Ya vimos hace algunos meses como hacer la Administración del firewall con ufw, ahora vamos a dar un repaso a su interfaz gráfica gufw, que nos pondrá las cosas aun más fáciles a la hora de asegurar nuestra red.Entre las principales ventajas de este gestor de firewall encontramos:
- Interfaz sencilla e intuitiva
- Soporte de servicios y aplicaciones preconfigurados
- Escrito en python (bajo consumo de recursos)
- Instalación
$ sudo apt-get install gufwPara sistemas anteriores y otras distribuciones podeis bajar el paquete gufw_0.20.7-all.deb directamente desde su web.
- Iniciar el firewall
$ gksu gufw
Sistema - Administración - Configuración cortafuegosPor defecto estará desactivado, para ponerlo en marcha es tan sencillo como pulsar sobre el checkbox Cortafuegos habilitado. El firewall ya estará en marcha (se mantendrá activo cada vez que reinicies) y podremos empezar a añadirle reglas para asegurar nuestras conexiones.
- Administración de reglas
Personalmente os recomiendo la segunda opción por ser mucho más segura y las reglas más intuitivas de crear. Para hacerlo seleccionaremos Denegar tráfico entrante en el selectbox de la primera pestaña (esta es la selección por defecto)
Política restrictiva por defectoHay tres maneras principales de añadir reglas, vamos a verlas desde la más sencilla a la más compleja.
Preconfigurado: permitir el acceso a ciertos servicios y/o aplicaciones simplemente eligiendolos de la lista. Como ejemplo vamos a permitir las conexiones necesarios para un típico programa de descarga de torrents (deluge). Sólo hay que ir eligiendo las opciones necesarias en los desplegables y gufw creará por sí solo las reglas necesarias, en este caso sería Permitir - Programa - deluge - Añadir, quizá con una imagen quede más claro:
Definición de reglas preconfiguradas
Definición simple de reglas
Preconfigurado: permitir el acceso a ciertos servicios y/o aplicaciones simplemente eligiendolos de la lista. Como ejemplo vamos a permitir las conexiones necesarios para un típico programa de descarga de torrents (deluge). Sólo hay que ir eligiendo las opciones necesarias en los desplegables y gufw creará por sí solo las reglas necesarias, en este caso sería Permitir - Programa - deluge - Añadir, quizá con una imagen quede más claro:
Definición de reglas preconfiguradasEn este caso quedarán abiertos los puertos 6881 al 6891 por protocolo TCP que son los que usa por defecto el cliente deluge (asegurate en las preferencias de tu cliente de torrent que son esos los puertos que usará).
Simple: configurar una regla de firewall dando unos pocos datos, en este caso abriremos el puerto 4662 en protocolo TCP/UDP para conseguir ID alta en el cliente amule. De nuevo se trata de ir seleccionando en desplegables y cuadros de texto, más o menos así: Permitir - 4662 - ambos - Añadir
Simple: configurar una regla de firewall dando unos pocos datos, en este caso abriremos el puerto 4662 en protocolo TCP/UDP para conseguir ID alta en el cliente amule. De nuevo se trata de ir seleccionando en desplegables y cuadros de texto, más o menos así: Permitir - 4662 - ambos - Añadir
Definición simple de reglasPodemos ver que ha creado una regla que permite el tráfico entrante al puerto 4662 para cualquier protocolo y cualquier origen (ya solo falta que en la configuración de amule te asegures de que está usando esos puertos)
Avanzado: de esta manera podemos definir reglas más ajustadas a nuestras necesidades, especificando, protocolo, IP de origen, IP de destino y rango de puertos. De esta manera vamos a definir una hipotética regla que permita la conexión por ssh (puerto 22) desde un único ordenador remoto a nuestra red por protocolo TCP.
Esto nos permitirá activar la administración remota sin el riesgo de que alguien no autorizado se nos cuele por este servicio. De nuevo la manera de introducir la regla es bastante sencilla, se trata de seguir una secuencia como esta: Permitir - TCP - Desde: 206.98.11.234 - A: Any - 22 - 22
Definición avanzada de reglas
Avanzado: de esta manera podemos definir reglas más ajustadas a nuestras necesidades, especificando, protocolo, IP de origen, IP de destino y rango de puertos. De esta manera vamos a definir una hipotética regla que permita la conexión por ssh (puerto 22) desde un único ordenador remoto a nuestra red por protocolo TCP.
