UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

MATERIA

LABORATORIO DE SISTEMAS OPERATIVOS

DOCENTE

ING. RODRIGUEZ WILLIAM

TEMA DEL PROYECTO

FIREWALL EN LINUX

INTEGRANTES
• HECTOR VLADIMIR SANCHEZ GONZALEZ
• LADY MICHELLE PIN MERA
• LADY MICHELLE VERA CATAGUA

CURSO:

INE-S-NO-6-4 CICLO

2020-2021 CI
INDICE
OBJETIVOS ...................................................................................................................... 3

OBJETIVO PRINCIPAL .................................................................................................. 3

OBJETIVOS SECUNDARIOS ......................................................................................... 3

INTRODUCCION ............................................................................................................ 4

MARCO TEORICO .......................................................................................................... 5

XML. ................................................................................................................................. 6

CARACTERÍSTICAS DE FIREWALLD ........................................................................ 6

DISTRIBUCIONES .......................................................................................................... 7

APLICACIONES .............................................................................................................. 7

Drop ................................................................................................................................... 8

FIREWALL IPTABLES PARA SEGURIDAD LINUX ................................................ 10

Cómo configurar firewall Iptables para seguridad Linux ............................................... 26

DIAGRAMA ................................................................................................................... 33

DESCRIPCIÓN DE COMANDOS ................................................................................ 34

RECOMENDACIONES ................................................................................................. 37

CONCLUSIONES .......................................................................................................... 38
 OBJETIVOS

OBJETIVO PRINCIPAL

❖ Su objetivo principal es proteger a una de red de otra

OBJETIVOS SECUNDARIOS

❖ Establecer seguridad entre diferentes zonas de confianza

❖ Bloquear datos entrantes que contengan ataques

❖ Ocualtar informacion acerca de la red

INTRODUCCION

Un firewall es un dispositivo, ya sea software o hardware, que filtra todo el tráfico

de red. El sistema operativo Linux dispone de un firewall llamado IPtables.

Iptables es un firewall incluido en el kernel de Linux desde la versión 2.4 que está
incluido en el sistema operativo. Es un firewall basado en reglas, su
funcionamiento se basa en aplicar reglas que el mismo firewall ejecute. Estas
IPtables también se encuentran en los firmwares basados en Linux y por supuesto,
los dispositivos Android.

La seguridad es una de las acciones que siempre debe estar presente no solo en las
organizaciones sino también a nivel personal cuando trabajamos con algún sistema
operativo, y es que, aunque existen diversas herramientas para aumentar la
seguridad y la privacidad durante el uso de un sistema, el propio sistema operativo
incluye una función extra como lo es el firewall.

La función esencial de un firewall es crear y administrar reglas de entrada y de

salida con el fin de proteger todo el proceso de conexión a la red. Así, se impide
que paquetes sospechosos o no fiables entren a nuestro equipo y causen algún tipo
de daño como la inserción de malware o el secuestro de información.

Cuando trabajamos con sistemas Linux, uno de los más seguros, disponemos de
utilidades de código abierto que nos ayudan a que este proceso de protección sea
mucho más completo y una de estas utilidades es Firewalld.
MARCO TEORICO

Firewalld (firewall daemon), es una utilidad cuyo propósito es entregar un firewall

administrado dinámicamente el cual cuenta con soporte para zonas de red en las cuales
se define el nivel de confianza de las conexiones o interfaces de red a usar, Firewalld es
compatible con las direcciones IPv4, configuración de firewall IPv6, puentes Ethernet y
grupos de direcciones IP.

Firewalld nos ofrece una interfaz para servicios o aplicaciones con el fin de agregar las
reglas de firewall directamente facilitando así las tareas de control. Una de las principales
ventajas de usar Firewalld es que todos los cambios a realizar se pueden hacer en tiempo
real sobre el entorno de ejecución sin que sea obligatorio tener que reiniciar el servicio o
Daemon como sucede con muchas utilidades.

