Configuración óptima del firewall

Esto es para “expertos”, y declino toda responsabilidad de lo que os pueda suceder en el Router, aún siguiendo el manual al pie de la letra.

El concepto es el siguiente. El Router, como todos, no cierra la salida desde nuestro PC a internet, solo lo hace la revés. Entonces es cuando nuestro Firewall se queda cojo, puesto que ampliamente entendido debería hacer ambas funciones. (El software las hace pero es casi imposible con los actuales personalizarlos de forma que nos salga lo que queremos cuando la conexión se inicia en el exterior ya que lo bloquea).

Ahora viene lo bueno, nuestro Router, moderno como es él, tiene un Firewall, que es UNA MARAVILLA, y que nos permitirá hacer configuraciones que ningún otro Router con firewall permite, ni mucho menos los vetustos 3com 812, etc que no llevan ni Firewall como tal (Para ser justos, lleva unos filtros dificilmente configurables).

El proceso que propongo, consta de 3 pasos básicos, y sucesivos por parte del usuario que decidirá completamente que servicios estarán disponibles en su PC.

Puesto que vamos a cerrar el Router completamente, primero, como es obvio, deberemos crear los accesos vía http:// y Telnet para evitar quedarnos sin entrada:

Nota: La tarjeta Ethernet o el cable USB, tienen que tener asignadas en el TCP/IP, la dirección IP, máscara de red, y puerta de enlace privadas, además de las DNS, puesto que se va a interrumpir el servidor DHCP del Router.

1. Apertura puerto 80:

Para que queden claros los conceptos:

-la precedence tiene que ser menor que la de la norma de cierre que luego vamos a crear.

-La Src Ip Address será la IP privada del PC al que habilitamos acceso (especificada manualmente en el TCP/IP del PC). Si alguien no conoce cual es la suya que abandone este manual porque no sabe lo suficiente (consejo).

-Destination Port: el 80 para http:// y el 23 para Telnet por si las cosas se ponen feas.

-Protocolo TCP o UDP, según los requerimientos.

-Interface name: eth1 si nuestra conexión es por Ethernet en la clavija

1, si es en la 2, eth2, y si es por USB, usb0.

-Direction: se puede poner in, y con esto también se navega en el caso

del 80, y se hace Telnet a Host remotos.

2. Cierre del Router: creamos una norma con las siguientes características:

No hay mucho que explicar, se crea una norma con PRECEDENCE MAYOR QUE LAS ANTERIORES, y en vez de FW Action: Allow, colocamos Deny.

Ahora está todo cerrado en todas las direcciones, salvo el 80 y el 23. Se trata de abrir los puertos que queramos, imprescindible va a ser el puerto 53 en UDP, para las DNS (que traducen las direcciones escritas en IP´s) para que podamos navegar, el 25 del smtp y el 110 del pop (correo). También son necesarios por ejemplo el 443 para poder navegar por sitios seguros https://.

El resto de puertos que abramos serán según las aplicaciones, por ejemplo para le Messenger el 1863 en TCP además del mencionado 443 en TCP para el Net Passport inicial. (Transferencias de archivos a parte).

Indicar además, que no es necesario abrir ningún puerto en Firewall->Nat->Port Range Mapping, puesto que la configuración del Firewall predomina sobre esta.

Dejamos los ejemplos indicados como imprescindibles:

Puerto 53 UDP para DNS:

Puerto 443 para navegar por sitios seguros https:

Para poder enviar y recibir correo: 25 y 110 en TCP.

Con esta configuración, nos aseguramos que en nuestro PC, no se pueda entrar ni salir, pero además podemos configurar a nuestro gusto, con bastante detalle, lo que vamos a permitir tanto de entrada como de salida.

NOTA: para el eMule y algunas otras aplicaciones se debe construir una norma como las de siempre (Norma de Firewal+Apertura de Puerto), especificando también en Firewall->Nat->Port Range Mapping, y además abrir siguiendo las pautas anteriores puertos para conexión con los servidores preferidos, puesto que no conectan por el 4662 ya la mayoria.

Ejemplo, 4662 (o el puerto que tengamos especificado en el eMule) para compartir.

Apertura del puerto en Nat->Port Range Mapping:

Ahora el 4242 para conectar con los servidores:

Con esto termino, animando al que haya seguido el manual a comentarme si algo no ha visto claro, o si se me ha escapado algún detalle.