall-hogwash stop : Para el addon de hogwash para bastion-firewall.

/etc/rc.d/init.d/bastion-firewall-snort start : Carga el addon de snort para bastion-firewall. Snort es un IDS independiente y no integrado con bastion-firewall.
/etc/rc.d/init.d/bastion-firewall-snort stop : Para el addon de snort para bastion-firewall.

Es fundamental cargar los programas y addons de bastion-firewall en el orden correcto. El orden correcto para una configuración normal sería:

/etc/rc.d/init.d/bastion-firewall-snort-inline start
/etc/rc.d/init.d/bastion-firewall start
/etc/rc.d/init.d/bastion-firewall-stats start
/etc/rc.d/init.d/bastion-firewall-ulogd start
/etc/rc.d/init.d/bastion-firewall-interface start

y para pararlos justo al contrario:

/etc/rc.d/init.d/bastion-firewall-interface stop
/etc/rc.d/init.d/bastion-firewall-ulogd stop
/etc/rc.d/init.d/bastion-firewall-stats stop
/etc/rc.d/init.d/bastion-firewall stop
/etc/rc.d/init.d/bastion-firewall-snort-inline stop

Si integramos estos sripts en el sistema de initscripts de Linux tanto en RedHat como en Debian deberemos elegir el orden correcto para que se carguen los scripts al inicio. Lo fundamental es cargar primero bastion-firewall, y después el sistema de estadísticas y los addons.

GPL

                    GNU GENERAL PUBLIC LICENSE
                       Version 2, June 1991

59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

Preamble

The licenses for most software are designed to take away your freedom to share and change it. By contrast, the GNU General Public License is intended to guarantee your freedom to share and change free software--to make sure the software is free for all its users. This General Public License applies to most of the Free Software Foundation's software and to any other program whose authors commit to using it. (Some other Free Software Foundation software is covered by the GNU Library General Public License instead.) You can apply it to your programs, too.

When we speak of free software, we are referring to freedom, not price. Our General Public Licenses are designed to make sure that you have the freedom to distribute copies of free software (and charge for this service if you wish), that you receive source code or can get it if you want it, that you can change the software or use pieces of it in new free programs; and that you know you can do these things.

To protect your rights, we need to make restrictions that forbid anyone to deny you these rights or to ask you to surrender the rights. These restrictions translate to certain responsibilities for you if you distribute copies of the software, or if you modify it.

For example, if you distribute copies of such a program, whether gratis or for a fee, you must give the recipients all the rights that you have. You must make sure that they, too, receive or can get the source code. And you must show them these terms so they know their rights.

We protect your rights with two steps: (1) copyright the software, and (2) offer you this license which gives you legal permission to copy, distribute and/or modify the software.

Also, for each author's protection and ours, we want to make certain that everyone understands that there is no warranty for this free software. If the software is modified by someone else and passed on, we want its recipients to know that what they have is not the original, so that any problems introduced by others will not reflect on the original authors' reputations.

Finally, any free program is threatened constantly by software patents. We wish to avoid the danger that redistributors of a free program will individually obtain patent licenses, in effect making the program proprietary. To prevent this, we have made it clear that any patent must be licensed for everyone's free use or not licensed at all.

The precise terms and conditions for copying, distribution and modification follow.

GNU GENERAL PUBLIC LICENSE TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.
You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.
If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

How to Apply These Terms to Your New Programs

If you develop a new program, and you want it to be of the greatest possible use to the public, the best way to achieve this is to make it free software which everyone can redistribute and change under these terms.

To do so, attach the following notices to the program. It is safest to attach them to the start of each source file to most effectively convey the exclusion of warranty; and each file should have at least the "copyright" line and a pointer to where the full notice is found.

<one line to give the program's name and a brief idea of what it does.> Copyright (C) <year> <name of author>

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA

Also add information on how to contact you by electronic and paper mail.

If the program is interactive, make it output a short notice like this when it starts in an interactive mode:

Gnomovision version 69, Copyright (C) year name of author Gnomovision comes with ABSOLUTELY NO WARRANTY; for details type `show w'. This is free software, and you are welcome to redistribute it under certain conditions; type `show c' for details.

The hypothetical commands `show w' and `show c' should show the appropriate parts of the General Public License. Of course, the commands you use may be called something other than `show w' and `show c'; they could even be mouse-clicks or menu items--whatever suits your program.

