El manejo de las reglas para nuestro firewall en estas distribuciones es por medio de iptables, existe la herramienta ufw que permite crear regla iptables muy fáciles.
Primero tendremos que instalar la herramienta.
apt-get install ufw
Primero veremos que servicio tenemos en escucha.
root@server1:~# netstat -tanp | grep LISTEN
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 4869/dovecot
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 4698/mysqld
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 4869/dovecot
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 4945/apache2
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 4850/vsftpd
tcp 0 0 192.168.1.243:53 0.0.0.0:* LISTEN 4578/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 4578/named
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 4833/master
tcp 0 0 0.0.0.0:4025 0.0.0.0:* LISTEN 4768/partimaged
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 4578/named
Como podemos ver tenemos algunos servicios que están en escucha y en espera de peticiones.
****Permitir/bloquear el acceso.****
Esta opción configura que nuestro firewall aceptara conexiones de todo tipo es muy inseguro teniendo esta opción activada.
root@server1:~# ufw default allow
Cuando se crea un firewall se recomienda primero bloquear todos los puerto y conexiones para después abrir solamente los que se requieren.
root@server1:~# ufw default deny
**** Iniciar/detener ufw. ****
Para poder iniciar nuestro firewall solamente que ejecutar:
root@server1:~# ufw enable
Para detener nuestro firewall:
root@server1:~# ufw disable
**** Activando/desactivando logs. ****
Para poder activar el log de nuestro firewall ejecutamos:
root@server1:~# ufw logging on
Logging enabled
Para poder desactivarlo:
root@server1:~# ufw logging off
Logging disabled
El log de nuestro firewall es guardado dentro del archivo /var/log/messages. Pero para poder ver los últimos sucesos del mismo ejecutamos
root@server1:~# tail -f /var/log/messages
Mar 9 12:06:07 server1 kernel: [11316.481777] [UFW BLOCK INPUT]: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:e0:4d:0b:8d:41:08:00 SRC=192.168.1.213 DST=192.168.1.255 LEN=195 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=175
Mar 9 12:06:08 server1 kernel: [11317.479863] [UFW BLOCK INPUT]: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:e0:4d:0b:8d:41:08:00 SRC=192.168.1.213 DST=192.168.1.255 LEN=193 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=631 DPT=631 LEN=173
**** Reglas ufw.****
Comenzaremos con la administración de las reglas, todas las reglas estemos activando o bloqueando serán guardadas entro del archivo de configuración /var/lib/ufw/user.rules.
Habilitando puertos.
Tenemos el siguiente ejemplo, el servicio el openssh esta siendo ocupado en nuestro servidor y esta en escucha de peticiones por el puerto 59345 y deseamos permitir las conexiones, entonces crearemos la regla de la siguiente manera.
root@server1:~# ufw allow 59345 /tcp
Rule added
Pero tenemos otro ejemplo queremos activar el servicio apache.
root@server1:~# ufw allow http
Rule added
en esta regla esta permitiendo la conexión al servidor FTP desde el segmento de red 192.168.1.0.:
root@server1:~# ufw allow from 192.168.1.0/24 proto tcp to any port ftp
Rule added
**** Desactivando puertos. ****
Para poder bloquear puertos en nuestro firewall seria de la siguiente manera.
root@server1:~# ufw deny 4025 /tcp
Rule added
Otros ejemplos:
root@server1:~# ufw deny 139
root@server1:~# ufw deny 445
**** Eliminando reglas. ****
Cuando tenemos alguna regla que nos permite conectarnos aun servicio del cual ya no se esta ocupando seria mejor eliminarla para que nuestra seguridad, por ejemplo:
root@server1:~# ufw delete allow http
Rule deleted
**** Status ufw. ****
Para poder ver el estado del firewall ejecutamos:
root@server1:~# ufw status
Firewall loaded
To Action From
-- ------ ----
59345:tcp ALLOW Anywhere
21:tcp ALLOW 192.168.1.0/24
4025:tcp DENY Anywhere
139:tcp DENY Anywhere
139:udp DENY Anywhere
445:tcp DENY Anywhere
445:udp DENY Anywhere
Como podemos ver son nuestra reglas que hemos creado.
Inicio automático ufw.
Para que nuestro firewall inicie cada vez que se apaga la maquina, deberemos modificar dentro del archivo de configuración de nuestro firewall.
root@server1:~# vim /etc/ufw/ufw.conf
Dentro de este archivo solamente hay el parámetro ENABLED tienes que estar en yes para que inicie automáticamente si no esta así tienen que modificarlo.
# /etc/ufw/ufw.conf
#
# set to yes to start on boot
ENABLED=yes
Y con todo esto ya quedo configurado nuestro firewall.
Fuente: LinuxParatodos.net
- Visto: 1435
