En esta guía verás como configurar un potente firewall en Linux a partir de Iptables. Para hacerlo, utilizaremos un script denominado Arno’s Iptables firewall, el cual te facilitará enormemente la tarea de configurar Iptables, aplicando de forma automática una serie de reglas restrictivas por defecto, a la vez que te posibilitará las tareas de abrir puertos manualmente cuando lo necesites.
Seguramente ya sabrás que Linux ya incluye en su base un potente firewall denominado Iptables. Hasta aquí, todas, o casi todas las distribuciones GNU/Linux parten de la misma base. A partir de aquí, para que el firewall funcione necesitamos aplicarle reglas, y en muchas distribuciones viene sin configurar y deshabilitado por defecto, dejando al usuario la tarea de aplicar las reglas que mas le convengan.
Distribuciones como Ubuntu y Debian, por ejemplo, no vienen con el firewall habilitado por defecto. Eso no significa que tengas que aplicar reglas manualmente en Iptables, ya que en Ubuntu, y en Debian también, dispones de una aplicación llamada Ufw que te permite una gestión muy simplificada de Iptables. Otra alternativa, sin embargo, es valerse del script Arno’s Iptables firewall.
Instala Arno Iptables firewall
Arno’s Iptables firewall está disponible en los repositorios oficiales de muchas distribuciones GNU/Linux, tal como es el caso de Debian, Ubuntu, y en general muchas de las distribuciones derivadas de Debian. Si este es el caso, la mejor forma de instalar el script es mediante la Terminal. Para ello, tan solo tienes que hacer uso de apt-get o aptitude.
Para instalar Arno’s Iptables firewall desde Ubuntu:
$ sudo apt-get install arno-iptables-firewall
Para instalar Arno’s Iptables firewall en Debian:
$ su
# aptitude install arno-iptables-firewall
Configurando Arno Iptables firewall
Una vez instalados los paquetes correspondientes, en el mismo proceso de instalación el script te pedirá seleccionar los parámetros básicos de configuración. Realmente, los primeros pasos para tener el firewall bien configurado y habilitado por defecto son muy sencillos y rápidos, y tan solo tendremos que tener en cuenta si necesitamos permitir el acceso a ciertos puertos desde el exterior. A continuación tienes los pasos:
El primer paso es indicar que queremos manejar la configuración inicial con la utilidad debconf. Esta es la opción más recomendable en todas las distribuciones Debian based.
Seguidamente deberás especificar la interfaz externa de red. Si tu conexión es por cable ethernet, lo mas probable es que la interfaz sea eth0, mientras que si tu conexión es por WiFi, seguramente será wlan0. Si dudas, puedes ir al menú de conexiones de red, y a Información de la conexión encontrarás el dato de la interfaz de red.
El siguiente paso es especificar los puertos TCP que desees abrir. Aquí la configuración por defecto es denegar todo el trafico entrante proveniente de las interfaces externas, es decir, de Internet. Si tu PC no presta ningún servicio al exterior, lo más recomendable es dejar esto en blanco y mantener la política por defecto.
Aquí deberás especificar los puertos UDP que quieres abrir. Como en el caso anterior, si no prestas ningún servicio al exterior lo más seguro es denegar todo el tráfico entrante que provenga de Internet.
Si tienes una red interna con varios PC, y compartes información entre ellos, en este punto deberás indicar la interfaz interna de red para permitir la comunicación entre ordenadores. Nuevamente, si no necesitas compartir archivos con otros PC de tu red, lo más seguro es dejar esto en blanco y denegar, también, todo el tráfico entrante proveniente de tu red interna.
A continuación, se te pedirá un par de veces de reiniciar el script para que los cambios tengan efecto, y con esto ya tendrás el firewall habilitado en el inicio del sistema, y, a menos que hayas especificado lo contrario, con la política de denegar todas las conexiones entrantes a tu PC o dispositivo.
Comandos básicos
Una vez configurado Arno’s Iptables, no está de más conocer los cuatro comandos básicos para operar con el script y permitir realizar tareas tan básicas como habilitar o deshabilitar el firewall, o reconfigurar el script. A continuación tienes los comandos más importantes que necesitas conocer. Ten en cuenta que necesitaras permisos de superusuario para poder operar con el script.
Para deshabilitar el firewall, cosa nada recomandable a menos que sea puntualmente, puedes usar el comando que se muestra debajo:
# /etc/init.d/arno-iptables-firewall stop
Para habilitar el firewall, puedes valerte del siguiente comando:
# /etc/init.d/arno-iptables-firewall start
Para comprobar el estado del firewall, puedes mostrar el comando que se muestra a continuación. En este caso, si el cortafuegos está habilitado, el script te mostrará una lista casi interminable de reglas que son justamente las reglas que se están aplicando a Iptables.
# /etc/init.d/arno-iptables-firewall status
Si quieres reconfigurar el script de nuevo, ya sea para cambiar la interfaz de red, o para abrir un puerto concreto, puedes valerte del comando de abajo. Con esta opción, también tendrás la posibilidad de escoger si deseas aceptar o bloquear los intentos de PING desde el exterior-.
# dpkg-reconfigure arno-iptables-firewall
Con estos simples pasos, ya tendrás configurado y habilitado Iptables en el inicio del sistema, con una política por defecto de denegar todo el trafico entrante que provenga de la red externa y, a menos que hayamos especificado lo contrario, también el que provenga de la red interna. Como añadido, también tendrás la posibilidad de bloquear los intentos de PING hacía tu PC.
Y eso es todo. En cuanto a ti, ¿has usado o usas Arno Ipables para configurar tu firewall en Linux?
++2013.jpg)
0 comentarios:
Publicar un comentario