Hola a todos, bueno por aquรญ les traigo un pequeรฑo y sencillo tutorial, para crearse un *firewall* usando para ello un sencillo programa llamado Firehol.
El motivo para esto, es brindarle a nuestros computadores un poco mรกs de seguridad en nuestras conexiones a Internet lo cual nunca estรก de mรกs.
ยฟQuรฉ es Firehol?
Pero primero que es Firehol:
>Firehol, es una pequeรฑa aplicaciรณn que nos sirve para manejar el firewall integrado al kernel y su herramienta iptables. Firehol, carece de una interfaz grรกfica, toda configuraciรณn debe hacerse por medio de archivos de texto, pero pese a esto, la configuraciรณn no deja de ser sencilla para usuarios noveles, o poderosa para quienes buscan opciones avanzadas. Todo lo que hace Firehol, es simplificar lo mรกs posible la creaciรณn de reglas iptables y habilitar un buen firewall para nuestro sistema.
Ya con esa introducciรณn a lo que es y hace Firehol, entremos a como instalarlo en nuestros sistemas. Abramos una terminal y tipeemos:
Instalando Firehol en Debian y derivadas
Abrimos un terminal y ponemos:
`sudo apt-get install firehol`
Cรณmo configurar Firehol
Una vez instalado firehol, procedemos a abrir el archivo de configuraciรณn de firehol, ubicado en */etc/firehol/firehol.conf*, para ello podemos usar el editor de texto de su preferencia (gedit, medit, leafpad)
`sudo nano /etc/firehol/firehol.conf`
Una vez &allรญ, podemos proceder a colocar el siguientes contenido:
# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $ # # This configuration file will allow all requests originating from the # local machine to be send through all network interfaces. # # No requests are allowed to come from the network. The host will be # completely stealthed! It will not respond to anything, and it will # not be pingable, although it will be able to originate anything # (even pings to other hosts). # version 5 # Acepta todo el trafico entrante de una interfaz interface any world # Politica de Acceso, DROP, es decir rechazar todos los paquetes entrantes policy drop # Todas las politicas de proteccion activas, aydua a evitar ataques del tipo SYN Flood, Arp Poison, entre otros protection all # Politicas del server, Servicios que funcionaran (Web, Correo, MSN, Irc, Jabber, P2P) # Solo para servidores, si desea modificar o crear nuevos servcios, co puertos y protocolos asociados # leer el manual de firehol. #server "http https" accept #server "imap imaps" accept #server "pop3 pop3s" accept #server "smtp smtps" accept #server irc accept #server jabber accept #server msn accept #server p2p accept # Politicas del client, todo el trafico saliente es aceptado client all accept
Este sencillo cรณdigo, es mรกs que suficiente para una protecciรณn bรกsica de nuestros ordenadores, &asรญ que la guardamos y salimos del editor de texto.
Ahora nos toca hacer que firehol se inicie automรกticamente en cada booteo, y para ello nos &dirigimos al archivo */etc/default/firehol*, donde cambiaremos una lรญnea con el siguiente codigo:
`START_FIREHOL=yes`
Guardamos los cambios al archivo, y ahora ejecutamos:
`sudo /sbin/firehol start`
Listo!!! Con esto ya firehol se ha puesto en funcionamiento y ha creado las reglas de firewall necesarias, y para ver que sea asรญ, solo ejecuten:
`sudo iptables -L`
Para los paranoicos, pueden ir a la pรกgina ShieldUP! y probar su nuevo firewall, de seguro que pasaran la prueba.
Espero que les sea de ayuda.
Excelente tuto, simple y efectivo, una pregunta, donde puedo ver quienes trataron de acceder o hacer una peticion hacia mi computador, teniendo instalado firehol
https://blog.desdelinux.net/firehol-iptables-for-human-beings-arch/
Para Arch ๐
Perdona, pero eso es peor que editar iptables.
Entiendo la buena intenciรณn pero es una basura.
Un saludo desde los paranoicos.
Aparte de que seas un desarrollador de iptables, cosa que te agradecerรญa. Un pequeรฑo entorno grรกfico no estarรญa mal. Aunque se cutre como en python.
Gracias, perdona y un saludo.
NO QUEREMOS INSULTOS,SPAM O MALA LECHE EN ESTE BLOG!!!!
YA NO MรS!!!
Acaso no estaban filtrando los comentarios?
@sinnerman tranquilo, en principio el comentario de @zetaka01 no me ha ofendido, y no creo que ofenda tampoco al autor original del post. Tiene derecho a expresar su opiniรณn, aunque no la comparta. Si de verdad ofendiera de alguna forma, su comentario irรก a parar al /dev/null. ๐
no me parece mala leche el comentario. En RedHat he visto que existen esas interfaces. No es tan dificil aprender iptables, leyendo un poco este blog se encuentran scripts.
ยฟPeor que editar iptables? Bueno si es lo que piensa, lo respeto. Pero creo que indudablemente es mejor escribir:
server ยซhttp httpsยป accept
y tener los puertos 80 y 443 abiertos para poder usar apache o cualquier otro server web, que tener que escribir:
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 443 -m state –state NEW,ESTABLISHED -j ACCEPT
E incluso si tienes los puertos cambiados, es igual de sencillo hacer la configuraciรณn en Firehol para hacer dichos cambios.
Ah pero con iptables se tiene mucho mas flexibilidad. Si lo que se desea es algo grafico para un cliente, podria usarse algo como firestarter.
@Hugo con firehol no pierdes ninguna de las opciones de iptables, ya que en este momento ofrece soporte completo a todas las opciones de iptables, incluyendo IPv6.
En cuanto a flexibilidad, Firehol es muy completo en esta รกrea, permitiendo hacer NAT, DNAT, definiciรณn de reglas explicitas por cada interfaz en el sistema, filtrado especifico de puertos por direcciones IP y MAC, te permite hacer QOS, establecer DMZ, cache transparente, clasificaciรณn clara de trรกfico, e incluso manipular el trรกfico total de las distintas conexiones que tienes.
En pocas palabras; Firehol es poderoso, y ciertamente carece de interfaz, pero va mรกs que todo dirigido a sector de servidores donde las X no son necesarias o a usuarios avanzados que no quieren andar cargando un firewall grรกfico.
Para los que usan Debian Jessie, el querido/odiado systemd se echa el carro arrancando como es debido el script de firehol (en ocasiones se lleva la friolera de 30 segundos nada mas arrancando el firewall), por lo que les recomiendo desactiven el demonio con systemctl disable firehol, y se instalen el paquete iptables-persistent, y salven la configuraciรณn del muro de fuego usando este mรฉtodo.
Exelente post…Elav, la guรญa vale para derivados de Ubuntu?, seria bueno un post de FIREWALL (PF) para el sistema FreeBSD que es de texto tambiรฉn.
Firehol funciona en Debian y derivados perfectamente..