Quizá una de las cosas más complicadas en Linux es conseguir un buen conjunto de reglas para iptables, el firewall de Linux que viene integrado en los kernels 2.4 y superiores. Existen aplicaciones gráficas que ayudan a realizar esta tarea, como Firestarter para Gnome o KMyFirewall para KDE. Sin embargo, nunca me ha convencido tener que utilizar una aplicación gráfica de más para una cosa que se puede tener funcionando con un buen script aplicado en iptables.
Es asà que buscando he encontrado un programa muy interesante con el que podremos configurar un buen firewall basado en iptables, con el que no necesitaremos una aplicación extra funcionando. Ahorraremos trabajo a nuestro procesador y lo que es más importante, nos facilitará mucho la tarea a la hora de conseguir un buen script para iptables.
El programa en cuestión se llama Arno’s iptables firewall. Y sirve como generador de reglas para configurar iptables. Desde el propio terminal nos preguntará por nuestro tipo de conexión, los puertos que queremos abrir, etc. Con ello nos creará un script que se encargará de pasarle dichas reglas a iptables. Asà tendremos un potente firewall integrado en nuestro kernel y que no nos consumirá apenas recursos. Pero vamos a explicar un poco paso a paso como instalarlo y configurarlo.
Lo primero que tenemos que hacer es instalarlo:
apt-get install arno-iptables-firewall
Tras la instalación aparecerá la siguiente ventana preguntando si queremos configurar el paquete usando debconf, a lo que contestamos con un si:
Lo siguiente será indicar qué interfaz usamos para conectarnos a internet, en mi caso es eth2:
Ahora nos preguntará si nuestra conexión se configura mediante DHCP, en mi caso respondo si:
Después le indicaremos los puertos TCP que queremos tener abiertos. Yo suelo abrir un rango puertos para asà configurar todos mis programas p2p o cualquiera que use un puerto conocido, para no tener los puertos comunes abiertos y expuestos a algún ataque. Los puertos de servicios comunes, como la conexión por http (puerto 80), ya están configurados por el paquete recién instalado y no es necesario indicarlos. Para definir un rango de puertos separamos los números por dos puntos, por ejemplo 6100:6103:
Lo siguiente será indicarle los puertos UDP que queremos abrir, nuevamente esto va a gusto del consumidor:
Lo siguiente que se nos pregunta es si queremos permitir que nuestro equipo responda a las solicitudes Ping desde otros equipos. Por seguridad prefiero contestar con un no, asà estaremos algo más seguros si intentan detectar nuestro equipo lanzándonos un Ping:
Por último ya solo queda contestar si queremos que el firewall se inicie ahora:
Si contestamos con un no, podemos iniciar el firewall en cualquier momento con el siguiente comando:
/etc/init.d/arno-iptables-firewall start (si queremos pararlo en algún momento cambiamos start por stop)
Tras estos sencillos pasos ya tendremos nuestro firewall configurado a medida. Para ilustrar la diferencia entre tener generado un script para iptables o no tenerlo, vemos aquà un test de puertos realizado con el firewall parado (izquierda) y otro con el firewall activado (derecha):
Qué quiere decir esto? A la izquierda vemos como casi todos los puertos nos salen cerrados (azul), dos abiertos (rojo) y unos pocos invisibles (verde). En cambio con el script recién creado todos los puertos son invisibles, lo que hará que nuestro equipo no pueda ser detectado fácilmente.
Si en algún momento quisieramos cambiar la configuración del firewall lo podremos hacer volviendo a mostrar el asistente con:
dpkg-reconfigure arno-iptables-firewall
Muchas gracias vieja! es facilisimo y tampoco querÃa usar firestarter.
Comentarios por ekeko — 17/10/2007 @ 12:33 am |
hola, tengo un problema cuando configuro para abrir los puertos ya no me deja conectarme por ssh al equipo, y he especificado el puerto 22.
Comentarios por bender — 20/10/2007 @ 4:51 pm |
HarÃa falta algo más de información… qué error te da al tratar de conectar? Te conectabas por ssh antes de instalar el Firewall sin problemas? Has probado otro puerto?
Comentarios por Tony — 21/10/2007 @ 10:53 am |
Muy bueno!!! refacil y no uso el firestarter. Gracias!
Comentarios por Mr — 4/12/2007 @ 5:06 am |
bueno quisiera saber como abrir por ejemplo el puerto 2000 y el 7000 pero no desde 2000 a 7000 no se si se me entiende ???
osea si escribo 2000:7000 se abren desde el 2000 al 7000 que es lo que yo no quiero por lo demás me parece fabuloso este firewall
Comentarios por mon — 3/03/2008 @ 11:17 pm |
Para eso sólo tienes que separarlos por un espacio en lugar de por dos puntos. Tienes que poner 2000 7000, sólo con un espacio en medio.
Comentarios por Tony — 4/03/2008 @ 1:40 pm |
Buenos a todos,
Lo he instalado y tengo una duda, a ver si alguien me la puede resolver please…
Quiero mapear un puerto a orto puerto y a una IP, me explico…
La máquina que hace de firewall tiene dos tarjetas de red etho es la externa y eth1 la interna, necesito que lo que entre buscando el puerto 7777 la redirija la ip 192.168.1.111 en el puerto 1024.
¿como podrÃa hacerlo con el Arnos?
Saludos
Comentarios por Alillo — 3/09/2008 @ 3:11 am |
[…] […]
Pingback por ¿Qué aplicaciones instaláis las primeras? - Foros Softonic — 18/04/2009 @ 2:37 pm |
Disculpa con que herramienta se realizó el escaneo de puertos?
Comentarios por Jorge Guerron — 22/06/2009 @ 10:29 pm |
EL mejorcito es el NMAP;
ejemplo si quieres saber si tu puerto 80 esta abierto
nmap -p80 -O (aca va tu ip)
saludos codiales
Comentarios por sariri — 30/06/2009 @ 7:34 am |
EL mejorcito es el NMAP;
ejemplo si quieres saber si tu puerto 80 esta abierto
nmap -p80 -O (aca va tu ip)
saludos cordiales
Comentarios por sariri — 30/06/2009 @ 7:35 am |
por favor podrÃan pasarme la configuración para centos, gracias de antemano
Comentarios por Milciades Recalde — 30/06/2010 @ 10:04 pm |
Hola esto esta muy bueno mejor que el firestarter
saludos
Comentarios por vale — 4/11/2010 @ 7:09 pm |
Thanks for the marvelous posting! I genuinely enjoyed reading it,
you could be a great author.I will remember to bookmark your blog and will eventually
come back later in life. I want to encourage you continue
your great writing, have a nice afternoon!
Comentarios por Ekavira Verma — 15/12/2012 @ 8:23 pm |
rovine mayan 2012 prediction wrong
Arno’s iptables firewall, configura fácilmente un Firewall basado en iptables | µLibertad
Trackback por rovine mayan 2012 prediction wrong — 9/05/2016 @ 7:13 am |