Firewalld integra a interfaz D-Bus la cual es apta para gestionar los servicios, las
aplicaciones y administración de la configuración del firewall, esta interfaz puede ser
integrada con las herramientas de configuración como firewall firewall-cmd,
firewallconfig y firewall-applet.

La interfaz D-Bus de firewalld es la forma más vital para crear y editar la configuración
del firewall. Esta interfaz es usada por todas las herramientas en línea integradas en
firewalld como firewall-cmd, firewall-config y firewall-applet, la línea firewall-offline-
cmd no está hablando directamente con firewalld, sino que edita y crea los archivos de
configuración de firewalld directamente a través del núcleo de firewalld con los
controladores de IO.

El archivo de configuración global de firewalld está ubicado en la ruta

/etc/firewalld/firewalld.conf y las funciones del firewall están configuradas en
formato
 XML.

Firewalld hace uso de zonas las cuales son las que definen el nivel de confianza que
tendrá la conexión de red a usar, la interfaz o enlace de dirección de origen y una
misma zona puede usarse para muchas conexiones de red, interfaces y fuentes.

CARACTERÍSTICAS DE FIREWALLD

Algunas de las características que encontramos al usar Firewalld son:

• Compatibilidad con IPv4, IPv6, puente y ipset.

• Compatibilidad con IPv4 y IPv6 NAT.

• Zonas de cortafuegos o firewall.

• API completa de D-Bus.

• Servicio simple, puerto, protocolo, puerto de origen, enmascaramiento, reenvío de

puertos, filtro icmp, regla enriquecida, interfaz y control de dirección de origen en
las zonas usadas.

• Interfaz directa para gestión.

• Función de bloqueo la cual crea una lista blanca de aplicaciones que pueden
modificar el firewall.

• Carga automática de módulos del kernel de Linux.

• Integración con Puppet.

• Reglas de firewall temporizadas en zonas.

• Registro simple de paquetes denegados.

• Herramienta de configuración gráfica utilizando gtk3.

 DISTRIBUCIONES

Las distribuciones básicas en las cuales se puede implementar Firewalld son:

• RHEL 7, CentOS 7

• Fedora 18 y superior

APLICACIONES

Las aplicaciones y bibliotecas que admiten firewalld como herramienta de

administración de firewall cuentan con:

• NetworkManager

• libvirt

• docker

• fail2ban

Es importante que antes de entrar en detalle sobre como instalar y usar Firewalld
conozcamos un poco más sobre él, Firewalld está compuesto por tres capas que son:

• CAPA PRINCIPAL (CORE LAYER) la cual se encarga del manejo de la

configuración y los servicios como iptables, ip6tables, ebtables, ipset y el cargador
de módulos.

• INTERFAZ D-BUS: el cual es el medio principal para cambiar y crear la

configuración del firewall.

• BACKENDS los cuales permiten interactuar con netfilter (el módulo del kernel
nativo usado para firewall) y se cuentan algunos como iptables, ip6tables, ebtables,
ipset, nft, linnftables, etc.
Las zonas disponibles en Firewalld son:

DROP

Esta es la zona con el nivel de confianza más bajo debido a que todos los paquetes
de entrada se rechazan de forma automática y solo permite la habilitación de los
paquetes salientes.

BLOCK

Al usar esta zona, el nivel de confianza es similar a Drop pero solo difiere en que
los paquetes entrantes son rechazados usando mensajes icmp-host-prohibited para
IPv4 y icmp6-adm-prohibited para IPv6.

PUBLIC

Con esta zona el nivel de confianza se refiere a las redes públicas no confiables, de
modo que solo acepta conexiones confiables.

EXTERNAL

Es el nivel definido cuando usamos el Firewall como puerta de enlace y su

enmascaramiento está habilitado por los routers.

