Veréis desde que tengo Linux siempre he usado este firewall para complementar de algún modo la seguridad del sistema
Si ya sé que Linux es muy seguro y estable pero siempre surgen situaciones donde nos es necesario crear o de editar reglas así como manejar los puertos abiertos en el sistema.
Para hacer todas las anteriores operaciones y más de un modo cómodo y practico siempre instalo la interfaz gráfica (GUFW) de este cortafuegos (UFW) que es posible manejar mediante la terminal pero por pereza o simplicidad prefiero hacerlo desde su interfaz.
Pasemos a su instalación .
Lo podemos hacer desde la terminal o desde el Centro de Software de la propia distribución normalmente está en Synaptic sin problemas en el caso de Deepin en su Store.
Usemos como ejemplo Ubuntu
*Tenemos que tener activos los repositorios Universe
Abrimos la terminal con el conocido CTRL+ALT+T y ejecutamos los siguientes comandos
sudo add-apt-repository universo
sudo apt-get update
Ahora procedemos a instalar GUFW con el comando
sudo apt-get install gufw
Para hacerlo en otros sistemas Linux
Ahora ya tenemos que tener si interfaz gráfica en el menú de inicio de aplicaciones por lo que procedemos a abrirlo desde su icono y procederemos a activarlo nos quedara más o menos como muestra la imagen.
Cuando hemos activado el firewall el icono del escudo cambiara de gris a color.
*Nota: algunas veces en Deepin observaba que al iniciar el sistema el firewall aprecia totalmente en gris de nuevo lo que indicaba que estaba deshailitado de nuevo.
Podemos comprobar el estado del mismo con el comando:
$ sudo ufw status
Lo que nos devuelve su estado
Para activarlo ya de una vez por todas lo solvente con el siguiente comando:
$ sudo ufw enable
El cortafuegos está activo y habilitado en el arranque del sistema
Si quisiéramos deshabilitarlo de nuevo mediante la terminal usaríamos este otro comando:
$ sudo ufw disable
Politicas de bloqueos
Por otro lado la combinaciones de colores nos muestra las diferentes políticas de bloque activadas
El lado superior verde e inferior rojo denegar entrante permitir saliente
Superior verde inferior azul denegado el trafico en entrante y rechazado el saliente excepto algunas reglas precisas
Rechazar entrantes y permitir salientes
Las dos verdes denegado trafico entrante y saliente salvo algunas reglas configuradas ¡la más estricta! Pero el sistema puede no andar tan fluido.
Tenemos también rápida configuración mediante Perfiles de Uso
- Casa
- Público
- Oficina
El predeterminado suele ser el de la casa lo que ajusta automáticamente de un modo rápido la seguridad para un uso habitual en un entorno más fluido y liviano.
Los otros dos son:
- Publico con un nivel muy estricto de conexiones
- Oficina con mucha seguridad pero más interactivo con las conexiones con servidores, impresoras y demás.
Estos dos últimos, claro esta cuando nos encontramos de viaje o fuera del hogar nos aseguraran una óptima defensa de nuestra distro.
Como podemos apreciar viene muy bien construido para situaciones cotidianas con diversos perfiles las cuales apodemos adaptar fácilmente modificando rápidamente. Recordar que el cambio se produce al reinicio del sistema.
Ahora pasemos a revisar brevemente las configuraciones avanzadas de la aplicación.
– Preferencias
En el menú superior en editar está la opción de preferencias desde donde podemos manejar algunas características de la aplicación.
Si la desplegamos nos aparecerá las opciones de:
Registro
con unas cuantas configuraciones que regulan en registro de sucesos que la aplicación guarda en logs o archivos de registro.
También posee la opción de desactivar esta característica.
Perfiles
Desde donde podemos agregar modificar y borrar fácilmente los perfiles por defecto que la aplicación trae o los generados por nosotros.
Si queremos agregar un nuevo perfil le damos al símbolo de + y creamos uno nuevo personalizado lógicamente se procede de igual modo para su eliminación seleccionándolo y pulsando sobre el símbolo de –
Por inercia el perfil recién creado sin reglas establecidas no habrá el tráfico entrante y pero permitirá el tráfico saliente.
*Nota:
La creación de múltiples perfiles nos adaptara el uso del trafico de conexiones de un modo preciso a las condiciones que usemos en nuestra uso cotidiano del ordenador; si estamos en el hogar no es lo mismo que conectarnos con un portátil en la wifi abierta de una cafetería, o otra más segura, como la casa de un conocido, como veis con el uso de perfiles tenemos una solución prácticamente personalizada de la aplicación en unos pocos clic.
