Un aspecto fundamental de la seguridad de todo equipo informático conectado a una red radica en su cortafuegos, la aplicación (aunque en algunos casos puede ser un dispositivo completo) encargada de regular las conexiones entrantes y salientes, en base a unas reglas predefinidas.
En Linux, no existe un cortafuegos como acostumbramos a entenderlo en entornos Windows, sino que técnicamente sus funciones se dividen entre varios programas que trabajan en sucesivas capas.
Nivel 1: Netfilter
Netfilter es un framework integrado en el mismo kernel de Linux, que permite al sistema operativo llevar a cabo diversas operaciones relacionadas con las redes (traducción de direcciones y puertos, filtrado de paquetes, rastreo de conexiones, etc).
Pero el usuario no interactúa directamente con Netfilter, sino que éste se limita a proporcionar una API que permite a otro software actuar como intermediario.
Nivel 2: Iptables / Nftables
Iptables es una herramienta que podemos invocar desde la línea de comandos, y que desembarcó en Linux a partir del lanzamiento de la versión 2.4 del kernel como sustituto del ya obsoleto ipchains.
Este software es el que nos permite modificar los parámetros de trabajo de Netfilters, estableciendo para ello conjuntos de reglas de filtrado. Veamos un ejemplo de un comando que permite establecer dichas reglas:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.167.1.1:80
Pero también Iptables está empezando a ser sustituido por una nueva generación de software, en este caso por Nftables (que sustituye también a otras herramientas como ip6tables, arptables y ebtables).
Nftables es una herramienta más flexible y escalable y usa una sintaxis más compacta e intuitiva (también más funcional, pues permite establecer varias acciones en una misma regla).
Una aplicación llamada iptables-translate permite traducir las viejas reglas iptables al nuevo formato. El comando que vimos más arriba quedaría traducido así:
nft add rule ip nat PREROUTING tcp dport 80 counter dnat to 192.167.1.1:80
Nivel '2,5': Front-ends no-gráficos
Aunque Nftables haya dado pasos hacia la simplificación de la tarea de crear reglas para el firewall de Linux, han ido surgiendo otras herramientas, de uso opcional, que se superponen a Nftables e Iptables y que facilitan la configuración de nuestro cortafuegos.
Tres ejemplos bastante populares serían los siguientes:
UFW: Siglas de 'Uncomplicated Firewall', una herramienta para usuarios domésticos creada por Canonical para Ubuntu, que lo incluye por defecto desde la versión 8.04.
APF: Siglas de 'Advanced Policy Firewall'. En este caso, estamos ante un software específicamente diseñado para proteger servidores
Shorewall: Shorewall es otro cortafuegos, avanzado y polivalente, que podemos manejar desde la terminal.
Nivel 3: Front-ends gráficos
Los usuarios que provengan de Windows y Mac sin duda preferirán contar con herramientas gráficas que les permitan configurar sus cortafuegos de un modo más similar a como están acostumbrados a hacerlo. Incluso los linuxeros de toda la vida pueden agradecer contar con una aplicación de escritorio que les facilite la tarea.
Estas aplicaciones pueden funcionar directamente sobre iptables/nftables o bien sobre programas como UFW. Algunos ejemplos serían:
GUFW: GUFW es la interfaz gráfica oficial de UFW. Centrado en la usabilidad, viene de serie con toda usa serie de reglas preconfiguradas para aplicaciones y servicios concretos que podemos ir configurando.
Douane: Douane está dotado de una interfaz sencilla, por no decir simplista, para usuarios domésticos que no quieran complicarse la vida.
OpenSnitch: OpenSnitch es una aplicación para Linux creada a partir del código de un cortafuegos nativo de MacOS, Little Snitch.
Fuente: https://www.genbeta.com/linux/mejores-cortafuegos-para-proteger-tu-equipo-linux