firewall

  • En un nuevo servidor LAMP (Linux, Apache, PHP, MySQL) con Debian 7 tuve la necesidad de desarrollar mi propio cortafuegos (firewall), utilizando la herramienta iptables y el paquete "iptables-persistent".

  • Si se desea detener el firewall temporalmente en Red Hat desde la consola se debe detener el servicio iptables.

  • Sospechamos que posiblemente se esté enviando SPAM desde uno de nuestros servidores (tal vez desde un sitio Wordpress comprometido) y queremos monitorear y registrar (loguear en Spanglish) todo intento de conexión TCP saliente hacia puertos 25 (SMTP) y 587 (SMTPS). Para ello es posible recurrir a la capacidad de logueo de iptables (o UFW en Ubuntu y derivados), a través de reglas simples.

  • Este artículo explica el funcionamiento de PF, junto con una configuración de filtrado básica a modo de ejemplo. PF (Packet Filter) es el mecanismo que utiliza por defecto OpenBSD para implementar el filtrado de tráfico TCP/IP y realizar NAT (Network Address Translation). PF también es capaz de normalizar y condicionar tráfico TCP/IP, al igual que proveerpacket shaping y priorización de tráfico.

  • UFW (Uncomplicated Firewall) es el cortafuegos (firewall) por defecto en Ubuntu. Se trata de una capa de abstracción a iptables, que pretende simplificar la gestión de reglas de filtrado y creación de un firewall básico. En los sistemas con entorno gráfico se dispone de una interfaz gráfica (Gufw) para usuarios menos expertos. Este artículo explica cómo listar y eliminar reglas de UFW forma sencilla en Ubuntu.

    En anteriores artículos he explicado cómo borrar una regla de iptables, cómo crear un firewall simple con iptables, e incluso he publicado un tutorial básico de iptables con el objetivo de comprender su funcionamiento y reglas en pocos minutos.

    Nunca voy a entender por qué tantos desarrolladores se empecinan en reinventar la rueda creando capas de abstracción que podan funcionalidades a herramientas existentes. Especialmente cuando se trata de iptables, pues sus reglas son simples e intuitivas. Sin embargo, a veces se debe trabajar sobre sistemas de clientes donde no es posible o factible optar por las mejores tecnologías, y uno debe trabajar con lo que tiene a su disposición. Por ello, en este artículo voy a demostrar cómo listar y eliminar reglas del firewall con UFW.

  • Cuando se implementa un firewall utilizando ipfw en sistemas FreeBSD, ocurre que se cierran todas las conexiones establecidas cada vez que se reinicia el firewall. Esto se debe a que el servicio ejecuta ipfw flush, eliminando así todas las reglas existentes, para luego crearlas nuevamente.

  • Este artículo explica cómo administrar de forma correcta el firewall en sistemas operativos basados en Red Hat/CentOS. Cómo agregar y eliminar reglas, guardar la configuración, iniciar y detener el firewall, y más.

  • FreeBSD incluye tres firewalls diferentes en el sistema base (¡In your face Linux!): PF, IPFW e IPFILTER (también conocido como IPF). Cada firewall utiliza reglas para controlar el acceso de paquetes desde y hacia el sistema FreeBSD, aunque cada uno lo hace de diferente forma y con diferentes reglas. Además FreeBSD provee dos traffic shapers para controlar el uso de ancho de banda: altq y dummynet. Tradicionalmente ALTQ está fuertemente ligado a PF, mientras que dummynet a IPFW.

    FreeBSD provee múltiples firewalls para cumplir los diferentes requerimientos y preferencias de una amplia variedad de usuarios (de esto se trata la libertad de elección, lo mismo que ha hecho la comunidad GNU/Linux con systemd). Por ende cada usuario debe evaluar qué firewall se adopta mejor a sus necesidades.

    En este artículo se explica cómo implementar traffic shaping en FreeBSD utilizando dummynet e IPFW. No voy a hacer una introducción ni a explicar el funcionamiento de IPFW porque un firewall es un mundo, se necesitan varios artículos para cubrir cada aspecto de un firewall (y más uno tan completo que hasta incluye packet shaping entre sus funcionalidades). Notarán que este artículo es bastante extenso y apenas es una introducción a una de sus características. Para más información acerca de IPFW acceder a su página en el Handbook de FreeBSD o directamente a la página de manual (man ipfw).

  • Tal vez algunos de mis más viejos y queridos lectores recuerden que hace un tiempo monté mi servidor VPN sobre Debian 6 utilizando OpenVPN. Habiendo finalizado ya el soporte LTS para Debian 6 y sin muchas intenciones de migrarlo a Debian 7 (pienso que no vale la pena pues el soporte LTS para Wheezy es sólo hasta 2018, apenas dos años más, siendo que este servidor estuvo en producción 4 años de forma ininterrumpida) qué mejor oportunidad para poner en producción mi primer servidor OpenBSD.

  • Un firewall (cortafuegos en español) es una medida de protección básica en un servidor. Es utilizado para filtrar o restringir el tráfico de red en un sistema, tanto entrante como saliente. En los sistemas operativos Linux, iptables es la herramienta más ampliamente utilizada para implementar firewalls. Esta es una interfaz de alto nivel al framework de filtrado de paquetes netfilter, parte de la pila de red del kernel Linux. Este tutorial trata de clarificar el significado de las tablas, cadenas, reglas y targets, así como hacer una breve introducción al uso y funcionamiento de iptables.

  • Hace un tiempo escribí un tutorial básico sobre iptables que permite entender los conceptos básicos detrás del firewall (cortafuegos) del kernel Linux. En ese tutorial demostré cómo listar las reglas de las diferentes cadenas de una tabla. Veamos ahora cómo es posible listar o visualizar los contadores para cada regla de una cadena, junto con su respectivo número.