Archivo de la etiqueta: cortafuegos

No consigo poner en marcha Firestarter en Ubuntu

Si instalas Firestarter en ubuntu, con la sana intención de proteger tu máquina con un cortafuegos, te encontrarás con un par de problemas bastante puñeteros.

El primer tropiezo es que Firestarter se niega a arrancar y se queja de que el dispositivo de red no está disponible. Una estupidez, porque tú estás viendo que tienes una red perfectamente activa.

Una vez que resuelves el primer tropiezo te encuentras con el segundo: Firestarter se pone en marcha cuando se lo mandas, pero no puedes hacer que se ponga en marcha automáticamente al rebotar la máquina.

El primer problema se debe a que Firestarter se pone en marcha con el script /etc/firestarter/firestarter.sh y si lo editas, verás un par de cosas curiosas: que el script pone en marcha comandos del sistema para saber cuál es la red. Y el follón surge porque espera respuestas en inglés y se las dan en castellano.

Efectivamente, en la línea donde pone:

 
MASK=`/sbin/ifconfig $IF | grep Mask | cut -d : -f 4`

…debería poner:

 
MASK=`/sbin/ifconfig $IF | grep Máscara | cut -d : -f 4`

Y en la línea donde pone:

 
BCAST=`/sbin/ifconfig $IF |grep Bcast: | cut -d : -f 3 | cut -d \  -f 1`

debería poner:

 
BCAST=`/sbin/ifconfig $IF |grep Difusión: | cut -d : -f 3 | cut -d \  -f 1`

Y también deberías cambiar en el mismo sentido las líneas que comienzan con INMASK y con INBCAST.

Ahora, Firestarter ya debería reconocer tus redes y ponerse en marcha. Hazlo y configura tu cortafuegos a tu gusto. ¿Ya?. Pues esto nos lleva al segundo problema.

Firestarter no se pondrá en marcha de nuevo en el boot, y cada vez que lo actualices tendrás que volver a editar el script para corregir de nuevo el bug. La forma de evitarlo es nuevamente muy simple: ahora que tienes a Firestarter en marcha y a tu gusto, prescinde de él. ;-)

Con Firestarter funcionando, abre otra ventana de comandos, hazte root, y teclea este comando:

 
[root@jeanette lacofi]# /sbin/iptables-save > /etc/cortafuegos.cfg

Ahora edita el fichero /etc/rc.local y mete este comando en él (también puedes ejecutarlo a mano siempre que necesites arrancar el cortafuegos):

 
[root@jeanette lacofi]# /sbin/iptables-restore < /etc/cortafuegos.cfg

Con estos comandos, obviamente, se salvan a un fichero todas las reglas iptables activas. Y después, podemos ponerlas de nuevo en marcha con el segundo comando. Hala, al carajo el Firestarter. Ya puedes desinstalarlo si te da la gana.

Firestarter y los dichosos «hits»

Este fue uno de mis mayores quebraderos de cabeza. Si arrancas el cortafuegos «Firestarter», te encontrarás, cada vez que salgas a consola, con que ésta se te llena continuamente de basura, o sea, de salidas log procedentes del dichoso cortafuegos.

Por un lado, no quieres perder firestarter (es cómodo y útil), pero por el otro, la consola se vuelve una casa de locos por culpa de los hits. ¿Qué hacer?.

Pues los hits desaparecen de la consola simplemente tecleando como root el comando:

	[root@claudia lacofi]# dmesg -n1

Si no quieres tener que teclearlo cada vez que enciendes el ordenador, puedes hacer como yo y crear en /etc/rc.boot (o /etc/conf.d o el directorio equivalente en tu distribución) un fichero llamado 01-dmesg, con permisos de lectura y ejecución para root.root y que contenga:

	#! /bin/sh
	#       /etc/rc.boot/01-dmesg
	#       Ajustes para reducir mensajes en consola
	#

	dmesg -n1

Lo que hace esta orden (si consultas «man dmesg») es cancelar todos los mensajes del kernel en consola, excepto los de la clase «kernel panic». Ojo, lo que estás cancelando es la salida por consola, no el registro de los mensajes, que continuarán almacenandose normalmente en los archivos de /var/log. Si quieres eliminar también el registro de los hits en /var/log, tendrás que cambiar el fichero /etc/syslog.conf que está decentemente comentado. Eso sí, hacer esto último significará perder todos los mensajes del grupo warning, por lo que no te lo recomiendo.

Si no te interesa cancelar todos los mensajes del kernel en consola (con dmesg -n1), sino solo los del cortafuegos, puedes utilizar este otro truco: edita el fichero «/etc/firestarter/firewall.sh» y alrededor de la línea 86 encontrarás una entrada que dice así:

	$IPT -A LD -j LOG

Bueno, pues puedes cambiar esa línea y añadir lo que está en cian para dejarla así:

	$IPT -A LD -j LOG --log-level 6

Nuevamente, estás cancelando solo la salida por consola, pero no el almacenamiento de los hits en los ficheros de log. Naturalmente, con esto ya no debería ser necesario usar lo de «dmesg -n1».