ufw firewall no oculta varios puertos

Hola. Tengo Kubuntu 12.04. He activado el firewall ufw que viene por defecto. Suelo mirar una página para ver cómo está mi máquina que es Shields up y veo que varios puertos me aparecen visibles aunque cerrados. He probado esto:

sudo nano /etc/ufw/before.rules

-A ufw-before-input -p icmp –icmp-type echo-request -j ACCEPT

y esta línea la he cambiado por esta otra:

#-A ufw-before-input -p icmp –icmp-type echo-request -j ACCEPT

guardo los cambios y entonces reinicio ufw:

sudo /etc/init.d/ufw restart

Voy a la página de testeo y siguen apareciendo varios puertso visibles y cerrados. ¿Sabéis cómo hacer todos los puertos ocultos?. Gracias y saludos

algo como esto:

sudo ufw default deny

Pero esa solución cierra todo, te dejo una liga con todo el proceso bien explicado

paulinux escribió:

[...] veo que varios puertos me aparecen visibles aunque cerrados [...]

Los cortafuegos pueden rechazar peticiones entrantes de dos formas: reject y drop. La primer opción responde a la conexión pero la rechaza por lo que el equipo remoto logra saber que sí está habilitado el puerto aún cuando se le ha rechazado la conexión. La segunda opción no responde la conexión sino que simplemente "la deja caer" de tal forma que el equipo remoto se queda esperando alguna respuesta, ya sea afirmativa o negativa ... y al no haberla no puede determinar si el puerto está habilitado o no.

Alice: ¿Me amas?
Bob: No.

Alice sabe que Bob no la ama.

Alice: ¿Me amas?
Bob: [silencio total]

Alice no sabe si Bob la ama o no, simplemente porque no hubo respuesta alguna (ni positiva ni negativa) por parte de Bob. Alice no puede dar por hecho que sí, ni que no. Simplemente no lo sabe.

Intenta cambiar el comportamiento de tu cortafuegos para que en vez de REJECT haga DROP. ShieldsUp! probablemente ahora te dirá que no sabe porque ningún puerto respondió, pero que probablemente sí están habilitados y en espera de conexiones entrantes.

Por otro lado: asegúrate de que sea tu equipo el que está respondiendo a la prueba, y no algún otro equipo intermedio como tu enrutador/módem.

Saludos,
Sidd.

Muchas gracias por las respuesta. Bueno, me temo que el que responde en Shields Up es mi router Netgear 3300. No obstante en Shields Up al hacer el test la respuesta Ping ya no aparece y aún siguen los puertos visibles y cerrados. He buscado insistentemente por internet para ver cómo puedo hacer para que en el test me den ocultos pero no logro encontrar respuesta. ¿Sabéis de alguna forma?. Gracias y un saludo

paulinux escribió:

[...] He buscado insistentemente por internet para ver cómo puedo hacer para que en el test me den ocultos pero no logro encontrar respuesta. ¿Sabéis de alguna forma? [...]

Eeeeeh, lo acabo de explicar. ¿Leíste ya el manual de ufw?, ahí se explica cómo hacer lo que indiqué en mi comentario anterior:

man ufw escribió:

[...] Sometimes it is desirable to let the sender know when traffic is being denied, rather than simply ignoring it. In these cases, use reject instead of deny [...]

Fíjate en los ejemplos del manual.

El enrutador puedes configurarlo para que responda o no las peticiones de PING (ICMP 8 Echo Request, y ICMP 0 Echo Reply) desde WAN, es decir desde la Internet. Por ello es que la prueba desde ShieldsUp! puede haber cambiado su resultado ahora, si es que ya has cambiado algo en el enrutador. Ahora bien, si en el enrutador has creado reglas o redireccionamientos hacia varios puertos en tu equipo entonces el enrutador simplemente los deja pasar sin aplicar restricción alguna. Por ello es que si tu equipo está encendido las peticiones/conexiones desde la Internet llegarán hasta tu equipo, y es ahí donde debes indicar si las conexiones se aceptan, se rechazan, o se ignoran.

Saludos,
Sidd.