[HowTO] Crea un firewall sencillo para tu PC usando Firehol

Artículo tomado de nuestro Foro, publicado por el usuario YukiteruAmano.

Hola a todos, bueno por aquí les traigo un pequeño y sencillo tutorial, para crearse un *firewall* usando para ello un sencillo programa llamado **Firehol**.

El motivo para esto, es brindarle a nuestros computadores un poco más de seguridad en nuestras conexiones a Internet lo cual nunca está de más.

¿Qué es Firehol?

Pero primero que es Firehol:

>Firehol, es una pequeña aplicación que nos sirve para manejar el firewall integrado al kernel y su herramienta iptables. Firehol, carece de una interfaz gráfica, toda configuración debe hacerse por medio de archivos de texto, pero pese a esto, la configuración no deja de ser sencilla para usuarios noveles, o poderosa para quienes buscan opciones avanzadas. Todo lo que hace Firehol, es simplificar lo más posible la creación de reglas iptables y habilitar un buen firewall para nuestro sistema.

Ya con esa introducción a lo que es y hace Firehol, entremos a como instalarlo en nuestros sistemas. Abramos una terminal y tipeemos:

Instalando Firehol en Debian y derivadas

Abrimos un terminal y ponemos:

`sudo apt-get install firehol`

Cómo configurar Firehol

Una vez instalado firehol, procedemos a abrir el archivo de configuración de firehol, ubicado en */etc/firehol/firehol.conf*, para ello podemos usar el editor de texto de su preferencia (gedit, medit, leafpad)

`sudo nano /etc/firehol/firehol.conf`

Una vez &allí, podemos proceder a colocar el siguientes contenido:

# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#
version 5

# Acepta todo el trafico entrante de una interfaz 
interface any world

# Politica de Acceso, DROP, es decir rechazar todos los paquetes entrantes
policy drop

# Todas las politicas de proteccion activas, aydua a evitar ataques del tipo SYN Flood, Arp Poison, entre otros
protection all

# Politicas del server, Servicios que funcionaran (Web, Correo, MSN, Irc, Jabber, P2P)
# Solo para servidores, si desea modificar o crear nuevos servcios, co puertos y protocolos asociados
# leer el manual de firehol.

#server "http https" accept
#server "imap imaps" accept
#server "pop3 pop3s" accept
#server "smtp smtps" accept
#server irc accept
#server jabber accept
#server msn accept
#server p2p accept

# Politicas del client, todo el trafico saliente es aceptado
client all accept

Este sencillo código, es más que suficiente para una protección básica de nuestros ordenadores, &así que la guardamos y salimos del editor de texto.

Ahora nos toca hacer que firehol se inicie automáticamente en cada booteo, y para ello nos &dirigimos al archivo */etc/default/firehol*, donde cambiaremos una línea con el siguiente codigo:

`START_FIREHOL=yes`

Guardamos los cambios al archivo, y ahora ejecutamos:

`sudo /sbin/firehol start`

Listo!!! Con esto ya firehol se ha puesto en funcionamiento y ha creado las reglas de firewall necesarias, y para ver que sea así, solo ejecuten:

`sudo iptables -L`

Para los paranoicos, pueden ir a la página ShieldUP! y probar su nuevo firewall, de seguro que pasaran la prueba.

Espero que les sea de ayuda.


13 comentarios

  1.   NoFeel dijo

    Excelente tuto, simple y efectivo, una pregunta, donde puedo ver quienes trataron de acceder o hacer una peticion hacia mi computador, teniendo instalado firehol

  2.   InappropriateCookie dijo

    http://blog.desdelinux.net/firehol-iptables-for-human-beings-arch/

    Para Arch 🙂

  3.   zetaka01 dijo

    Perdona, pero eso es peor que editar iptables.
    Entiendo la buena intención pero es una basura.
    Un saludo desde los paranoicos.

    1.    zetaka01 dijo

      Aparte de que seas un desarrollador de iptables, cosa que te agradecería. Un pequeño entorno gráfico no estaría mal. Aunque se cutre como en python.
      Gracias, perdona y un saludo.

      1.    sinnerman dijo

        NO QUEREMOS INSULTOS,SPAM O MALA LECHE EN ESTE BLOG!!!!
        YA NO MÁS!!!
        Acaso no estaban filtrando los comentarios?

      2.    elav dijo

        @sinnerman tranquilo, en principio el comentario de @zetaka01 no me ha ofendido, y no creo que ofenda tampoco al autor original del post. Tiene derecho a expresar su opinión, aunque no la comparta. Si de verdad ofendiera de alguna forma, su comentario irá a parar al /dev/null. 😉

      3.    mario dijo

        no me parece mala leche el comentario. En RedHat he visto que existen esas interfaces. No es tan dificil aprender iptables, leyendo un poco este blog se encuentran scripts.

    2.    Yukiteru dijo

      ¿Peor que editar iptables? Bueno si es lo que piensa, lo respeto. Pero creo que indudablemente es mejor escribir:

      server “http https” accept

      y tener los puertos 80 y 443 abiertos para poder usar apache o cualquier otro server web, que tener que escribir:

      iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
      iptables -A INPUT -i eth0 -p tcp –dport 443 -m state –state NEW,ESTABLISHED -j ACCEPT

      E incluso si tienes los puertos cambiados, es igual de sencillo hacer la configuración en Firehol para hacer dichos cambios.

      1.    Hugo dijo

        Ah pero con iptables se tiene mucho mas flexibilidad. Si lo que se desea es algo grafico para un cliente, podria usarse algo como firestarter.

      2.    Yukiteru dijo

        @Hugo con firehol no pierdes ninguna de las opciones de iptables, ya que en este momento ofrece soporte completo a todas las opciones de iptables, incluyendo IPv6.

        En cuanto a flexibilidad, Firehol es muy completo en esta área, permitiendo hacer NAT, DNAT, definición de reglas explicitas por cada interfaz en el sistema, filtrado especifico de puertos por direcciones IP y MAC, te permite hacer QOS, establecer DMZ, cache transparente, clasificación clara de tráfico, e incluso manipular el tráfico total de las distintas conexiones que tienes.

        En pocas palabras; Firehol es poderoso, y ciertamente carece de interfaz, pero va más que todo dirigido a sector de servidores donde las X no son necesarias o a usuarios avanzados que no quieren andar cargando un firewall gráfico.

  4.   Yukiteru dijo

    Para los que usan Debian Jessie, el querido/odiado systemd se echa el carro arrancando como es debido el script de firehol (en ocasiones se lleva la friolera de 30 segundos nada mas arrancando el firewall), por lo que les recomiendo desactiven el demonio con systemctl disable firehol, y se instalen el paquete iptables-persistent, y salven la configuración del muro de fuego usando este método.

  5.   wen dijo

    Exelente post…Elav, la guía vale para derivados de Ubuntu?, seria bueno un post de FIREWALL (PF) para el sistema FreeBSD que es de texto también.

    1.    elav dijo

      Firehol funciona en Debian y derivados perfectamente..

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.