Mundo Pau

junio 26, 2010

Cortafuegos ufw.

Filed under: Informática — Perdigue @ 08:52
Tags: , , ,

UFW = uncomplicated firewall es el cortafuegos que viene por defecto en ubuntu. Para averiguar como funciona podemos hacer un simple sudo ufw nos mostrara las opciones.

Configurandolo:

Para activarlo y que se inicie en el arranque:

sudo ufw enable

Para denegar todas las conexiones

sudo ufw default deny

Abriendo puertos:

sudo ufw allow 14002/tcp
sudo ufw allow 15002/udp

Permitir la comunicacion entre la red local:

sudo ufw allow from 192.168.1.0/16

Sustituir puertos y numeros por el que se ajuste a tu ordenador. Hay mas opciones pero aqui no hablare de ellas.

Evitar que responda a los pings, para que la pc pase indetectable en internet:

sudo gedit /etc/ufw/before.rules

Substituir gedit por nano o el editor de texto que utiliceis.

Se comenta la siguiente linea:

-A ufw-before-input -p icmp –icmp-type echo-request -j ACCEPT

Y quedara asi:

#-A ufw-before-input -p icmp –icmp-type echo-request -j ACCEPT

UFW solo se autoactualizara si se modifican reglas ya existentes, de lo contrario, como en este caso, habra que hacer un sudo ufw disable y sudo ufw enable

Habilitar internet para la red local interna. Enmascaramiento en UFW.

En una terminal

sudo gedit /etc/default/ufw

Cambiar DEFAULT_FORWARD_POLICY a “ACCEPT”

Luego editar

sudo gedit /etc/ufw/sysctl.conf

y descomentar la linea de

net/ipv4/ip_forward=1
net/ipv6/conf/default/forwarding=1

Ahora añadiremos las reglas al archivo /etc/ufw/before.rules

sudo nano /etc/ufw/before.rules

Añadir las siguientes las lineas al inicio del archivo, justo despues de los comentarios de cabecera. Cambiar vuestro adaptador de red por el que este conectado a internet (en mi caso tengo eth0 para la red local y eth1 que me da internet).

# nat Table rules // reglas de la tabla NAT
*nat
:POSTROUTING ACCEPT [0:0]
# .
-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
# don’t delete the ‘COMMIT’ line or these nat table rules won’t be processed
COMMIT

Finalmente deshabilitar y habilitar el firewall para que los cambios tengan efecto:

sudo ufw disable
sudo ufw enable

Si con la segunda sentencia os suelta un error de ERROR: problem running init script , es debido a una mala sintaxis, me sucedia a mi por la tonteria de dejar espacios en blanco al inicio de alguna linea recien insertada ( o por no haber descomentado la linea del ipv6, nu se :S ).

Para configurar con interfaz grafica instalaremos el siguiente paquete:

sudo apt-get install gufw

4 comentarios »

  1. Primeramente gracias. Actualmente tengo squid para proxy de la red. El proxy es manual, es decir en cada navegador cliente se configura. Pero tenemos problemas con outlook en la red. Para hacer funcionar outlook en algunos sitios mencionan que debemos utilizar NAT y tenemos que intentar abrir los puertos de mail, que son el 25 para smtp y 110 para pop3. Esto como y en donde se configura mediante ufw ??

    Comentario por Alex Noria — marzo 8, 2011 @ 21:02 | Responder

    • Para abrir los puertos en ufw solo tienes que loguearte como administrador o aplicar el sudo.
      sudo ufw allow 25/udp
      sudo ufw allow 110/udp

      Recuerda que el proxy también debe de estar configurado en la máquina, porque si no el outlook no sabra donde realizar las peticiones, ja que por la puerta predeterminada no funcionara.

      Comentario por Perdigue — marzo 8, 2011 @ 21:16 | Responder

      • Los puertos que utiliza el outlook son udp ?? Pense que eran TCP. O me recomiendas que habra ambos ?? En las máquinas cliente el proxy está configurado en el browser. Te refieres a que también debemos configurarlo en outlook ?? Muchas gracias por responder.

        Saludos

        Comentario por Alex Noria — marzo 8, 2011 @ 21:38

      • Es cierto los puertos para el outlook son TCP no hace falta que habras lo UDP, te lo dije de memoria y me equivoque🙂 .
        Si, me refiero que tienes que indicar al outlook donde tiene el acceso a internet si no, no podras recibir los mails. Ya que ahora los debes ver via web, pues en el navegador tienes configurado el proxy.
        Para ello puedes configurar el ip del proxy como puerta de enlace predeterminada i hacer transparentes los puertos que necesitas utilitzar para el correo electronico.

        Comentario por Perdigue — marzo 9, 2011 @ 08:21


RSS feed for comments on this post. TrackBack URI

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Crea un blog o un sitio web gratuitos con WordPress.com.

A %d blogueros les gusta esto: