Lo mejor es iptables, sirve para todas las distribuciones linux y es
muy configurable, mucho mejor que los graficos.
Abajo un scrip de firewall para un servidor, con algunas
modificaciones puede servir:
#!/bin/bash
# Dirección IP del servidor
IP="192.168.145.32"
# Vaciar todas las cadenas y contadores
iptables -F
iptables -X
iptables -Z
# Activar diferentes protecciones a nivel kernel
#
# Ignorar broadcasts icmp
echo -n '1' > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Deshabilitar Source Routing
echo -n '0' > /proc/sys/net/ipv4/conf/all/accept_source_route
# Deshabilitar ICMP redirects
echo -n '0' > /proc/sys/net/ipv4/conf/all/accept_redirects
# Proteger contra "bad error messages"
echo -n '1' > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Deshabilitar ip forwarding
echo -n '0' > /proc/sys/net/ipv4/ip_forward
# Loguear sospechosos, "source routed" y redirects
echo -n '1' >/proc/sys/net/ipv4/conf/all/log_martians
# Por defecto, bloquear todo en las cadenas INPUT y FORWARD
iptables -P INPUT DROP
iptables -P FORWARD DROP
# Permitir todo el tráfico saliente
iptables -P OUTPUT ACCEPT
# Bloquear conexiones TCP nuevas que no comiencen con SYN
iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -m limit
--limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "TCP
RST,ACK,FIN"
iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP
# Bloquear fragmentos entrantes
iptables -A INPUT -i eth0 -f -m limit --limit 5/m --limit-burst 7 -j
LOG --log-level 4 --log-prefix "Fragment Packets"
iptables -A INPUT -i eth0 -f -j DROP
# Bloquear paquetes malformados
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# Bloquear NULL packets
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -m limit --limit
5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "NULL Packets"
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
# Bloquear paquetes "Christmas tree" malformados
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit
--limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "XMAS
Packets"
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# Bloquear ataques Fin Scan
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,ACK FIN -m limit
--limit 5/m --limit-burst 7 -j LOG --log-level 4 --log-prefix "Fin
Packets Scan"
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,ACK FIN -j DROP
# Validar flags TCP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG
-j DROP
# Bloquear paquetes inválidos
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
# Permitir todo en la interfaz loopback
iptables -A INPUT -i lo -j ACCEPT
# Permitir paquetes de conexiones establecidas
iptables -A INPUT -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
# Permitir ping
iptables -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j
ACCEPT
# Permitir conexiones hacia el puerto 22 (SSH)
iptables -A INPUT -p tcp -d $IP --sport 1024:65535 --dport 22 -m state
--state NEW -j ACCEPT
# Permitir conexiones hacia el puerto 80 y 443 (HTTP y HTTPS)
iptables -A INPUT -p tcp -d $IP --sport 1024:65535 --dport 80 -m state
--state NEW -j ACCEPT
iptables -A INPUT -p tcp -d $IP --sport 1024:65535 --dport 443 -m
state --state NEW -j ACCEPT
# Loguear y rechazar el resto
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
iptables -A INPUT -j DROP
Copias el scrip y lo ejecutas, Tambien necesitas instalar
netfilter-persistent para que se guarde al reiniciar.
Salu2
El 26 de noviembre de 2016, 14:35, divagante
<libreydivagante@gmail.com <mailto:libreydivagante@gmail.com>> escribió:
Hola gente!
Bueno, por conveniencia para quien quiera ayudarme con algun dato
dire que soy un usuario de debian de 7 años de antiguedad, pero
que aun no encontre el tiempo o las ganas de conocer profundamente
la administracion de sistemas unix o redes...
No hago scrips ni entiendo sobre redes mas alla de configurar con
alguna guia de ayuda /etc/network/interfaces. Algo que hace rato
ni hago debido a los gestores como wicd o gnome.
Si bien no descarto en un futuro leer y meterme con iptables,
quisiera empezar al montar un futuro servidor de radio streaming,
con un firewall intuitivo, facil de manejar y con interfaz grafica.
Nota: recuerdo que hace ya algunos años usando windows y el
antivirus kaspersky instale el firewall de este ultimo, y la
verdad me resulto super intuitivo y manejable. Se veian claramente
las peticiones de algun programa freeware hacia internet y como
este las denegaba si uno con algunos clicks lo determinaba asi.
Muchas gracias por su ayuda.