DMZ

Es una zona donde el nivel de confianza aplica a equipos situados en una zona
DMZ (Desmilitarizada), esto significa que se cuenta con acceso público con
restricción a la red interna. Solo acepta conexiones aceptadas.

WORK

Como su nombre lo indica este nivel se usa en áreas de trabajo permitiendo que los
equipos de la red tengan acceso a ella
HOME

Al usar este nivel estamos hablando de un entorno de hogar y son aceptadas la

mayoría de equipos en la red

INTERNAL

Este tipo de nivel aplica a redes internas de modo que todos los equipos de la red
local serán aceptados.

TRUSTED

Significa Confianza, lo cual implica que es el nivel más alto y confía en todas las
conexiones entrantes.

Para configurar o agregar zonas, podemos usar alguna de las siguientes interfaces
de configuración de firewalld disponibles:

• Herramienta de configuración gráfica firewall-config.

• Herramienta de línea de comandos firewall-cmd.

• Interfaz programática D-BUS.

Crear, copiar o editar un archivo de zona en alguno de los directorios de

configuración como: /etc/firewalld/zones para archivos de configuración
personalizados y creados por el usuario o /usr/lib/firewalld/zones para las
configuraciones predeterminadas y de reserva.
FIREWALL IPTABLES PARA SEGURIDAD LINUX

Aunque Linux es uno de los sistemas operativos más fiables y seguros gracias a
sus características siempre existirá algún tipo de vulnerabilidad ya sea propia del
sistema o de forma no intencional por parte del usuario. Para incrementar la
seguridad de Linux contamos con diversas herramientas diseñadas para proteger
servicios, procesos, perfiles o archivos.

¿QUÉ ES IPTABLES?

Iptables es una herramienta avanzada de firewall la cual está integrada en el kernel

de Linux la cual forma parte de un proyecto llamado netfilter.

Gracias a Iptables podremos administrar de forma precisa y directa todas las

conexiones entrantes y salientes del servidor. Iptables está desarrollado para el
direccionamiento Ipv4 mientras que para Ipv6 contamos con Ip6tables.

ESTRUCTURA DE IPTABLES EN LINUX

La estructura que encontramos en Iptables es la siguiente:

Raw

Se encarga de filtrar los paquetes antes que cualquier otra tabla existente
Filter

Esta es la tabla por defecto de la aplicación

Nat

Es usado para la traducción de direcciones de red

Mangle

Es utilizado para la alteración de los paquetes de red especializados

 Security

Puede ser implementado para reglas de conexión de red Mandatory Access Control

ESTRUCTURA DEL COMANDO EN IPTABLES EN LINUX

En Iptables cada regla es un comando que indica la forma como debe ser manejado el
tráfico de los paquetes de red. Podemos usar la siguiente estructura:

-A INPUT -i eth0 -p tcp -m state -- ESTABLISHED,RELATED --sport 80 -j

ACCEPT

Los parámetros usados son:

• -A: Indica que serán agregadas las reglas a Iptables

• -i: Indica la interfaz en la cual será aplicada la regla

• -p: Hace referencia al protocolo donde aplicara la regla

• -m: Hace referencia a que existe una condición que debe cumplirse para aplicar la regla

• --state: Permite la aceptación de nuevas conexiones

• --sport: Indica el puerto de origen

• -j: (Jump) indica que pueden aceptar todo el tráfico que cumple las condiciones dadas.
 DESARROLLO

1. CÓMO INSTALAR Y ADMINISTRAR FIREWALLD EN LINUX

PASO 1

En caso de usar CentOS 7, el paquete firewalld esta preinstalado y se puede verificar con
el siguiente comando:

• rpm -qa firewalld

En el caso de Ubuntu debemos instalarlo con el siguiente comando:

• sudo apt install firewalld

Ingresamos la letra S para confirmar la descarga e instalación de Firewalld.

PASO 2

Firewalld es un servicio regular de systemd el cual puede ser administrado a través del
comando systemctl de la siguiente forma:

sudo systemctl start firewalld

sudo systemctl enable firewalld

sudo systemctl status firewalld

PASO 3

Después de iniciar el servicio firewalld, podremos verificar si el servicio se está

ejecutando o no en Linux, para ello debemos usar la herramienta firewall-cmd,
ejecutamos lo siguiente:

sudo firewall-cmd –-state

2. CÓMO GESTIONAR ZONAS EN FIREWALLD CENTOS Y UBUNTU

PASO 1

Para obtener una lista de todas las zonas y servicios de firewall disponibles, debemos
ejecutar los siguientes comandos:

Para ver las zonas:

sudo firewall-cmd --get-zones

PASO 2

Para ver los servicios ejecutaremos:

sudo firewall-cmd --get-services

PASO 3

La zona predeterminada es la zona implementada para cada característica de

firewalld que no está vinculada a otra zona, es posible obtener el conjunto de zonas
predeterminado para conexiones de red e interfaces ejecutando lo siguiente: sudo

firewall-cmd --get-default-zone

PASO 4

Si deseamos establecer otra zona predeterminada debemos hacer uso del siguiente
comando, es de anotar que si añadimos la opción --permanent se establece la
configuración de forma permanente, podemos ejecutar alguna de las siguientes
opciones:

sudo firewall-cmd --set-default-zone=external o sudo firewall-cmd --set-default-

zone=external –permanent

Luego aplicamos los cambios ejecutando:

sudo firewall-cmd --reload

PASO 5

Si el objetivo es agregar una interfaz a una zona, por ejemplo, podemos ejecutar lo
siguiente:

sudo firewall-cmd --zone=home --add-interface=enp0s3

En este caso hemos añadido la interfaz enp0s3 (LAN) a la zona home.

PASO 6

Es de anotar que una interfaz solo se puede agregar a una sola zona, en su lugar se
puede mover a otra zona, para ello usaremos el interruptor --change-interface o
bien eliminar de la zona anterior con el interruptor –remove-interface y luego
añadirlo a la zona nueva, por ejemplo:

sudo firewall-cmd --zone=public --remove-interface=enp0s3 sudo firewall-cmd --

zone=public --change-interface= enp0s3

Con Firewalld es posible usar muchas zonas al mismo tiempo, si deseamos obtener
una lista de todas las zonas activas con las funciones habilitadas, como interfaces,
servicios, puertos, protocolos, ejecutamos lo siguiente:

sudo firewall-cmd --get-active-zones

PASO 7

Para obtener más información sobre las zonas, como lo que se ha habilitado o eliminado
podemos usar alguno de estos comandos: sudo firewall-cmd --zone=home --list-all O
sudo firewall-cmd --info-zone public

PASO 8

Otra de las opciones útiles a usar con Firewalld es --get-target, esta muestra el objetivo
de una zona permanente, los objetivos pueden ser default, ACCEPT, DROP, REJECT,
para comprobar el objetivo de varias zonas podemos usar alguno de los siguientes
comandos:

sudo firewall-cmd --permanent --zone=public --get-target sudo firewall-cmd --

permanent --zone=block --get-target sudo firewall-cmd --permanent --zone=dmz
--get-target sudo firewall-cmd --permanent --zone=external --get-target sudo
firewall-cmd --permanent --zone=drop --get-target
3. CÓMO BLOQUEAR O ABRIR PUERTOS EN FIREWALLD LINUX

CENTOS Y UBUNTU

Para abrir un puerto a través de firewalld, basta con añadirlo en la zona con la
opción -add-port, en caso de no especificar explícitamente la zona, se habilitará
en la zona predeterminada.

PASO 1

Por ejemplo, para añadir los puertos 80 y 443 los cuales permiten el tráfico web entrante
a través de los protocolos HTTP y HTTPS, vamos a ejecutar lo siguiente:

sudo firewall-cmd --zone=public --permanent --add-port=80/tcp --add-

port=443/tcp

PASO 2

Ahora vamos a cargar de nuevo el firewalld y verificar las funciones habilitadas en la

zona pública:

sudo firewall-cmd --reload

sudo firewall-cmd --info-
zone public
PASO 3

Si deseamos bloquear un puerto en firewalld, debemos usar la opción --remove-

port, en este ejemplo así:

sudo firewall-cmd --zone=public --permanent --remove-port=80/tcp

--removeport=443/tcp
4. CÓMO BLOQUEAR O ABRIR SERVICIOS EN FIREWALLD CENTOS

Y UBUNTU

Para el proceso de habilitación de un servicio en Firewalld debemos habilitarlo usando

la opción --add-service, recordemos que, si omitimos la zona, se utilizará la zona por
defecto.

PASO 1

Por ejemplo, para habilitar el servicio http en una zona publica ejecutamos:

sudo firewall-cmd --zone=public --permanent --add-service=http sudo firewall-

cmd –reload

PASO 2

Con el parámetro -remove-service podemos remover el servicio de la zona

asignada: sudo firewall-cmd --zone=public --permanent --remove-
service=http sudo firewall-cmd –reload
5. CÓMO HABILITAR Y DESHABILITAR EL ENMASCARAMIENTO DE

IP A TRAVÉS DE FIREWALLD LINUX

El enmascaramiento de IP, o IPMASQ / MASQ) es un mecanismo NAT el cual permite

a los hosts en una red, con direcciones IP privadas establecer una comunicación con
Internet a través de la dirección IP pública asignada al servidor Linux usando la puerta
de enlace IPMASQ.

Con este enmascaramiento, el tráfico de los hosts invisibles aparecerá en otros equipos
en Internet como si esto viniera directamente del servidor Linux. Para verificar si el
enmascaramiento está activo o no ejecutamos:

sudo firewall-cmd --zone=public --query-masquerade

Luego podemos agregar una zona así:

sudo firewall-cmd --zone=public --add-masquerade para quitar una zona de este tipo
de función, debemos ejecutar lo siguiente:

sudo firewall-cmd --zone=public --remove-masquerade

6. CÓMO HABILITAR Y DESHABILITAR EL MENSAJE IMCP EN

FIREWALLD LINUX

El protocolo ICMP (Internet Control Message Protocol - Protocolo de mensajes de

control de Internet) es un protocolo que ha sido desarrollado con el fin de generar
solicitudes de información o respuestas a esas solicitudes de información o en
condiciones de error en todo el proceso de comunicación en la red.

PASO 1

En Firewalld es posible habilitar o deshabilitar los mensajes ICMP, pero se recomienda

validar todos los tipos de ICMP compatibles, para ello ejecutamos:

sudo firewall-cmd --get-icmptypes

PASO 2

Podemos agregar o bloquear un ICMP de la siguiente manera:

sudo firewall-cmd --zone=home --add-icmp-block=echo-reply sudo firewall-cmd --

zone=home --remove-icmp-block=echo-reply
PASO 3

Podemos ver todos los tipos de ICMP agregados en una zona usando el interruptor
--listicmp-blocks: sudo firewall-cmd --zone=home --list-icmp-blocks

7. CÓMO HABILITAR O NO EL MODO PÁNICO EN FIREWALLD LINUX

CENTOS Y UBUNTU

El modo de pánico es un modo especial integrado en Firewalld en el cual se

eliminan todos los paquetes entrantes y salientes, y las conexiones activas
expirarán una vez que este sea activado, podemos habilitar este modo en
situaciones de emergencia donde exista una amenaza para el sistema y así
evitaremos cualquier conexión.

PASO 1

Para consultar el modo de pánico, usaremos la opción

--query-panic y podremos activarlo con la opción sudo firewall-cmd --panic-

on:
PASO 2

Para comprender el funcionamiento de este modo, cuando esta deshabilitado

podemos hacer ping a un sitio web y recibiremos todas las solicitudes enviadas,
pero cuando se activa veremos un mensaje indicando un fallo temporal en la
conexión:
PASO 3

Para deshabilitar este modo ejecutamos:

sudo firewall-cmd --panic-off

8. CÓMO BLOQUEAR FIREWALLD EN LINUX CENTOS Y UBUNTU

PASO 1

En Firewalld, las aplicaciones o servicios locales están en la capacidad de alterar la

configuración del firewall si estos se ejecutan con privilegios de root, podemos controlar
qué aplicaciones pueden solicitar cambios en el firewall, agregándola en la lista blanca
de bloqueo. Esta función se encuentra desactivada de forma predeterminada, y podemos
habilitarla o inhabilitarla con el interruptor

--lockdown-on o –lockdown-off:

sudo firewall-cmd --lockdown-on

O sudo firewall-cmd --lockdown-off

PASO 2

Un método más seguro es habilitar o deshabilitar esta función directamente en la edición

del archivo de configuración principal, puesto que en algunas ocasiones firewall-cmd no
existe en la lista blanca de bloqueo, para ello accedemos al archivo de configuración:
sudo nano /etc/firewalld/firewalld.conf
Allí ubicamos la línea Lockdown=no y establecemos su estado a Lockdown=yes,
guardamos los cambios usando las teclas Ctrl + O y salimos del editor usando Ctrl
+ X.

Firewalld es una completa solución para añadir diversas reglas y zonas a nuestras
distribuciones de Linux y así añadir mejores opciones de seguridad generales en el
sistema.

CÓMO CONFIGURAR FIREWALL IPTABLES PARA SEGURIDAD LINUX

1. CREACIÓN DE REGLAS USANDO IPTABLES EN LINUX

Aunque podemos agregar las reglas de forma manual es mucho más practico crear
un archivo de reglas y posteriormente realizar su importación. En este caso
crearemos el archivo en la ruta /tmp/iptables-ip4 y podemos usar algún editor para
su respectivo ajuste:

sudo nano /tmp/iptables-ip4

LA SINTAXIS SERÁ LA SIGUIENTE:

*filter

# Reglas a agregar

COMMIT

Ahora crearemos las siguientes reglas dentro de dicho archivo:

Loopback= Es la interfaz externa de Linux

-A INPUT -i lo -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

Ping= Nos permite comprobar las conexiones de red

-A INPUT -i eth0 -p icmp -m state --state NEW --icmp-type 8 -j ACCEPT

-A INPUT -i eth0 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

-A OUTPUT -o eth0 -p icmp -j ACCEPT

Web= Mediante estas reglas controlamos el tráfico entrante y saliente.

-A INPUT -i eth0 -p tcp -m state --state ESTABLISHED,RELATED --sport 80 -j

ACCEPT

-A INPUT -i eth0 -p tcp -m state --state ESTABLISHED,RELATED --sport 443 -j

ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT

En caso de agregar el DNS usaremos las siguientes líneas:

-A INPUT -i ens3 -s 192.168.0.1 -p udp --sport 53 -m state -

-state

ESTABLISHED,RELATED -j ACCEPT

-A OUTPUT -o ens3 -d 192.168.0.1 -p udp --dport 53 -m udp -j ACCEPT

Nota:

Aquí debemos modificar la IP según sea necesario

Tiempo= Estas reglas permiten la conexión a NTP para la correcta sincronización de la

hora

-A INPUT -i eth0 -p udp -m state --state ESTABLISHED,RELATED --dport 123 -

j

ACCEPT

-A OUTPUT -o eth0 -p udp -m udp --sport 123 -j ACCEPT

Impresión= Permite que los puertos USB para la conexión de impresoras sean habilitados

-A INPUT -p udp -m udp --dport 631 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT

-A OUTPUT -p udp -m udp --sport 631 -j ACCEPT

-A OUTPUT -p tcp -m tcp --sport 631 -j ACCEPT

Email= Podemos habilitar los diversos protocolos de correo electrónico

# IMAP

-A INPUT -i eth0 -p tcp -m state --state ESTABLISHED,RELATED --sport 993 -j

ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 993 -j ACCEPT

# POP3

-A INPUT -i eth0 -p tcp -m state --state ESTABLISHED,RELATED --sport 995 -j

ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT

# SMTP

-A INPUT -i eth0 -p tcp -m state --state ESTABLISHED,RELATED --sport

465 -j

ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT

SSH= Habilita las conexiones seguras al equipo usando el protocolo SSH

# Input
-A INPUT -i ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 22 -j
ACCEPT

-A OUTPUT -o ens3 -p tcp -m state --state ESTABLISHED --sport 22 -j

ACCEPT

# Output

-A OUTPUT -o ens3 -p tcp -m state --state NEW,ESTABLISHED --dport 22

-j ACCEPT

-A INPUT -i ens3 -p tcp -m state --state ESTABLISHED --sport 22 -j

ACCEPT

DHCP: Podemos crear reglas para autorizar el direccionamiento IP a través de

DHCP

-A INPUT -i eth0 -p udp -m state --state ESTABLISHED,RELATED --sport

67:68 -j

ACCEPT

-A OUTPUT -o eth0 -p udp -m udp --dport 67:68 -j ACCEPT

Rechazar todas las conexiones: Podemos agregar las siguientes líneas para
deshabilitar todo lo anterior:

-A INPUT -j REJECT

-A FORWARD -j REJECT

-A OUTPUT -j REJECT
Todas estas líneas serán agregadas en el archivo mencionado:

Guardamos los cambios

Ctrl+ O

Salimos del editor usando

Ctrl + X
2. IMPORTACIÓN DE LAS REGLAS USANDO IPTABLES LINUX

Una vez editado el archivo podremos importar dichas reglas en Iptable ejecutando el
siguiente comando:

sudo iptables -F && sudo iptables -X

Podremos ver el estado de las reglas usando el comando sudo iptables -S:

En caso de desear restaurar todas las reglas ejecutaremos la siguiente línea:

sudo iptables-restore < /tmp/itpables-ip4

Si deseamos que estas reglas sean permanentes ejecutaremos lo siguiente:

sudo apt install iptables-persistent

De esta forma Iptables es nuestra mejor aliada a la hora de configurar el firewall en

ambientes Linux.
DIAGRAMA
 DESCRIPCIÓN DE COMANDOS

• rpm -qa firewalld: comando usado para instalar el paquete firewall en CentOS o Redhat

• sudo apt install firewalld: comando usado para instalar el paquete firewall en Ubuntu
o Debian

• sudo systemctl start firewalld: permite iniciar el servicio

• sudo systemctl enable firewalld: habilita el servicio durante el arranque del sistema

• sudo systemctl status firewalld: permite ver el estado del servicio

• sudo firewall-cmd –-state: muestra si el servicio se está ejecutando

• sudo firewall-cmd --get-zones: muestra una lista de las zonas disponibles

• sudo firewall-cmd --get-services: muestra una lista de todos los servicios disponibles

• sudo firewall-cmd --get-default-zone: muestra la zona configurada por defecto

• sudo firewall-cmd --set-default-zone=xxx: cambiamos la zona predeterminada siendo

xxx el nombre de la zona

• sudo firewall-cmd --set-default-zone=xxx –permanent: cambiamos la zona

predeterminada siendo xxx el nombre de la zona de forma permanente

• sudo firewall-cmd --reload: recarga o reinicia el servicio

• sudo firewall-cmd --zone=home --add-interface=xxxx: añade una interfaz a la zona

home siendo xxxx el nombre de la interfaz

• sudo firewall-cmd --zone=public --remove-interface=enp0s3: elimina una interfaz de

la zona puplic
• sudo firewall-cmd --zone=public --change-interface= enp0s3: cambia una interfaz a
la zona public

• sudo firewall-cmd --get-active-zones: muestra las zonas activas con las funciones
habilitadas, como interfaces, servicios, puertos, protocolos

• sudo firewall-cmd --zone=home --list-all: muestra informacion sobre las zonas, como
lo que se ha habilitado o eliminado

• sudo firewall-cmd --info-zone public: muestra informacion sobre las zonas, como lo
que se ha habilitado o eliminado

• sudo firewall-cmd --permanent --zone=public --get-target: muestra el objetivo de una

zona permanente

• sudo firewall-cmd --permanent --zone=block --get-target: muestra el objetivo de una

zona permanente

• sudo firewall-cmd --permanent --zone=dmz --get-target: muestra el objetivo de una

zona permanente

• sudo firewall-cmd --permanent --zone=external --get-target: muestra el objetivo de

una zona permanente

• sudo firewall-cmd --permanent --zone=drop --get-target: muestra el objetivo de una

zona permanente

• sudo firewall-cmd --zone=public --permanent --add-port=80/tcp --

addport=443/tcp: añade los puertos 80 y 443 los cuales permiten el tráfico web entrante
a través de los protocolos HTTP y HTTPS

• sudo firewall-cmd --zone=public --permanent --remove-port=80/tcp --

removeport=443/tcp: bloquea los puertos 80 y 443 los cuales permiten el tráfico web
entrante a través de los protocolos HTTP y HTTPS
• sudo firewall-cmd --zone=public --permanent --add-service=http : habilita el
servicio http

• sudo firewall-cmd --zone=public --permanent --remove-service=http: remueve el

servicio http

• sudo firewall-cmd --zone=public --query-masquerade: verfica si en enmascarado ip

esta activo

• sudo firewall-cmd --get-icmptypes: muestra los tipos de ICMP

• sudo firewall-cmd --zone=home --add-icmp-block=echo-reply: agrega ICMP echo-

replay

• sudo firewall-cmd --zone=home --remove-icmp-block=echo-reply: remueve ICMP

echo-replay

• sudo firewall-cmd --zone=home --list-icmp-blocks: muestra los tipos de icmp

agregados a una zona

• sudo firewall-cmd --query-panic: verifica si el modo panico esta activo

• sudo firewall-cmd --panic-on: activa el modo panico

• sudo firewall-cmd --panic-off: desactiva el modo panico

• sudo firewall-cmd --lockdown-on: bloquea el servicio de firewall

• sudo firewall-cmd --lockdown-off: habilita el servicio de firewall

• sudo nano /etc/firewalld/firewalld.conf: ingresa al archivo firewalld.conf

• sudo nano /tmp/iptables-ip4: crea un archivo y lo habre

• sudo iptables -F && sudo iptables -X: importa las reglas creadas
• sudo iptables -S: verifica el estado de las reglas

• sudo iptables-restore < /tmp/itpables-ip4: restaura las reglas creadas

• sudo apt install iptables-persistent: hace que las reglas creads sean permanentes

RECOMENDACIONES

Como una recomendación si te paso este mismo error en Ubuntu te dejo la solución de
los comandos a ejecutar paso a paso

Comandos solución

1. Fuser -vki /var/lib/dpkg/lock

2. Sudo rm /var/lib/dpkg/lock

3. Sudo rm /var/lib/dpkg/lock-fronted

4. Sudo rm /var/lib/apt/lists/lock

5. Sudo rm /var/cache/apt/archives/lock

6. Sudo dpkg –configure -a

7. Sudo apt update

8. Sudo apt upgrade

CONCLUSIONES

Los firewalls de software y de hardware, tienen sus beneficios y limitaciones, por lo

cual antes de instalar cualquier tipo de firewall, es necesario realizar un estudio previo
para poder saber lo que realmente se necesita, para de esta manera poder realizar la
mejor inversión evitando el desperdicio de tiempo, dinero, etc.