[HowTO] Crea un firewall sencillo para tu PC usando Firehol

Artรญculo tomado de nuestro Foro, publicado por el usuario YukiteruAmano.

Hola a todos, bueno por aquรญ les traigo un pequeรฑo y sencillo tutorial, para crearse un *firewall* usando para ello un sencillo programa llamado Firehol.

El motivo para esto, es brindarle a nuestros computadores un poco mรกs de seguridad en nuestras conexiones a Internet lo cual nunca estรก de mรกs.

ยฟQuรฉ es Firehol?

Pero primero que es Firehol:

>Firehol, es una pequeรฑa aplicaciรณn que nos sirve para manejar el firewall integrado al kernel y su herramienta iptables. Firehol, carece de una interfaz grรกfica, toda configuraciรณn debe hacerse por medio de archivos de texto, pero pese a esto, la configuraciรณn no deja de ser sencilla para usuarios noveles, o poderosa para quienes buscan opciones avanzadas. Todo lo que hace Firehol, es simplificar lo mรกs posible la creaciรณn de reglas iptables y habilitar un buen firewall para nuestro sistema.

Ya con esa introducciรณn a lo que es y hace Firehol, entremos a como instalarlo en nuestros sistemas. Abramos una terminal y tipeemos:

Instalando Firehol en Debian y derivadas

Abrimos un terminal y ponemos:

`sudo apt-get install firehol`

Cรณmo configurar Firehol

Una vez instalado firehol, procedemos a abrir el archivo de configuraciรณn de firehol, ubicado en */etc/firehol/firehol.conf*, para ello podemos usar el editor de texto de su preferencia (gedit, medit, leafpad)

`sudo nano /etc/firehol/firehol.conf`

Una vez &allรญ, podemos proceder a colocar el siguientes contenido:

# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#
version 5

# Acepta todo el trafico entrante de una interfaz 
interface any world

# Politica de Acceso, DROP, es decir rechazar todos los paquetes entrantes
policy drop

# Todas las politicas de proteccion activas, aydua a evitar ataques del tipo SYN Flood, Arp Poison, entre otros
protection all

# Politicas del server, Servicios que funcionaran (Web, Correo, MSN, Irc, Jabber, P2P)
# Solo para servidores, si desea modificar o crear nuevos servcios, co puertos y protocolos asociados
# leer el manual de firehol.

#server "http https" accept
#server "imap imaps" accept
#server "pop3 pop3s" accept
#server "smtp smtps" accept
#server irc accept
#server jabber accept
#server msn accept
#server p2p accept

# Politicas del client, todo el trafico saliente es aceptado
client all accept

Este sencillo cรณdigo, es mรกs que suficiente para una protecciรณn bรกsica de nuestros ordenadores, &asรญ que la guardamos y salimos del editor de texto.

Ahora nos toca hacer que firehol se inicie automรกticamente en cada booteo, y para ello nos &dirigimos al archivo */etc/default/firehol*, donde cambiaremos una lรญnea con el siguiente codigo:

`START_FIREHOL=yes`

Guardamos los cambios al archivo, y ahora ejecutamos:

`sudo /sbin/firehol start`

Listo!!! Con esto ya firehol se ha puesto en funcionamiento y ha creado las reglas de firewall necesarias, y para ver que sea asรญ, solo ejecuten:

`sudo iptables -L`

Para los paranoicos, pueden ir a la pรกgina ShieldUP! y probar su nuevo firewall, de seguro que pasaran la prueba.

Espero que les sea de ayuda.


Deja tu comentario

Tu direcciรณn de correo electrรณnico no serรก publicada. Los campos obligatorios estรกn marcados con *

*

*

  1. Responsable de los datos: Miguel รngel Gatรณn
  2. Finalidad de los datos: Controlar el SPAM, gestiรณn de comentarios.
  3. Legitimaciรณn: Tu consentimiento
  4. Comunicaciรณn de los datos: No se comunicarรกn los datos a terceros salvo por obligaciรณn legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu informaciรณn.

      NoFeel dijo

    Excelente tuto, simple y efectivo, una pregunta, donde puedo ver quienes trataron de acceder o hacer una peticion hacia mi computador, teniendo instalado firehol

      zetaka01 dijo

    Perdona, pero eso es peor que editar iptables.
    Entiendo la buena intenciรณn pero es una basura.
    Un saludo desde los paranoicos.

         zetaka01 dijo

      Aparte de que seas un desarrollador de iptables, cosa que te agradecerรญa. Un pequeรฑo entorno grรกfico no estarรญa mal. Aunque se cutre como en python.
      Gracias, perdona y un saludo.

           sinnerman dijo

        NO QUEREMOS INSULTOS,SPAM O MALA LECHE EN ESTE BLOG!!!!
        YA NO MรS!!!
        Acaso no estaban filtrando los comentarios?

           elav dijo

        @sinnerman tranquilo, en principio el comentario de @zetaka01 no me ha ofendido, y no creo que ofenda tampoco al autor original del post. Tiene derecho a expresar su opiniรณn, aunque no la comparta. Si de verdad ofendiera de alguna forma, su comentario irรก a parar al /dev/null. ๐Ÿ˜‰

           mario dijo

        no me parece mala leche el comentario. En RedHat he visto que existen esas interfaces. No es tan dificil aprender iptables, leyendo un poco este blog se encuentran scripts.

         Yukiteru dijo

      ยฟPeor que editar iptables? Bueno si es lo que piensa, lo respeto. Pero creo que indudablemente es mejor escribir:

      server ยซhttp httpsยป accept

      y tener los puertos 80 y 443 abiertos para poder usar apache o cualquier otro server web, que tener que escribir:

      iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
      iptables -A INPUT -i eth0 -p tcp –dport 443 -m state –state NEW,ESTABLISHED -j ACCEPT

      E incluso si tienes los puertos cambiados, es igual de sencillo hacer la configuraciรณn en Firehol para hacer dichos cambios.

           Hugo dijo

        Ah pero con iptables se tiene mucho mas flexibilidad. Si lo que se desea es algo grafico para un cliente, podria usarse algo como firestarter.

           Yukiteru dijo

        @Hugo con firehol no pierdes ninguna de las opciones de iptables, ya que en este momento ofrece soporte completo a todas las opciones de iptables, incluyendo IPv6.

        En cuanto a flexibilidad, Firehol es muy completo en esta รกrea, permitiendo hacer NAT, DNAT, definiciรณn de reglas explicitas por cada interfaz en el sistema, filtrado especifico de puertos por direcciones IP y MAC, te permite hacer QOS, establecer DMZ, cache transparente, clasificaciรณn clara de trรกfico, e incluso manipular el trรกfico total de las distintas conexiones que tienes.

        En pocas palabras; Firehol es poderoso, y ciertamente carece de interfaz, pero va mรกs que todo dirigido a sector de servidores donde las X no son necesarias o a usuarios avanzados que no quieren andar cargando un firewall grรกfico.

      Yukiteru dijo

    Para los que usan Debian Jessie, el querido/odiado systemd se echa el carro arrancando como es debido el script de firehol (en ocasiones se lleva la friolera de 30 segundos nada mas arrancando el firewall), por lo que les recomiendo desactiven el demonio con systemctl disable firehol, y se instalen el paquete iptables-persistent, y salven la configuraciรณn del muro de fuego usando este mรฉtodo.

      wen dijo

    Exelente post…Elav, la guรญa vale para derivados de Ubuntu?, seria bueno un post de FIREWALL (PF) para el sistema FreeBSD que es de texto tambiรฉn.

         elav dijo

      Firehol funciona en Debian y derivados perfectamente..