Esto nos permitirá activar la administración remota sin el riesgo de que alguien no autorizado se nos cuele por este servicio. De nuevo la manera de introducir la regla es bastante sencilla, se trata de seguir una secuencia como esta: Permitir - TCP - Desde: 206.98.11.234 - A: Any - 22 - 22
Definición avanzada de reglasLa regla creada permite el acceso solamente a la IP 206.98.11.234 (dirección que me he inventado) a cualquier ordenador de nuestra red por el puerto 22 (servicio de administración remota ssh) protocolo TCP.
- Preferencias
Preferencias de gufwActivar los registros siempre es una buena idea, las opciones de autoarranque no son necesarias pues el firewall se seguirá usando aunque no arranques gufw, así que una vez lo tengas totalmente configurado lo mejor es desactivar esas opciones.
- Artículos relacionados
Administración del firewall con firestarter
- Más información
12 comentarios :
No hay falta establecer el rango de puertos (sólo con el desde es suficiente), si es del puerto 22 al 22 ;)
Un saludo y gracias por el artículo tan claro.
Tienes razón en lo del rango de puertos, pero pensé que así quedaría más claro.
Un saludo y gracias por dejar tu comentario.
Muy bueno, gracias por el artículo.
Muchas gracias.
Yo soy totalmente novato y no sé qué opción elegir. En Windows uso NOD32 y solo le doy a Permitir cada vez que uso un programa nuevo que quiere conectarse a internet.
Si pudieras explicar qué hacer para novatos te lo agradecería mucho.
@Anónimo: no necesitas ni firewall ni antivirus, Ubuntu es suficientemente seguro de serie. Este artículo va dirigido a gente q necesita un nivel extra de seguridad.
Hola: Muy bueno el tutorial, pero tengo una duda, lo tengo instalado y se inicia cuando arranco el sistema, lo tengo habilitado para Denegar tráfico entrante sin reglas y a pesar de ello, cuando llamo a cualquier programa (gftp, firefox) tengo acceso a internet y/o enviar o recibir archivos. Por qué? si mi opción es denegar la entrada y de ahí ir colocando las reglas.
Gracias, saludos
Antes de nada felicitarte por este tutorial, pero tengo una duda que si es posible me gustaria que me ayudaras. Utilizo amsn y en las preferencias de conexion en el apartado transferencia de archivos me aparece en rojo "Te encuentras detras de un cortafuegos o de un enrutador". Verifico el puerto y no me permite ni la trasferenci ni el envio o recepcion de camara web. Mi pregunta es ¿Como debo configurar el cortafuegos para solucionar este problema? Si es posible enviame un correo a john.mclane.jm@gmail.com
Gracias y perdona las molestias
@john Mclane: configura amsn para q use un rango de puertos concreto, luego establece una regla para permitir el trafico TCP/UDP en ese rango
hola gracias por tu articulo, he hecho un server tftp y un ftp pero colo puedo acceder a ellos desde cualquier pc en la misma vlan, pense que era el firewall pero segun esto este viene desactivado, como puedo hacer para corregir este proble, poder accesar a mis servidores desde cualquier otra vlan. mil gracias.
@Anónimo, recuerda que para ofrecer servicios al exterior el router debe tener los puertos necesarios abiertos y redireccionados a la IP interna del PC que hace de servidor.
Hola tengo una duda y me vendría bien un poco de ayuda. Quiero configurar gufw para denegar todo tráfico entrante y saliente (hasta ahí lo hago sin problemas), pero luego quiero crear reglas que solo permitan el acceso a internet a firefox, jdownloader, filezilla, thunderbird y gestor de actualizaciones. Pero no sé como hacerlo ni qué puertos usan ni nada.
@Anónimo esos programas usan varios rangos de puertos para funcionar, no creo que sea buena idea cerrar todo el tráfico saliente, puedes usar el programa iptraf para ver los puertos usados por los paquetes salientes.
Yo denegaría el tráfico entrante (si realmente lo necesitas) pero el saliente no.
Publicar un comentario