µLibertad

20/08/2007

Arno’s iptables firewall, configura fácilmente un Firewall basado en iptables

Filed under: Aplicaciones,Internet,Linux,Seguridad,Tutoriales — Tony @ 9:00 pm

Quizá una de las cosas más complicadas en Linux es conseguir un buen conjunto de reglas para iptables, el firewall de Linux que viene integrado en los kernels 2.4 y superiores. Existen aplicaciones gráficas que ayudan a realizar esta tarea, como Firestarter para Gnome o KMyFirewall para KDE. Sin embargo, nunca me ha convencido tener que utilizar una aplicación gráfica de más para una cosa que se puede tener funcionando con un buen script aplicado en iptables.

Es así que buscando he encontrado un programa muy interesante con el que podremos configurar un buen firewall basado en iptables, con el que no necesitaremos una aplicación extra funcionando. Ahorraremos trabajo a nuestro procesador y lo que es más importante, nos facilitará mucho la tarea a la hora de conseguir un buen script para iptables.

El programa en cuestión se llama Arno’s iptables firewall. Y sirve como generador de reglas para configurar iptables. Desde el propio terminal nos preguntará por nuestro tipo de conexión, los puertos que queremos abrir, etc. Con ello nos creará un script que se encargará de pasarle dichas reglas a iptables. Así tendremos un potente firewall integrado en nuestro kernel y que no nos consumirá apenas recursos. Pero vamos a explicar un poco paso a paso como instalarlo y configurarlo.

Lo primero que tenemos que hacer es instalarlo:

apt-get install arno-iptables-firewall

Tras la instalación aparecerá la siguiente ventana preguntando si queremos configurar el paquete usando debconf, a lo que contestamos con un si:

Lo siguiente será indicar qué interfaz usamos para conectarnos a internet, en mi caso es eth2:

Ahora nos preguntará si nuestra conexión se configura mediante DHCP, en mi caso respondo si:

Después le indicaremos los puertos TCP que queremos tener abiertos. Yo suelo abrir un rango puertos para así configurar todos mis programas p2p o cualquiera que use un puerto conocido, para no tener los puertos comunes abiertos y expuestos a algún ataque. Los puertos de servicios comunes, como la conexión por http (puerto 80), ya están configurados por el paquete recién instalado y no es necesario indicarlos. Para definir un rango de puertos separamos los números por dos puntos, por ejemplo 6100:6103:

Lo siguiente será indicarle los puertos UDP que queremos abrir, nuevamente esto va a gusto del consumidor:

Lo siguiente que se nos pregunta es si queremos permitir que nuestro equipo responda a las solicitudes Ping desde otros equipos. Por seguridad prefiero contestar con un no, así estaremos algo más seguros si intentan detectar nuestro equipo lanzándonos un Ping:

Por último ya solo queda contestar si queremos que el firewall se inicie ahora:

Si contestamos con un no, podemos iniciar el firewall en cualquier momento con el siguiente comando:

/etc/init.d/arno-iptables-firewall start (si queremos pararlo en algún momento cambiamos start por stop)

Tras estos sencillos pasos ya tendremos nuestro firewall configurado a medida. Para ilustrar la diferencia entre tener generado un script para iptables o no tenerlo, vemos aquí un test de puertos realizado con el firewall parado (izquierda) y otro con el firewall activado (derecha):

Qué quiere decir esto? A la izquierda vemos como casi todos los puertos nos salen cerrados (azul), dos abiertos (rojo) y unos pocos invisibles (verde). En cambio con el script recién creado todos los puertos son invisibles, lo que hará que nuestro equipo no pueda ser detectado fácilmente.

Si en algún momento quisieramos cambiar la configuración del firewall lo podremos hacer volviendo a mostrar el asistente con:

dpkg-reconfigure arno-iptables-firewall

15 comentarios »

  1. Muchas gracias vieja! es facilisimo y tampoco quería usar firestarter.

    Comentario por ekeko — 17/10/2007 @ 12:33 am | Responder

  2. hola, tengo un problema cuando configuro para abrir los puertos ya no me deja conectarme por ssh al equipo, y he especificado el puerto 22.

    Comentario por bender — 20/10/2007 @ 4:51 pm | Responder

  3. Haría falta algo más de información… qué error te da al tratar de conectar? Te conectabas por ssh antes de instalar el Firewall sin problemas? Has probado otro puerto?

    Comentario por Tony — 21/10/2007 @ 10:53 am | Responder

  4. Muy bueno!!! refacil y no uso el firestarter. Gracias!

    Comentario por Mr — 4/12/2007 @ 5:06 am | Responder

  5. bueno quisiera saber como abrir por ejemplo el puerto 2000 y el 7000 pero no desde 2000 a 7000 no se si se me entiende ???

    osea si escribo 2000:7000 se abren desde el 2000 al 7000 que es lo que yo no quiero por lo demás me parece fabuloso este firewall

    Comentario por mon — 3/03/2008 @ 11:17 pm | Responder

  6. Para eso sólo tienes que separarlos por un espacio en lugar de por dos puntos. Tienes que poner 2000 7000, sólo con un espacio en medio.

    Comentario por Tony — 4/03/2008 @ 1:40 pm | Responder

  7. Buenos a todos,

    Lo he instalado y tengo una duda, a ver si alguien me la puede resolver please…
    Quiero mapear un puerto a orto puerto y a una IP, me explico…
    La máquina que hace de firewall tiene dos tarjetas de red etho es la externa y eth1 la interna, necesito que lo que entre buscando el puerto 7777 la redirija la ip 192.168.1.111 en el puerto 1024.

    ¿como podría hacerlo con el Arnos?

    Saludos

    Comentario por Alillo — 3/09/2008 @ 3:11 am | Responder

  8. […] […]

    Pingback por Qu aplicaciones instalis las primeras? - Foros Softonic — 18/04/2009 @ 2:37 pm | Responder

  9. Disculpa con que herramienta se realizó el escaneo de puertos?

    Comentario por Jorge Guerron — 22/06/2009 @ 10:29 pm | Responder

  10. EL mejorcito es el NMAP;
    ejemplo si quieres saber si tu puerto 80 esta abierto
    nmap -p80 -O (aca va tu ip)

    saludos codiales

    Comentario por sariri — 30/06/2009 @ 7:34 am | Responder

  11. EL mejorcito es el NMAP;
    ejemplo si quieres saber si tu puerto 80 esta abierto
    nmap -p80 -O (aca va tu ip)

    saludos cordiales

    Comentario por sariri — 30/06/2009 @ 7:35 am | Responder

  12. por favor podrían pasarme la configuración para centos, gracias de antemano

    Comentario por Milciades Recalde — 30/06/2010 @ 10:04 pm | Responder

  13. Hola esto esta muy bueno mejor que el firestarter
    saludos

    Comentario por vale — 4/11/2010 @ 7:09 pm | Responder

  14. Thanks for the marvelous posting! I genuinely enjoyed reading it,
    you could be a great author.I will remember to bookmark your blog and will eventually
    come back later in life. I want to encourage you continue
    your great writing, have a nice afternoon!

    Comentario por Ekavira Verma — 15/12/2012 @ 8:23 pm | Responder

  15. rovine mayan 2012 prediction wrong

    Arno’s iptables firewall, configura fácilmente un Firewall basado en iptables | µLibertad

    Trackback por rovine mayan 2012 prediction wrong — 9/05/2016 @ 7:13 am | Responder


RSS feed for comments on this post. TrackBack URI

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Crea un blog o un sitio web gratuitos con WordPress.com.

A %d blogueros les gusta esto: