Cortafuegos Firewalld

28 de noviembre de 2020

Guía rápida para instalar y configurar Firewalld en un sistema Debian (aplicable en gran parte a Fedora). Está pensada como referencia personal rápida para entornos de escritorio.

1. Instalación

sudo apt install firewalld

Opcional: instalar la interfaz gráfica (firewall-config):

sudo apt install firewall-config

2. Integración con systemd (arranque automático)

Firewalld se gestiona mediante systemd. Es importante asegurarse de que el servicio se inicia automáticamente con el sistema.

Habilitar el servicio en el arranque:

sudo systemctl enable firewalld

Iniciar el servicio manualmente (para la sesión actual):

sudo systemctl start firewalld

Comprobar el estado completo del servicio:

sudo systemctl status firewalld

Verificar de forma rápida si el cortafuegos está activo (debería devolver running):

sudo firewall-cmd --state

3. Configuración de zonas

Mostrar la zona asignada por defecto:

sudo firewall-cmd --get-default-zone

Cambiar la zona predeterminada. Para un equipo de escritorio conectado a una red doméstica de confianza, lo ideal es usar la zona home:

sudo firewall-cmd --set-default-zone=home

4. Servicios y puertos permitidos

4.1. KDE Connect

En las versiones modernas de firewalld, KDE Connect ya viene como un servicio preconfigurado, por lo que no es necesario abrir los puertos manualmente. Puedes añadirlo directamente así:

sudo firewall-cmd --zone=home --permanent --add-service=kdeconnect

Nota: Si por alguna razón tu sistema es antiguo y el comando anterior falla, puedes abrir el rango de puertos explícitamente:
sudo firewall-cmd --zone=home --permanent --add-port=1714-1764/tcp
sudo firewall-cmd --zone=home --permanent --add-port=1714-1764/udp

4.2. Samba

Para permitir el uso compartido de archivos en red mediante el servicio Samba:

sudo firewall-cmd --zone=home --permanent --add-service=samba

5. Aplicar los cambios

Siempre que modifiques las reglas usando el parámetro --permanent, debes recargar la configuración para que entren en vigor inmediatamente:

sudo firewall-cmd --reload

6. Comprobaciones útiles

Listar toda la configuración de la zona activa actual (servicios y puertos abiertos):

sudo firewall-cmd --list-all

Listar explícitamente las reglas permanentes:

sudo firewall-cmd --list-all --permanent

7. Notas adicionales

Firewalld debe estar en ejecución (running) para poder aplicar reglas dinámicas.
Las reglas aplicadas sin el flag --permanent funcionarán de inmediato en la sesión actual, pero se perderán al reiniciar el equipo.
Si algo no funciona correctamente, revisa primero el estado del servicio con systemctl status firewalld para descartar bloqueos en el demonio.