El cortafuegos de los sistemas GNU/Linux administrado con Ufw y Gufw.

La función básica de un cortafuegos (firewall), centrando además su función en equipos de escritorio o portátiles en ambientes domésticos, es el control de los puertos del sistema para establecer el flujo de información desde el exterior al sistema y desde este al exterior para protegerlo de posibles agresiones. Netfilter es el cortafuegos de los sistema GNU/Linux y es un componente que está integrado en el kernel (desde la versión 2.4), y se configura con una herramienta/aplicación denominada Iptables mediante la cual se introducen las reglas de filtrado del tráfico entrante o saliente de un sistema mediante una serie de comandos.



Ufw (Uncomplicated Firewall)

Ufw es una herramienta de fácil uso desarrollada por Ubuntu para configurar las Iptables mediante comandos simples. Suele venir instalada de casa en Debian y Ubuntu y otras distribuciones derivadas, siendo también popular en otras distros. Si no fuera así sólo hay que instalar el paquete ufw (apt-get install ufw) porque suele estar en los repositorios oficiales. Por lo general, ufw esta desactivado de manera predeterminada porque el cortafuegos de Linux tiene los puertos cerrados al exterior. Ufw opera mediante línea de comandos que han de ejecutarse como root (su) o con privilegios de root (sudo).

Para conocer el estado (activo o desactivo) de Ufw: # ufw status

Para activar ufw: # ufw enable

Para desactivar ufw: # ufw disable

Podemos consultar la ayuda de ufw: # man ufw
 
La configuración por defecto cuando Ufw está activo (enable) impide completamente la totalidad de tráfico entrante, se deniega la totalidad de conexiones entrante, y permite la totalidad de tráfico saliente; esta es la configuración adecuada para la mayor parte de equipos de escritorio en una red doméstica, como es mi caso. Ahora bien, esto no quiere decir que no podamos recibir información y descargar paquetes o archivos desde Internet; el cortafuego y las aplicaciones que tienen esta misión, que se conectan con la red y que hemos instalado como “root”, se “ponen de acuerdo”, sin necesidad de nuestra intervención, funcionando correctamente y de forma segura. Para servidores los requerimientos de filtros y reglas más concretas se hacen imprescindibles y el tema, naturalmente, se complica, pero eso es harina de otro costal. Comandos específicos y cómo establecer reglas se pueden consultar, por ejemplo, en:

Gufw

Gufw es un interfaz gráfico para Ufw, que facilita la configuración del cortafuegos prescindiendo de la consola. El paquete necesario está en los repositorios oficiales de las distribuciones y sólo hay que instalar el paquete gufw (apt-get install gufw).

Cuando abrimos Gufw el cortafuegos estará desactivado y para ponerlo en funcionamiento tenemos que desplazar el botón de “Estado” para que se muestre el símbolo “I” (el símbolo “O” desactivado). En la versión 13.10 (disponible en los repositorios de Ubuntu desde la versión 13.10 , y en Gufw.org para versiones anteriores u otras distribuciones como Debian y openSUSE) podemos además seleccionar un perfil que define automáticamente unas reglas personalizadas. Hay tres perfiles: Casa (en una red doméstica), Oficina (dentro de una intranet) y Público (un área libre de WiFi), y podemos cambiar rápidamente según donde nos encontremos o que conexión estemos utilizando. Pero, además, se pueden importar otros perfiles, dispone de 230 reglas preconfiguradas y mucho más … incluso una pequeña tutorial en la ventana principal.



La configuración por defecto es la misma que hemos descrito anteriormente: nadie puede entrar pero nosotros podemos salir. No obstante, podríamos cambiar la configuración del cortafuegos picando en el desplegable “Entrante” que nos muestra tres opciones:

- Denegar (Deny): se deniega el tráfico entrante, es la opción por defecto. Nadie tiene porque entrar en nuestro equipo.

- Rechazar (Reject): se rechaza el tráfico entrante pero se informa que nuestro sistema está protegido por un cortafuegos al sistema que solicita la conexión. La opción anterior es más adecuada, no hay porque informar a nadie de nada.

- Permitir (Allow): se acepta la totalidad de conexiones entrantes a nuestra computadora. Esta opción es totalmente desaconsejable.

En “Saliente” tenemos también estas opciones, pero en el sentido inverso y la opción adecuada para un equipo domestico es “Permitir” (Allow), sin limitaciones.

En principio, y por el momento, personalmente simplemente con esto se cubren mis humildes requerimientos. No obstante, si se necesita ir más allá personalmente recomiendo, entre otras lecturas, consultar el blog geekland donde se han publicado dos artículos sobre “Cortafuegos” y “Configurar Gufw”.

Saludos flamencos,


Comentarios

  1. Buenas. Tus tutoriales me están ayudando mucho en este "mundo" del software GNU/LINUX, y Debian me está impresionando. Egoistamente, sigue con esta labor.
    He instalado Debian 8 y me ha surgido un problemilla: no consigo que GUFW aparezca en Aplicaciones. Sólo cuando lo ejecuto a través de la Terminal es cuando me aparece.
    ¿qué no estoy haciendo?. Muchas gracias y saludos.

    ResponderEliminar
    Respuestas
    1. Gracias por tu comentario. Lo has hecho bien, en esta versión de Debian, y por el momento, GUFW no aparece en el lanzador de aplicaciones, no se cual es la razón. Puedes también abrirlo con alt-F2 y gufw.

      Saludos flamencos,

      Eliminar

Publicar un comentario