You should also get your employer (if you work as a programmer) or your school, if any, to sign a "copyright disclaimer" for the program, if necessary. Here is a sample; alter the names:

Yoyodyne, Inc., hereby disclaims all copyright interest in the program `Gnomovision' (which makes passes at compilers) written by James Hacker.

<signature of Ty Coon>, 1 April 1989
Ty Coon, President of Vice

This General Public License does not permit incorporating your program into proprietary programs. If your program is a subroutine library, you may consider it more useful to permit linking proprietary applications with the library. If this is what you want to do, use the GNU Library General Public License instead of this License.

FDL

                GNU Free Documentation License
                  Version 1.2, November 2002

59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

0. PREAMBLE

The purpose of this License is to make a manual, textbook, or other functional and useful document "free" in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for their work, while not being considered responsible for modifications made by others.

This License is a kind of "copyleft", which means that derivative works of the document must themselves be free in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free software.

We have designed this License in order to use it for manuals for free software, because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does. But this License is not limited to software manuals; it can be used for any textual work, regardless of subject matter or whether it is published as a printed book. We recommend this License principally for works whose purpose is instruction or reference.

APPLICABILITY AND DEFINITIONS

This License applies to any manual or other work, in any medium, that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. Such a notice grants a world-wide, royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The "Document", below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as "you". You accept the license if you copy, modify or distribute the work in a way requiring permission under copyright law.

A "Modified Version" of the Document means any work containing the Document or a portion of it, either copied verbatim, or with modifications and/or translated into another language.

A "Secondary Section" is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document's overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship could be a matter of historical connection with the subject or with related matters, or of legal, commercial, philosophical, ethical or political position regarding them.

The "Invariant Sections" are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in the notice that says that the Document is released under this License. If a section does not fit the above definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none.

The "Cover Texts" are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5 words, and a Back-Cover Text may be at most 25 words.

A "Transparent" copy of the Document means a machine-readable copy, represented in a format whose specification is available to the general public, that is suitable for revising the document straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modification by readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy that is not "Transparent" is called "Opaque".

Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML, PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only.

The "Title Page" means, for a printed book, the title page itself, plus such following pages as are needed to hold, legibly, the material this License requires to appear in the title page. For works in formats which do not have any title page as such, "Title Page" means the text near the most prominent appearance of the work's title, preceding the beginning of the body of the text.

A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specific section name mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of such a section when you modify the Document means that it remains a section "Entitled XYZ" according to this definition.

The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License.

2. VERBATIM COPYING

You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this License, the copyright notices, and the license notice saying this License applies to the Document are reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough number of copies you must also follow the conditions in section 3.

You may also lend copies, under the same conditions stated above, and you may publicly display copies.

3. COPYING IN QUANTITY

If you publish printed copies (or copies in media that commonly have printed covers) of the Document, numbering more than 100, and the Document's license notice requires Cover Texts, you must enclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies. The front cover must present the full title with all words of the title equally prominent and visible. You may add other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects.

If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.

If you publish or distribute Opaque copies of the Document numbering more than 100, you must either include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque copy a computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy of the Document, free of added material. If you use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public.

It is requested, but not required, that you contact the authors of the Document well before redistributing any large number of copies, to give them a chance to provide you with an updated version of the Document.

4. MODIFICATIONS

You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely this License, with the Modified Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. In addition, you must do these things in the Modified Version:

Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of previous versions (which should, if there were any, be listed in the History section of the Document). You may use the same title as a previous version if the original publisher of that version gives permission.
List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modifications in the Modified Version, together with at least five of the principal authors of the Document (all of its principal authors, if it has fewer than five), unless they release you from this requirement.
State on the Title page the name of the publisher of the Modified Version, as the publisher.
Preserve all the copyright notices of the Document.
Add an appropriate copyright notice for your modifications adjacent to the other copyright notices.
Include, immediately after the copyright notices, a license notice giving the public permission to use the Modified Version under the terms of this License, in the form shown in the Addendum below.
Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document's license notice.
Include an unaltered copy of this License.
Preserve the section Entitled "History", Preserve its Title, and add to it an item stating at least the title, year, new authors, and publisher of the Modified Version as given on the Title Page. If there is no section Entitled "History" in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the Modified Version as stated in the previous sentence.
Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Document, and likewise the network locations given in the Document for previous versions it was based on. These may be placed in the "History" section. You may omit a network location for a work that was published at least four years before the Document itself, or if the original publisher of the version it refers to gives permission.
For any section Entitled "Acknowledgements" or "Dedications", Preserve the Title of the section, and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein.
Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers or the equivalent are not considered part of the section titles.
Delete any section Entitled "Endorsements". Such a section may not be included in the Modified Version.
Do not retitle any existing section to be Entitled "Endorsements" or to conflict in title with any Invariant Section.
Preserve any Warranty Disclaimers.

