Administrando un Firewall facilmente con UWF

UWF es un front-end de iptables que se adapta especialmente bien a servidores y es, de hecho, la herramienta de configuración por defecto en Ubuntu Linux. Su desarrollo se llevó a cabo con la idea de crear una aplicación sencilla y fácil de utilizar… y así ha sido. Ahora desarrollaremos un conjunto de reglas tipicas para que puedas familiarizarte con la aplicacion.

Las tareas básicas que podemos llevar a cabo en el firewall del sistema son muy variadas e incluyen desde el bloqueo de una determinada dirección IP o un puerto a permitir el tráfico solamente de una subred específica. Aqui se detallan las mas tipicas:

Bloquear con UWF una dirección IP específica

La sintaxis básica que deberemos introducir es la siguiente:

sudo ufw deny from {dirección-ip} to any

Para bloquear o impedir el paso de todos los paquetes de una dirección IP concreta introduciremos:

sudo ufw deny from {dirección-ip} to any

Mostrar el estado del firewall y sus reglas

Podemos verificar las nuevas reglas que acabamos de introducir con la siguiente sentencia:

$ sudo ufw status numbered

O bien con el siguiente comando:

$ sudo ufw status

Bloqueo específico de una dirección IP o de un puerto concreto

La sintaxis en este caso sería la siguiente:

ufw deny from {dirección-ip} to any port {número-puerto}

De nuevo, si queremos verificar las reglas lo haremos con el siguiente comando:

$ sudo ufw status numbered

Un ejemplo de la salida que nos proporcionaría este comando es la siguiente:

Status: active To Action From — —— —- [ 1] 192.168.1.10 80/tcp ALLOW Anywhere [ 2] 192.168.1.10 22/tcp ALLOW Anywhere [ 3] Anywhere DENY 192.168.1.20 [ 4] 80 DENY IN 202.54.1.5 Bloquear una dirección IP específica, un puerto y un tipo de protocolo

Para poder bloquear una dirección IP concreta, un puerto y/o un tipo de protocolo en nuestro equipo, hay que introducir el siguiente comando:

$ ufw deny proto {tcp|udp} from {dirección-ip} to any port {número-puerto}

Por ejemplo, si estuviéramos recibiendo el ataque de un hacker desde la dirección IP 202.54.1.1, a través del puerto 22 y bajo el protocolo TCP, la sentencia a introducir sería la siguiente:

$ sudo ufw deny proto tcp from 202.54.1.1 to any port 22 $ sudo ufw status numbered

Bloqueo de una subred

Para este caso concreto la sintaxis es muy similar a los casos anteriores:

$ sudo ufw deny proto tcp from sub/net to any port 22 $ sudo ufw deny proto tcp from 202.54.1.0/24 to any port 22

Eliminar el bloqueo de una dirección IP o borrar una regla

$ sudo ufw status numbered $ sudo ufw delete NUM

Por ejemplo, si deseamos eliminar la regla número 4 deberemos introducir el comando de la siguiente forma:

$ sudo ufw delete 4

 

Las reglas que UWF (o iptables, según se mire) aplica son siempre siguiendo su orden y se ejecutan tan pronto como se produce alguna coincidencia. Así, por ejemplo, si una regla está permitiendo que un equipo con una dirección IP concreta se conecte a nuestro ordenador a través del puerto 22 y mediante protocolo TCP y posteriormente existe una nueva regla que de forma específica bloquea una dirección IP concreta al mismo puerto 22, la regla que primero se aplica es la que permite el acceso al puerto 22 y posteriormente, aquella que bloquea dicho puerto a la IP indicada, no. Es por ello que el orden de las reglas resulta un factor decisivo a la hora de configurar el firewall de una máquina.

Si queremos evitar que se produzca este problema, podemos editar el fichero localizado en /etc/ufw/before.rules y, dentro del mismo, añadir una sección como “Block an IP Address”, justo despúes de la línea que indica el final del mismo “# End required lines”.

Fuente: Ubunlog

DynamicSec.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s