Un cortafuegos sensato es la primera línea de defensa de su computadora contra la intrusión en la red. Cuando está en casa, probablemente esté detrás de un firewall integrado en el enrutador suministrado por su proveedor de servicios de Internet. Sin embargo, cuando está fuera de casa, el único firewall que tiene es el que se ejecuta en su computadora, por lo que es importante configurar y controlar el firewall en su computadora con Linux. Si ejecuta un servidor Linux, es igual de importante saber cómo administrar su firewall para que pueda protegerlo del tráfico no deseado tanto local como remotamente.
Instalar un cortafuegos
Muchas distribuciones de Linux vienen con un firewall ya instalado, y tradicionalmente era iptables. . Es extremadamente efectivo y personalizable, pero puede ser complejo de configurar. Afortunadamente, los desarrolladores han producido varias interfaces para ayudar a los usuarios a controlar su firewall sin escribir largas reglas de iptables.
En Fedora, CentOS, Red Hat y distribuciones similares, el software de firewall instalado de forma predeterminada es firewalld. , que se configura y controla con el firewall-cmd dominio. En Debian y en la mayoría de las demás distribuciones, firewalld está disponible para instalar desde su repositorio de software. Ubuntu se envía con el cortafuegos sin complicaciones (ufw), por lo que para usar el cortafuegos, debe habilitar el universo repositorio:
$ sudo add-apt-repository universe
$ sudo apt install firewalld
También debe desactivar ufw:
$ sudo systemctl disable ufw
No hay motivo no para usar ufw. Es una excelente interfaz de firewall. Sin embargo, este artículo se centra en firewalld debido a su amplia disponibilidad e integración en systemd, que se envía con casi todas las distribuciones.
Independientemente de su distribución, para que un cortafuegos sea eficaz, debe estar activo y cargado en el momento del arranque:
$ sudo systemctl enable --now firewalld
Comprensión de las zonas de cortafuegos
Firewalld tiene como objetivo hacer que la configuración del firewall sea lo más simple posible. Lo hace estableciendo zonas . Una zona es un conjunto de reglas comunes y sensatas que se adaptan a las necesidades diarias de la mayoría de los usuarios. Hay nueve por defecto:
- de confianza: Se aceptan todas las conexiones de red. Esta es la configuración de firewall menos paranoica y solo debe usarse en un entorno confiable, como un laboratorio de pruebas o en una casa familiar donde se sabe que todos en la red local son amigables.
- hogar, trabajo, interno: En estas tres zonas se aceptan la mayoría de las conexiones entrantes. Cada uno de ellos excluye el tráfico en los puertos que normalmente no esperan actividad. Cualquiera de ellos es una configuración razonable para su uso en una configuración doméstica donde no hay motivo para esperar que el tráfico de la red oculte los puertos y, por lo general, confía en los otros usuarios de la red.
- público: Para uso en áreas públicas. Esta es una configuración paranoica, pensada para momentos en los que no confía en otras computadoras en la red. Solo se aceptan conexiones entrantes comunes seleccionadas y en su mayoría seguras.
- dmz: DMZ significa zona desmilitarizada. Esta zona está destinada a equipos de acceso público, ubicados en la red externa de una organización con acceso limitado a la red interna. Para computadoras personales, esta no suele ser una zona útil, pero es una opción importante para ciertos tipos de servidores.
- externo: Para uso en redes externas con enmascaramiento habilitado (lo que significa que las direcciones de su red privada están asignadas y ocultas detrás de una dirección IP pública). Similar a la zona dmz, solo se aceptan conexiones entrantes seleccionadas, incluido SSH.
- bloquear: Solo son posibles las conexiones de red iniciadas dentro de este sistema, y todas las conexiones de red entrantes se rechazan con un icmp-host-prohibido mensaje. Esta es una configuración extremadamente paranoica y es una opción importante para ciertos tipos de servidores o computadoras personales en un entorno no confiable u hostil.
- soltar: Todos y cada uno de los paquetes de red entrantes se descartan sin respuesta. Solo son posibles las conexiones de red salientes. La única configuración más paranoica que esta es apagar tu WiFi y desenchufar tu cable Ethernet.
Puede leer sobre cada zona y cualquier otra zona definida por su distribución o administrador de sistemas consultando los archivos de configuración en /usr/lib/firewalld/zones . Por ejemplo, aquí está la zona de FedoraWorkstation que viene con Fedora 31:
$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Fedora Workstation</short>
<description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<service name="samba-client"/>
<port protocol="udp" port="1025-65535"/>
<port protocol="tcp" port="1025-65535"/>
</zone>
Obteniendo su zona actual
Puedes ver en qué zona te encuentras en cualquier momento con --get-active-zones opción:
$ sudo firewall-cmd --get-active-zones
En respuesta, recibe el nombre de la zona activa junto con la interfaz de red que se le ha asignado. En una computadora portátil, eso generalmente significa que tiene una tarjeta WiFi en la zona predeterminada:
FedoraWorkstation
interfaces: wlp61s0
Cambiar su zona actual
Para cambiar su zona, reasigne su interfaz de red a una zona diferente. Por ejemplo, para cambiar el ejemplo wlp61s0 tarjeta a la zona pública:
$ sudo firewall-cmd --change-interface=wlp61s0 \
--zone=public
Más recursos de Linux
- Hoja de trucos de los comandos de Linux
- Hoja de trucos de comandos avanzados de Linux
- Curso en línea gratuito:Descripción general técnica de RHEL
- Hoja de trucos de red de Linux
- Hoja de trucos de SELinux
- Hoja de trucos de los comandos comunes de Linux
- ¿Qué son los contenedores de Linux?
- Nuestros últimos artículos sobre Linux
Puede cambiar la zona activa de una interfaz en cualquier momento y por cualquier motivo, ya sea que vaya a un café y sienta la necesidad de aumentar la política de seguridad de su computadora portátil, o que vaya a trabajar y necesite abrir algunos puertos para entrar en la intranet, o por cualquier otro motivo. Las opciones para firewall-cmd autocompletar cuando presionas el Tab mientras recuerde las palabras clave "cambio" y "zona", puede tropezar con el comando hasta que lo aprenda de memoria.
Más información
Hay mucho más que puede hacer con su firewall, incluida la personalización de zonas existentes, la configuración de una zona predeterminada y más. Cuanto más se sienta cómodo con los cortafuegos, más seguras serán sus actividades en línea, por lo que hemos creado una hoja de trucos para una referencia rápida y sencilla.