Matias escribi�:
Tienes raz�n en parte. Un firewall, no solo deber�a filtrar paquetes,
si no que tambi�n tiene que rutear (y activar una que otra cosa).
Mayormente, por lo que vi de shorewall, ayuda con varias tareas de la
implementaci�n de un firewall, haci�ndolas m�s f�ciles. Pero no deja
de ser un script hecho en "#!/bin/sh". O dicho de otra forma, el
tiempo que "yo" pasar�a para leer y entender todo lo que hacen los
scripts que utiliza shorewall (o cualquier otro programa de este
tipo), ser�a mayor que el tiempo que pasar�a en integrar alg�n IDS con
IpTables (y tomar las medidas necesarias para no hacer un auto-DoS).
�Que pasa si es un script? �Un script no es un programa? La
configuracion no solo es mas sencilla sino que la puedes hacer pensando
en subredes, hosts, interfaces, politicas y reglas, de una forma mas
comprensible que directamente con iptables. Un firewall funciona a un
nivel mas abstracto y superior que iptables, iptables solo es una
herramienta de filtrado de paquetes.
El firewall permite hacer mas comprensible la configuracion de los
filtros, y ganar en seguridad al reducir las posibilidades de error
configurando estos, aparte comprueba que no se hayan cometido algunos
errores en la configuracion. Te recomiendo que mires la web de
shorewall, www.shorewall.net para saber mas, y mirar los ficheros de
configuracion en /etc/shorewall.
Para usarlo es muy facil:
shorewall start
shorewall restart
shorewall clear
shorewall stop
Se que lo que digo puede sonar "bastante fundamentalista", y para
salir del paso uno de estos scripts funcionan perfecto, pero para mi
gusto no sirven demasiado, suelen agregar cosas in�tiles para ciertos
casos (que para mi fueron la mayor�a, aunque nunca antes hab�a probado
el shorewall, pero si otros).
Suena a "yo soy muy macho y la gente como yo usa iptables a pelo". :)
Perdonad por la extensi�n, pero ando liado tratando de ver la mejor
forma de hacer un router/firewall para para redes wireless, y ya he
ca�do con otros programas que promet�an ser "firewalls", pero que eran
simplemente un conjunto de reglas para el IpTables.
No lo pillo, pero bueno, si eres mas feliz usando iptables, para eso
esta la libertad de eleccion.
Saludos.
--
Bernardo Arlandis Ma��
http://personales.ya.com/berarma/
