13 abr. 2009

Administración del firewall con gufw

Ya vimos hace algunos meses como hacer la Administración del firewall con ufw, ahora vamos a dar un repaso a su interfaz gráfica gufw, que nos pondrá las cosas aun más fáciles a la hora de asegurar nuestra red.

Entre las principales ventajas de este gestor de firewall encontramos:
  1. Interfaz sencilla e intuitiva
  2. Soporte de servicios y aplicaciones preconfigurados
  3. Escrito en python (bajo consumo de recursos)


  • Instalación
La instalación en Ubuntu 8.10 (o superior) es muy sencilla:
$ sudo apt-get install gufw

Para sistemas anteriores y otras distribuciones podeis bajar el paquete gufw_0.20.7-all.deb directamente desde su web.


  • Iniciar el firewall
Una vez instalado podemos iniciar el gestor de firewall desde el menú Sistema - Administración - Configuración cortafuegos o directamente desde el terminal ejecutando:
$ gksu gufw

Sistema - Administración - Configuración cortafuegos

Por defecto estará desactivado, para ponerlo en marcha es tan sencillo como pulsar sobre el checkbox Cortafuegos habilitado. El firewall ya estará en marcha (se mantendrá activo cada vez que reinicies) y podremos empezar a añadirle reglas para asegurar nuestras conexiones.


  • Administración de reglas
Lo primero que tendremos que decidir es si queremos tener un sistema permisivo a conexiones y definir manualmente las conexiones que queremos denegar o, por el contrario, un sistema restrictivo en el que por defecto todas las conexiones estarán filtradas y manualmente abriremos las que nos interesen.

Personalmente os recomiendo la segunda opción por ser mucho más segura y las reglas más intuitivas de crear. Para hacerlo seleccionaremos Denegar tráfico entrante en el selectbox de la primera pestaña (esta es la selección por defecto)

Política restrictiva por defecto

Hay tres maneras principales de añadir reglas, vamos a verlas desde la más sencilla a la más compleja.

Preconfigurado: permitir el acceso a ciertos servicios y/o aplicaciones simplemente eligiendolos de la lista. Como ejemplo vamos a permitir las conexiones necesarios para un típico programa de descarga de torrents (deluge). Sólo hay que ir eligiendo las opciones necesarias en los desplegables y gufw creará por sí solo las reglas necesarias, en este caso sería Permitir - Programa - deluge - Añadir, quizá con una imagen quede más claro:

Definición de reglas preconfiguradas

En este caso quedarán abiertos los puertos 6881 al 6891 por protocolo TCP que son los que usa por defecto el cliente deluge (asegurate en las preferencias de tu cliente de torrent que son esos los puertos que usará).

Simple: configurar una regla de firewall dando unos pocos datos, en este caso abriremos el puerto 4662 en protocolo TCP/UDP para conseguir ID alta en el cliente amule. De nuevo se trata de ir seleccionando en desplegables y cuadros de texto, más o menos así: Permitir - 4662 - ambos - Añadir

Definición simple de reglas

Podemos ver que ha creado una regla que permite el tráfico entrante al puerto 4662 para cualquier protocolo y cualquier origen (ya solo falta que en la configuración de amule te asegures de que está usando esos puertos)

Avanzado: de esta manera podemos definir reglas más ajustadas a nuestras necesidades, especificando, protocolo, IP de origen, IP de destino y rango de puertos. De esta manera vamos a definir una hipotética regla que permita la conexión por ssh (puerto 22) desde un único ordenador remoto a nuestra red por protocolo TCP.

Esto nos permitirá activar la administración remota sin el riesgo de que alguien no autorizado se nos cuele por este servicio. De nuevo la manera de introducir la regla es bastante sencilla, se trata de seguir una secuencia como esta: Permitir - TCP - Desde: 206.98.11.234 - A: Any - 22 - 22

Definición avanzada de reglas

La regla creada permite el acceso solamente a la IP 206.98.11.234 (dirección que me he inventado) a cualquier ordenador de nuestra red por el puerto 22 (servicio de administración remota ssh) protocolo TCP.


