El kernel de Linux incluye un firewall muy potente, Iptables. Este programa está instalado en la mayoría de las
distribuciones. Con él se pueden crear reglas de filtrado de paquetes desde muy sencillas a extremadamente complejas. De esta manera, el administrador de un equipo Linux tiene una herramienta muy poderosa para aumentar la seguridad de su sistema.
Explicaremos de manera rápida la lógica de Iptables, y sus comandos básicos. Aunque hay que decir que configurar Iptables a mano es una tarea complicada, no es trivial. Además, a todos nos ha pasado, equivocarte en un comando en un cortafuegos puede llevar a que no puedas conectarte tu mismo a la máquina (ten siempre una acceso de seguridad para emergencias). Así que, más adelante, hablaremos sobre un programa que nos ayudará a configurar nuestro firewall.
Conceptos de Iptables.
Los paquetes puedes entrar (input), salir (output) o pasar (forward) por tu sistema. Las reglas se pueden hacer teniendo en cuenta:
- Protocolo del paquete (-p=protocol) . Por ejemplo Tcp, udp, icmp..
- Origen del paquete (-s=source). Puede ser una ip o un rango de ips.
- Interfaz de entrada (-i=input) o de salida (-o=output). Por ejemplo eth0, eth1,ppp0…
- Por el tipo de paquete (input, output o forward).
- Podemos decir que hag Nateo antes de enrutar (iptables -t nat -P PREROUTING ACCEPT) o después de enrutar (iptables -t nat -P POSTROUTING ACCEPT) o ambos.
Para ver las reglas que tenemos configuradas o activas en una tabla podemos hacer:
iptables -L
O si queremos algo organizado por servicio:
iptables -S
Con estos comando también podemos filtrar por tipo (Input, output, TCP), por ejemplo:
sudo iptables -S TCP
sudo iptables -L INPUT
- Para borrar todos los contadores podemos usar: iptables -Z (podemos especificar por tipo).
- Para borrar todas las reglas: iptables -F (podemos especificar por tipo). Cuidado que borra todo.
Pero como decimos, configurar Iptables a mano puede ser complejo. Así que existen varias soluciones para ayudarte con ello. Hay GUIs (interfaces gráficos) como Firestarter, o programas como FireHOL, del que hablamos hoy.
FireHOL es un lenguaje y un programa para ejecutarlo que, aunque no tiene asistente gráfico, nos ayuda mucho a configurar los Iptables. Consta de un fichero de configuración en /etc/firehol/firehol.conf desde el que se configura todo.
La sintaxis de FireHOL es sencilla y se basa en la idea típica de los cortafuegos “deniega todo y luego acepta sólo lo que quieres dejar pasar“.
El uso es sencillo, puedes poner reglas como server (entrante) o client (saliente). Y definir tus propios servicios como:
server_emule_ports="tcp/4662,64397,7037,23213,25286 udp/4672"
client_emule_ports="default"Y luego aceptarlos en el interfaz adecuado:
server emule accept
client emule accept
Una vez guardado el fichero no se activan las reglas hasta que hagas:
/etc/init.d/firehol restart
PERO recomiendo (y esto es una GRAN ventaja) probar primero la configuración antes de grabarla con
firehol try
Esto activa las nuevas reglas durante 30 segundos hasta que escribas la palabra commit. Si no lo haces (porque algo haya fallado) restaura el cortafuegos anterior (permitiéndote cambiar la configuración.
Puedes ver más información aquí:
- https://firehol.org/guides/firehol-welcome/
- https://firehol.org/documentation/#firehol
- http://firehol.org/tutorial/
Os recomendamos los siguientes productos relacionados con la informática:
Tarjeta Micro SD 512GB Gran Capacidad Tarjeta SD Card Super Velocidad Memoria SD Mini Portátil Memory Card 512GB Almacenamiento Externo Micro SD Compatible con Smartphone, Portátiles, Cámara, Dash CAM
19,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
UGREEN USB Bluetooth 5.0 Adaptador Bluetooth diseñado para PC Portátil Windows 11 10 8.1 7, A2DP Dongle Bluetooth para Conectar a Mando Bluetooth Auricular Teclado Ratón Altavoz Móvil
9,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
JUMPER Tablet 10 Pulgadas, Android 12, 6 GB RAM 128 GB ROM (1 TB TF), Octa-Core, 2,4 G/5 G WiFi/1920 x 1200 IPS/6000mAh/cámaras 13MP+8MP/BT5.0/GPS/OTG/Google GMS 2023
129,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
YUETUOL Adaptador a USB Ethernet, USB 3.0 RJ45 Gigabit 1000Mbps Ethernet LAN Adaptador de Red Compatible con Laptop, MacBook, Surface Book, PC mit Windows 11/10/8/7, XP, Vista, Linux
9,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Cunsieun - Reproductor de CD/DVD externo USB 3.0 y tipo C portátil CD Rom /-RW reproductor grabador portátil CD para PC, Laptop, Desktops, Windows7/8/10/11/XP/Vista/Linux y Mac OS Apple/iMac/Macbook
15,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
RAMPOW Cable USB C, [USB 3.0 y QC3.0] Cable USB C Carga Rapida 3A, Cable USB Tipo C Nylon Duradero Compatible con Samsung Galaxy S22/S21/S20/S10, iPhone 15/15 Pro, Huawei, Xiaomi - Gris Espacial/1M
5,59 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Apple 2022 iPad de 10,9 Pulgadas (Wi-Fi, 64 GB) - Azul (10.ª generación)
422,99 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
SanDisk 1TB Extreme SSD portátil, USB-C USB 3.2 Gen 2 Memoria de estado sólido NVMe externa hasta 1050 MB/s Clasificación IP65 de resistencia al agua y al polvo
103,98 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Logitech MX Master 3S - Ratón Inalámbrico Performance con Desplazamiento Rápido, Ergo, 8K DPI, Funciona sobre Cristal, Clics Silenciosos, USB-C, Bluetooth, Windows, Linux, Chrome - Grafito
91,00 € (a partir de 19 abril, 2024 09:28 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Muy interesante, muchas gracias.
No conocía FireHOL y ahora voy a estar estudiando un poco la documentación para poder usar iptables de forma más amigable.