If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document, you may at your option designate some or all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version's license notice. These titles must be distinct from any other section titles.

You may add a section Entitled "Endorsements", provided it contains nothing but endorsements of your Modified Version by various parties--for example, statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard.

You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already includes a cover text for the same cover, previously added by you or by arrangement made by the same entity you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission from the previous publisher that added the old one.

The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version.

5. COMBINING DOCUMENTS

You may combine the Document with other documents released under this License, under the terms defined in section 4 above for modified versions, provided that you include in the combination all of the Invariant Sections of all of the original documents, unmodified, and list them all as Invariant Sections of your combined work in its license notice, and that you preserve all their Warranty Disclaimers.

The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be replaced with a single copy. If there are multiple Invariant Sections with the same name but different contents, make the title of each such section unique by adding at the end of it, in parentheses, the name of the original author or publisher of that section if known, or else a unique number. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work.

In the combination, you must combine any sections Entitled "History" in the various original documents, forming one section Entitled "History"; likewise combine any sections Entitled "Acknowledgements", and any sections Entitled "Dedications". You must delete all sections Entitled "Endorsements".

6. COLLECTIONS OF DOCUMENTS

You may make a collection consisting of the Document and other documents released under this License, and replace the individual copies of this License in the various documents with a single copy that is included in the collection, provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects.

You may extract a single document from such a collection, and distribute it individually under this License, provided you insert a copy of this License into the extracted document, and follow this License in all other respects regarding verbatim copying of that document.

7. AGGREGATION WITH INDEPENDENT WORKS

A compilation of the Document or its derivatives with other separate and independent documents or works, in or on a volume of a storage or distribution medium, is called an "aggregate" if the copyright resulting from the compilation is not used to limit the legal rights of the compilation's users beyond what the individual works permit. When the Document is included in an aggregate, this License does not apply to the other works in the aggregate which are not themselves derivative works of the Document.

If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document is less than one half of the entire aggregate, the Document's Cover Texts may be placed on covers that bracket the Document within the aggregate, or the electronic equivalent of covers if the Document is in electronic form. Otherwise they must appear on printed covers that bracket the whole aggregate.

8. TRANSLATION

Translation is considered a kind of modification, so you may distribute translations of the Document under the terms of section 4. Replacing Invariant Sections with translations requires special permission from their copyright holders, but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. You may include a translation of this License, and all the license notices in the Document, and any Warranty Disclaimers, provided that you also include the original English version of this License and the original versions of those notices and disclaimers. In case of a disagreement between the translation and the original version of this License or a notice or disclaimer, the original version will prevail.

If a section in the Document is Entitled "Acknowledgements", "Dedications", or "History", the requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual title.

9. TERMINATION

You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

10. FUTURE REVISIONS OF THIS LICENSE

The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns. See http://www.gnu.org/copyleft/.

Each version of the License is given a distinguishing version number. If the Document specifies that a particular numbered version of this License "or any later version" applies to it, you have the option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. If the Document does not specify a version number of this License, you may choose any version ever published (not as a draft) by the Free Software Foundation.

ADDENDUM: How to use this License for your documents

To use this License in a document you have written, include a copy of the License in the document and put the following copyright and license notices just after the title page:

Copyright (c) YEAR YOUR NAME.
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".

If you have Invariant Sections, Front-Cover Texts and Back-Cover Texts, replace the "with...Texts." line with this:

with the Invariant Sections being LIST THEIR TITLES, with the Front-Cover Texts being LIST, and with the Back-Cover Texts being LIST.

If you have Invariant Sections without Cover Texts, or some other combination of the three, merge those two alternatives to suit the situation.

If your document contains nontrivial examples of program code, we recommend releasing these examples in parallel under your choice of free software license, such as the GNU General Public License, to permit their use in free software.