Pasemos a la configuración de las diferentes reglas personalizadas
Regresemos al panel principal y pulsamos sobre la pestaña de rules o reglas se nos desplegara un panel donde poder organizar las reglas existentes o crearlas según el caso así como poder editarlas y controlar los puertos abiertos por las mismas.
Tranquilos, es fácil la mayoría de las aplicaciones usan los puertos comunes, solamente es necesario en casos de aplicaciones con reglas específicas.
Como veis yo cree unas para La Store de Deepin cuando tubo problemas de conexión y unas cuantas para qbitorrens. Oculto los puertos en la imagen para mi seguridad.
En este apartado es donde más configuración usaremos básicamente son tres acciones las políticas a usarse.
- La de permitir: nos permite el tráfico de entrada hacia un puerto.
- La de denegar: nos permite bloquear todo el tráfico entrante en el mismo.
- La de poder rechazar: niega la entrada del trafico a un puerto y a la vez informa al solicitante sobre el rechazo.
- La de limitar :niega el tráfico de entrada cuando una dirección IP bombardea con muchos intentos de conexiones en un tiempo estimado de 30 segundos.
Un resumen básico para aclarar los conceptos
Procedamos a revisar los distintos modos, para añadir reglas si pulsamos en el signo de + se nos despliega un menú nuevo con tres elementos: Preconfigurados, Simple, Avanzada dándonos acceso a tres modos distintos de uso.
En la seccionó de reglas preconfiguradas nos encontramos con unas opciones previamente establecidas muy sencillas de usar y listas para los usuarios recién llegados y principiantes en general.
- Permitimos o denegamos el tráfico.
- Configuramos la dirección entrante-saliente o ambas
- En categorías adaptamos a la aplicacióna designar
- En la subcategoría configuramos el tipo de uso a darle a la misma
Y por último en aplicaciones seleccionamos la aplicación que la usara o podemos usarla mediante el filtro incorporado de debajo le vamos a añadir y ya la tendremos lista para el uso pero tranquilos si no esta correcta del todo recordar que podremos editarla mas tarde.
En la sección de reglas simples:
En el apartado anterior vimos como usar cómodamente las reglas preconfiguradas en este podemos afinar de un modo más especifico el resultado final de las mismas sin complicarnos demasiado.
En el menú, qué se despliega le ponemos el nombre que consideremos para la regla, escogemos la acción a realizar permitir, denegra, rechazar. Luego posicionamos el uso o dirección resultante e la misma entrante, saliente, o ambas
El protocolo TCP, UDP o AMBOS
Y como no el puerto o servicio
Donde ponemos el número del puerto si lo conocemos como ejemplo el puerto (80 para ssh) un rango de puerto separados entre dos puntos (recordar que un rango es cuando oscilan entre el numero menor y el mayor todos se irán abriendo según el uso dado) un ejemplo [90:110) y para un se vicio como el ssh y seleccionamos TCP Y UPD si le damos a cerrar se creara la regla pero si por el contrario decidimos que necesitamos más le damos al símbolo > se nos desplegara un menú de opciones avanzadas.
Desde aquí ya podremos perfilar muy específicamente un uso de las mimas.
Edición de las reglas creadas
En cualquier momento podemos modificar una regla ya creada para adaptarla a nuestras necesidades
Simplemente seleccionamos la regla en cuestión y le damos a la ruedecita dentada inferior y aparecerá de nuevo el menú de configuración.
Tenemos también un registro de los servicios que se están ejecutando en ese momento con un practico descripción del protocolo, puerto, dirección y nombre de la aplicación que lo utiliza. Podemos pausar tanto la escucha como crear una regla a partir de un servicio ya ejecutándose usando el icono+
Apartado de log o informes escritos
En este apartado podremos comprobar detenidamente todos los acontecimientos o sucesos en un espacio de tiempo para poder comprobar sucesos sospechosos o cuanto peculiares también podemos copiar los mismos al porta-papeles o borrarlo desde los respectivos iconos inferiores.
Bien pues es una revisión básica de la interfaz de este firewall desde un modo práctico podemos configurar fácilmente el mismo sin problemas . Ahora nos queda animarnos a probarlas al principio para los noveles es un tanto lioso pero en cuanto pillemos conceptos simples como las reglas de dirección de trafico puertos y tal, todo se hace más sencillo y llevable os animo a que los uséis.
Os dejo un enlace a un magistral vídeo de nuestro compañero Cumpy Linux donde hace uso del firewall desde la terminal: