Sobre configuración del cortafuegos

Hola,
Tengo problemas para entender la configuración del cortafuegos, vengo de Debian, allí uso Gufw que es extremadamente simple, para una configuración básica, mi caso, siempre estoy conectado en casa, cableado, pero no lo veo aquí en el gestor de paquetes YaST, asumo no existe.

Al parecer viene ya áctivado´ por defecto, ¿no es así?.

Leyendo otros post en el foro… me instalé por la vía de comandos otro GUI pensando este sería mas fácil, según recomendaban, pero veo que es prácticamente lo mismo, tiene marcados en HOME dhcpv6-client, mdsn, samba-client y ssh: supongo es lo básico y que por eso está como ¨activado¨.

¿Es esto todo lo que debo tener?

Muchas gracias por alguna clarificación sobre el tema,

Saludos.

Hola:
El cortafuegos se encuentra en Yast en el apartado de seguridad y usuarios . El funcionamiento es sencillo (aunque ahí las indicaciones que me da son siempre las mismas; ejemplo en la red interna tengo añadido (todo a la derecha) ipp , al lado de servicios pone puertos, voy ahí y pone 631 (es uno de los que tengo añadido y su puerto correspondiente es el indicado) , pero si quiero ver otros puertos añadidos, no me los pone o solo me muestra el 631 (es como si no estuviese completo) .
y Si creo que está activo y funciona ok, se ve al principio cuando haces la instalación , de todas formas creo que se puede comprobar con iptables .
Saludos

Hola.

La configuración del cortafuegos depende en primer lugar de qué servicios uses o prestes. Por ejemplo si exportas carpetas para que sean accesibles desde Windows, tienes que tener las reglas(1) de samba, si quieres conectarte por ssh tienes que tener la de ssh, etc.

Lo más sencillo es imitar la configuración que tenías en Debian, y es de las cosas que deberían copiarse en algún lugar al migrar entre distribuciones. Yo suelo usar “public” ya que mantengo todo el acceso a la red cerrado en el router.

Obviamente, la mejor forma de saber si está bien es probar a usar las cosas, si funciona es que está bien :grinning:

El comando para esto es sudo firewall-cmd --list-all

(1) las reglas es como le indicas lo que tiene que hacer en cada caso, por ejemplo aceptar peticiones al servidor ssh desde la red interna.

keos@localhost:~> sudo firewall-cmd --list-all
[sudo] contraseña para root:
public (default, active)
target: default
ingress-priority: 0
egress-priority: 0
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
keos@localhost:~>

Cita

Además, esta este otro resultado en la configuracion …
la verdad que es una pena que no exista Gufw aquí, su carencia complica mucho todo este tema del cortafuegos:

Configuración de seguridad Estado Estado de seguridad
Utilizar teclas Magic SysRq Configurar Ayuda
Utilizar permisos de archivo seguro Configurar Ayuda
Acceso remoto al gestor de pantalla Desconocido Ayuda
Generar siempre mensajes syslog para los guiones cron Inhabilitado Ayuda
Ejecutar el daemon DHCP en un chroot Desconocido Ayuda
Ejecutar el daemon DHCP como usuario dhcp Desconocido Ayuda
Inicio de sesión remota como root en el gestor de pantalla Desconocido Ayuda
Acceso remoto al servidor X Desconocido Ayuda
Acceso remoto al subsistema de entrega de correo Inhabilitado :heavy_check_mark: Ayuda
Reiniciar los servicios al actualizar Inhabilitado :heavy_check_mark: Ayuda
Detener los servicios al eliminar Inhabilitado :heavy_check_mark: Ayuda
Habilitar TPC syncookies Inhabilitado Ayuda
Reenvío de IPv4 Inhabilitado :heavy_check_mark: Ayuda
Reenvío de IPv6 Inhabilitado :heavy_check_mark: Ayuda
Habilitar servicios básicos del sistema Configurar :heavy_check_mark: Ayuda
Inhabilitar servicios adicionales Configurar Ayuda

A ver, meu, tienes veintisietemil fronted para el cortafuegos, vale, quizás alguno menos. Pero si lo consideras tan necesario, instálalo y ya está:

https://software.opensuse.org/package/gufw?search_term=Gufw

Pero por ejemplo en Plasma tienes el cortafuegos en Configuración del Sistema → Redes → Wifi e Internet → Cortafuegos, y es el mecanismo de un chupete. Supongo que el resto de escritorios tendrán alguna herramienta similar. Para que veas la pinta que tiene:


La lista que indicas a continuación no es el cortafuegos, sino una serie de parámetros que puedes querer revisar. Cuanto más seguro y robusto es el sistema de utilizar, más complicado es. Por ejemplo, las Magic SysRq son un buen recurso cuando hay un bloqueo absoluto del sistema. Pero son una debilidad más. “Permisos de archivo seguro” afectan a cómo se utilizan y comparten los ficheros del sistema, y puede afectar a cosas como tener dos sesiones de usuario diferentes en el mismo sistema. openSUSE, como la mayoría de distros, opta por un enfoque “fácil” (pero tampoco inseguro) que el usuario puede endurecer si lo necesita.

Asumo que antes hay que desinstalar el firewall que viene con opensuse e instalar ufw, ¿como debo proceder?. Gracias.

Si no te manejas bien con los cortafuegos, olvídate de “firewall-config” y céntrate en la interfaz para el cortafuegos de YaST que es mucho más sencilla. Y déjate de historias con Gufw, que vas a ver que el cortafuegos de YaST es tan sencillo o más aún.

La interfaz de cortafuegos de YaST tiene un primer apartado que solo sirve para activar y desactivar el cortafuegos, y dos apartados, donde está la chicha, llamados “Interfaces” y “Zonas”:

  • En Interfaces solo tienes que elegir a qué zona quieres asignar cada tarjeta de red. Las zonas son como los “perfiles” de Gufw, con la diferencia de que aquí se asignan las tarjetas de red a zonas, de manera independiente, en lugar de usar perfiles globales que afectan a todas las tarjetas: por ejemplo, puedes querer que la tarjeta Ethernet funcione, por defecto, en la zona “Interna”, que podría ser como el perfil “Casa” de Gufw, porque es como te conectas en casa, pero que la tarjeta WIFI se conecte, por defecto, a la zona Pública, que podría ser como el perfil “Público” de Gufw, porque es como te conectas cuando estás fuera de casa. Como ves, es lo mismo solo que con YaST tienes una zona por defecto para cada tarjeta, en lugar de tener que andar cambiando de perfil global cada vez que cambias de contexto; aunque en YaST puedes cambiar las tarjetas de zona en cualquier momento.

  • En Zonas, vas a la zona que quieras configurar y ahí tienes dos pestañas: Servicios y Puertos.

    • Los Servicios son conjuntos preconfigurados de puertos que se suele necesitar tener abiertos para ese servicio en cuestión: son como la pestaña de “Preconfigurados” (Preconfigured) de Gufw que sale por defecto cuando le das a añadir regla. Por ejemplo, si añades el servicio Samba (o SMB), te abrirá el puerto 445, si añades el servicio Netbios (o NMB) te añadirá los puertos 137, 138 y 139, etc., para que no tengas que andar averiguando qué puertos te hace falta abrir para poner en marcha un servicio.
    • La pestaña de Puertos es como la pestaña “Avanzado” que sale en Gufw cuando le das a añadir regla: te deja hacer lo mismo que se hace en la de Servicios pero seleccionando directamente los puertos, y se suele usar cuando tienes servicios operando en puertos no estándar o cuando activas algún servicio poco conocido que no sale en el listado de la pestaña Servicios.

Como ves, la cosa no puede ser más sencilla, y el funcionamiento es, en realidad, casi idéntico al de Gufw; no te dejes asustar solo porque la interfaz sea distinta…

Edito: una diferencia que sí tienen Gufw (que usa por debajo ufw) y el Cortafuegos de YaST (que usa por debajo firewalld) es que el segundo (por limitación de firewalld) no permite bloquear todo el tráfico saliente por defecto, como sí permite Gufw (ufw): con firewalld el tráfico saliente siempre está permitido y para bloquearlo por defecto tendrías que tirar directamente de iptables.

Un saludo.

En Interfaces solo tienes que elegir a qué zona quieres asignar cada tarjeta de red.

No es nada comprensible para mi nivel actual de entendimiento en estos asuntos …

¿que se yo sobre que ¨zonas quería o no asignar a cada tarjeta de red", – entiendes ahora el nivel de mi ignorancia y por que Gufw es para gente así lo ideal?
No te comento sobre el resto de tu muy buen intencionado comentario porque simplemente es chino para mis torpes entendederas y como bien dices al final:

no permite bloquear todo el tráfico saliente por defecto, como sí permite Gufw (ufw)

es exactamente esto lo que lo hace absolutamente fácil de operar para los no entendidos en esos tecnicísmos – dos clicks y asunto terminado.

Si no puedo instalar Gufw, no puedo usar el sistema.

Caso cerrado

Muchas gracias

la interfaz gráfica Gufw no está disponible en openSUSE (creo, o por lo menos en mis repos no está)
Pero ufw que controla la interfaz gráfica sí lo está. Puedes instalar ufw y manejarlo desde la línea de comandos:

Saludos.

1 Like

Asumo que usas Leap, yo uso Tumbleweed. Asumo que usas Plasma, pero viniendo de Debian es probable que uses Gnome o alguna de sus encarnaciones.

Hombre, eso es muy exagerado. Para que te hagas una idea, las variantes de MicroOS(1) Aeon y Kalpa no usan cortafuegos en absoluto.

Además, openSUSE integra firewalld, lo que hace que el uso sea muy sencillo: hay un montón de cosas que abren los puertos correctos casi automáticamente, con darle a un botón “abrir puerto en el cortafuegos”. Es posible que algunas de esas facilidades no funcionen bien con un cortafuegos diferente de firewalld.

Firewalld le llama zonas. Por lo que veo, ufw le llama perfiles, como te ha indicado Bauglir.

Antes de instalar nada, yo te sugiero que en lugar del cortafuegos de YaST pruebes el de tu escritorio. En particular, el de Plasma(2) es más sencillo aún.
Veamos(3):


(Acabo de darme cuenta que en esa vista no se ve la columna de la derecha donde está el icono de borrar! :rofl: )

Tanto ufw como firewalld usan iptables, son meros frontends que te permiten añadir reglas de forma relativamente sencilla. Lo de las zonas es fácil, en realidad se asigna una por defecto y para la mayoría en su casa es más que suficiente.

Salud!!

(1) Que a su vez es una variante de Tumbleweed.
(2) Tumbleweed viene con Plasma 6 (si eliges el escritorio Plasma) y Leap con Plasma 5. Habrá ligeras diferencias en la organización de Configuración del Sistema y de la herramenta de interfaz al cortafuegos en particular.
(3) Devasa es Cortafuegos en gallego

Hay algún proyecto personal (home) en los repos personales. No es óptimo, precisamente, pero por eso que no sea. Pero instalarlo lleva a instalar y configurar ufw.

No tengo Plasma instalado.
Lo que tengo es esto:

Dice en ´Estado Actual´: ´Activo´ pero yo no he hecho nada, por eso abrí el Post, quería saber si es que viene activado por defecto.

La instalación de openSUSE ofrece un resumen de las características más relevantes de la instalación. En principio, eso incluye que el cortafuegos está activo.

Si pinchas en “zonas” te indicará la que está configurada “por defecto” (Public seguramente). Luego basta con seleccionar public y añadir los puertos o servicios que quieras. Por ejemplo, si no has abierto el puerto de SSH y quieres abrirlo, basta con que pinches en Public y en la pestaña Servicios busques ssh o bien sshd.

Naturalmente, viene bien configurado por defecto, así que sólo deberás añadir reglas cuando necesites, ejem, añadir reglas.

Aquí no veo como seleccionar alguna cosa, ¿estoy omitiendo algún otro paso?.

Hola :
Sys Rq , para mi tiene mas a favor que en contra (reinicia subnormal) , puedes salir del servidor x , reiniciar y apagar equipo, y muchas mas cosas ,por ejemplo el resetear el equipo, es mucho mejor que el pulsar el del pc , por algo le llaman las teclas mágicas , el sysrq es la tecla imprimir pantalla, ejemplo ALT+ Imp Pantalla + b , reinicia el equipo, si es alt+imp pan+ o lo apagas (las teclas están compuestas por lo de reinicia sub…, es una forma de no olvidarlas) .
Puedes cambiar el perfil del equipo, según su uso : servidor, personalizado, estación de trabajo, etc, ademas de usar otro para archivos, sencilla, normal y paranoico, hay muchas mas cosas, como delimitar el uso a los usuarios , en el manejo de partes y servicios del equipo.

Si vienes de otra distro, te recomiendo que leas la documentación, ya de por si y con AppAmor y demás utilidades, es bastante seguro.
Puede que lo que busques este un poco repartido, claves , cortafuegos, gestión usuarios y grupos, etc… y a veces, duplicado, pero en yast, te encuentras casi de todo, y aún hay cosas que han quitado o mas que puedas añadir .

En redes se puede configurar lo de las tarjetas (en wifi , ni idea, ya que uso red cableada y si es gnome, menos idea) pero en definitiva yast es parte del sistema, ya sea plasma o gnome, y ahí tienes todo bastante resumido y unificado (tanto que se le suele coger cariño) .
Saludos

El cortafuegos viene activado por defecto, las explicaciones que te hemos estado dando son bajo la suposición de que necesitabas abrir puertos o añadir servicios: si solo quieres asegurarte de tenerlo activo y protegiendo, ya lo tienes activo, así que puedes olvidarte del tema.

Hola.

Te pongo la misma captura para que lo veas mejor:

Por otro lado, en un futuro próximo es muy probable que mucho o todo de lo que hacemos con YaST se haga con Cockpit, y por ahora tiene una vista bastante cómoda de usar:

Ese Yast es horrible, estas usando el basado en ncurses? Olvidate de ese y usa el que esta basado en Qt5/6 de Plasma o el Gtk de Gnome, porqué tiene una ayuda que te explica las distintas opciones.

Ademas, el firewall esta activado por defecto y solo necesitaras abrir algun puerto.

Bueno, no tiene Plasma así que probablemente tampoco tenga el QT o incluso si lo tuviera dependería del tema.