Seguridad - Mandriva - Configuración de Shorewall

Julio 2017



Linux al igual que otros sistemas operativos necesita protegerse contra los ataques e intrusiones provenientes de la red. Cada distribución Linux cuenta con uno que es instalado automáticamente, en el caso de Mandriva se trata de Shorewall, cuya configuración es hecha mediante el configurador gráfico drakfirewall. Para abrir este configurador gráfico, en una consola ejecuta como root el comando drakfirewall.

Lo que veremos a continuación es la configuración de Shorewall y algunos trucos.

Configuración de Shorewall

Verificar si el servicio está activo desde el inicio


En GNU/Linux, los servicio se llaman demonios, así es que así lo llamaremos en adelante.
  • Abre el "Centro de Control de Mandriva Linux" (necesitaras la contraseña de usuario root)
  • En la pestaña "Sistema": haz clic en "Activar o desactivar los servicios del sistema"
  • Busca el demonio "Shorewall" (al final de la lista) que debería aparecer como "Activo" y marcado "En el inicio".
  • Si no fuera así, inícialo con el botón adecuado y marca la opción "En el inicio" luego valida haciendo clic en "Aceptar"

Configuración


Existen dos posibilidades
  • Ejecutando como root el comando drakfirewall para abrir directamente el configurador gráfico o,
  • A través del "Centro de Control de Mandriva Linux"
  • Dirígete a la pestaña "Seguridad"
  • Haz clic en "Configurar un cortafuegos personal para proteger el ordenador y la red"
  • Desmarca la casilla "Todo", de lo contrario tu cortafuegos no te protegerá de nada!


Ahora aparecen varias opciones:
- Servidor Web: ¿Alojas un sitio Web y/o un blog? Si es así entonces márcala. En caso contrario, es por gusto.
- Servidor de nombre de dominio: Márcala únicamente si tu máquina permite asociar un nombre de maquina a una dirección IP. Al parecer no es tu caso.
- Servidor SSH: Permite conectarse de manera segura a otra máquina (control de una máquina de manera remota)
- Servidor FTP: Las transferencias FTP no serán seguras y un hacker puede robar tu login y contraseña. Este tipo de servidor FTP solo es útil dentro de una red interna.
- Servidor POP e IMAP: Si tu equipo utiliza solo servidores de correo, puedes marcar este filtro.
- Compartir archivos Windows: Si has instalado SaMBa, activa esta opción para que puedes estar en red con equipos bajo Windows. Ten en cuenta que es muy peligroso activar este filtro si el equipo está conectado directamente a la Web.
- Servidor Cups: Si la impresora está dentro de una red local, actívala. Pero ten en cuenta que es muy peligroso activar este filtro si el equipo está conectado directamente a la Web.
- Petición de eco (ping): Enviar un ping permite saber si un equipo existe detrás de una dirección IP. Para estar visible, actívala. Incluso si el riesgo es mínimo, he preferido dejar la opción desmarcada.

Haciendo clic en el botón "Avanzada" (en la parte inferior de la ventana), puedes afinar la configuración. Por ejemplo para agregar autorizaciones deberás pasar por aquí para los casos especiales como la transferencia por BitTorrent. Ten cuidado al utilizar esta opción!

Supongamos que quieres agregar los puertos del 6881 al 6889 en TCP. Entonces deberás introducir 6881:6889/tcp. Si además quieres agregar el puerto 8080 en TCP, esto será:
6881:6889/tcp 8080/tcp. Es decir:
- 6881:6889 para los puertos del 6881 al 6889
- /tcp o /udp dependiendo del caso pegado al número del puerto.
- un espacio entre dos puertos diferentes.

Caso del BitTorrent


Mandriva, como muchas de las distribuciones de GNU/Linux utiliza mucho el protocolo BitTorrent. Ya que he debido pasar dos horas para poder utilizar el BitTorrent, aquí te dejo un truco!
  • Primero he debido autorizar los puertos del 6881 al 6889 en TCP, mediante el botón "Avanzada". Lo que da 6881:6889/tcp
  • Luego he debido editar el archivo /etc/services como root. Lo que resulta con Kate: kate /etc/services
  • Después de una búsqueda en este archivo (menú Editar/Buscar), encontré que ninguna autorización existía para los puertos BitTorrents del 6881 al 6889.
  • Por lo tanto, he debido agregar las líneas siguientes:

BitTorrent          6881/tcp      BitTorrent #       Transferts BitTorrent  
BitTorrent          6882/tcp      BitTorrent #       Transferts BitTorrent  
BitTorrent          6883/tcp      BitTorrent #       Transferts BitTorrent  
BitTorrent          6884/tcp      BitTorrent #       Transferts BitTorrent  
BitTorrent          6885/tcp      BitTorrent #       Transferts BitTorrent  
BitTorrent          6886/tcp      BitTorrent #       Transferts BitTorrent  
BitTorrent          6887/tcp      BitTorrent #       Transferts BitTorrent  
BitTorrent          6888/tcp      BitTorrent #       Transferts BitTorrent  
BitTorrent          6889/tcp      BitTorrent #       Transferts BitTorrent  


Explicación:
- el primer BitTorrent llama al servicio
- luego viene cada puerto uno después de otro
- el segundo BitTorrent es un alias
- finalmente un corto comentario para saber de qué se trata después de unos meses

Tener en cuenta que si efectuaste la configuración mientras tu cliente BitTorrent estaba funcionando, debes reiniciarlo.

Varios cortafuegos


Como en Windows, no sirve de nada instalar varios cortafuegos, ya que habrá conflicto entre ellos.

Por lo tanto es inútil instalar otro como por ejemplo Firestarter ya que, así no hayas configurado Firestarter, no podrás acceder a Internet. Al menos debes desactivar el demonio Firestarter o mejor desinstalarlo.

Enlaces de interés


Lista de puertos:

Artículo sobre Bittorrent

Definición de cortafuegos

Alternativas a Shorewall

Con interfaz gráfica:

Consulta también

Publicado por Carlos-vialfa. Última actualización: 27 de mayo de 2010 a las 22:45 por Carlos-vialfa.
El documento «Seguridad - Mandriva - Configuración de Shorewall» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.