  • Preferencias
Desde el menú Editar - Preferencias accedemos a las escasas opciones de configuración del programa (lo cual es normal teniendo en cuenta que el objetivo es la simplicidad). Desde asquí podremos activar: el registro de actividad, el arranque automático del firewall y activar el icono en la bandeja de sistema para tenerlo siempre a mano.

Preferencias de gufw

Activar los registros siempre es una buena idea, las opciones de autoarranque no son necesarias pues el firewall se seguirá usando aunque no arranques gufw, así que una vez lo tengas totalmente configurado lo mejor es desactivar esas opciones.


  • Artículos relacionados
Administración del firewall con ufw
Administración del firewall con firestarter


  • Más información
http://gufw.tuxfamily.org/

12 comentarios :

Anónimo dijo...

No hay falta establecer el rango de puertos (sólo con el desde es suficiente), si es del puerto 22 al 22 ;)
Un saludo y gracias por el artículo tan claro.

fosco_ dijo...

Tienes razón en lo del rango de puertos, pero pensé que así quedaría más claro.

Un saludo y gracias por dejar tu comentario.

Anónimo dijo...

Muy bueno, gracias por el artículo.

Anónimo dijo...

Muchas gracias.

Yo soy totalmente novato y no sé qué opción elegir. En Windows uso NOD32 y solo le doy a Permitir cada vez que uso un programa nuevo que quiere conectarse a internet.

Si pudieras explicar qué hacer para novatos te lo agradecería mucho.

fosco_ dijo...

@Anónimo: no necesitas ni firewall ni antivirus, Ubuntu es suficientemente seguro de serie. Este artículo va dirigido a gente q necesita un nivel extra de seguridad.

Anónimo dijo...

Hola: Muy bueno el tutorial, pero tengo una duda, lo tengo instalado y se inicia cuando arranco el sistema, lo tengo habilitado para Denegar tráfico entrante sin reglas y a pesar de ello, cuando llamo a cualquier programa (gftp, firefox) tengo acceso a internet y/o enviar o recibir archivos. Por qué? si mi opción es denegar la entrada y de ahí ir colocando las reglas.
Gracias, saludos

john Mclane dijo...

Antes de nada felicitarte por este tutorial, pero tengo una duda que si es posible me gustaria que me ayudaras. Utilizo amsn y en las preferencias de conexion en el apartado transferencia de archivos me aparece en rojo "Te encuentras detras de un cortafuegos o de un enrutador". Verifico el puerto y no me permite ni la trasferenci ni el envio o recepcion de camara web. Mi pregunta es ¿Como debo configurar el cortafuegos para solucionar este problema? Si es posible enviame un correo a john.mclane.jm@gmail.com
Gracias y perdona las molestias

fosco_ dijo...

@john Mclane: configura amsn para q use un rango de puertos concreto, luego establece una regla para permitir el trafico TCP/UDP en ese rango

Anónimo dijo...

hola gracias por tu articulo, he hecho un server tftp y un ftp pero colo puedo acceder a ellos desde cualquier pc en la misma vlan, pense que era el firewall pero segun esto este viene desactivado, como puedo hacer para corregir este proble, poder accesar a mis servidores desde cualquier otra vlan. mil gracias.

Dani Molina dijo...

@Anónimo, recuerda que para ofrecer servicios al exterior el router debe tener los puertos necesarios abiertos y redireccionados a la IP interna del PC que hace de servidor.

Anónimo dijo...

Hola tengo una duda y me vendría bien un poco de ayuda. Quiero configurar gufw para denegar todo tráfico entrante y saliente (hasta ahí lo hago sin problemas), pero luego quiero crear reglas que solo permitan el acceso a internet a firefox, jdownloader, filezilla, thunderbird y gestor de actualizaciones. Pero no sé como hacerlo ni qué puertos usan ni nada.

Dani Molina dijo...

@Anónimo esos programas usan varios rangos de puertos para funcionar, no creo que sea buena idea cerrar todo el tráfico saliente, puedes usar el programa iptraf para ver los puertos usados por los paquetes salientes.

Yo denegaría el tráfico entrante (si realmente lo necesitas) pero el saliente no.