IP Filter no se distribuye oficialmente en formato binario (en forma de
paquete), por lo que el código ha de ser compilado antes de ser utilizado;
de cualquier forma, su instalación en un sistema Unix suele ser muy sencilla:
por ejemplo, en el caso de Solaris, la única precaución a tener en cuenta es
que GNU CC (gcc) no puede compilar IP Filter en modo 64 bits, por lo que será necesario utilizar el compilador de Sun Microsystems o,
en su defecto, EGCS. En cualquier caso, los pasos a seguir una vez
descargado el
archivo .tar.gz17.2 son los siguientes:
anita:/var/tmp# gzip -dc ip-fil3.4.17.tar.gz |tar xf -
anita:/var/tmp# cd ip_fil3.4.17
anita:/var/tmp/ip_fil3.4.17# /usr/xpg4/bin/make solaris
anita:/var/tmp/ip_fil3.4.17# cd SunOS5
anita:/var/tmp/ip_fil3.4.17/SunOS5# /usr/xpg4/bin/make package
La última de estas órdenes creará y añadirá automáticamente un
paquete con el cortafuegos en nuestro sistema. Podemos comprobar que está
correctamente instalado con la orden pkginfo:
anita:/var/tmp# pkginfo -l ipf
PKGINST: ipf
NAME: IP Filter
CATEGORY: system
ARCH: i386
VERSION: 3.4.17
VENDOR: Darren Reed
DESC: This package contains tools for building a firewall
INSTDATE: Apr 06 2001 19:10
EMAIL: darrenr@pobox.com
STATUS: completely installed
FILES: 80 installed pathnames
12 shared pathnames
1 linked files
24 directories
11 executables
21441 blocks used (approx)
anita:/var/tmp#
Tras instalar el paquete, definiremos las reglas de filtrado y NAT en
los archivos correspondientes (tal y como veremos a continuación), y una
vez hecho esto ya podremos inicializar nuestro firewall con la orden
/etc/init.d/ipfboot start, que podemos incluir en el arranque de nuestra
máquina de la forma habitual.
Si le pegamos un vistazo a este shellscript de inicialización del
cortafuegos, generado al instalar el paquete ipf (en Solaris, /etc/init.d/ipfboot) podemos observar que en sus primeras líneas se
definen los ficheros en los que se guardarán las reglas a instalar, tanto
para filtrado como para traducción de direcciones. Se trata de simples
archivos ASCII ubicados por defecto en el directorio /etc/opt/ipf/ que
podemos modificar con
nuestro editor preferido, aunque también podemos utilizar cómodos interfaces
gráficos como fwbuilder (que ya hemos comentado al hablar de iptables e ipchains), capaces de generar reglas también para IP
Filter.
© 2002 Antonio Villalón Huerta