UFW, abreviatura de “firewall sencillo”, es una interfaz para aplicaciones más complejas.
iptables
utilidad. Está diseñado para hacer que la administración de un firewall sea tan simple como configurar los puertos para que estén abiertos y cerrados, y regular el tráfico que se permite pasar.
Configurar UFW
UFW está instalado por defecto en Ubuntu, pero si no es así, puedes instalarlo desde
apt
:
sudo apt-get install ufw
Si estás ejecutando otra distribución, tendrás que usar el administrador de paquetes de esa distribución, pero UFW está ampliamente disponible. Puedes comprobar el estado del firewall con:
sudo ufw status
Que debería decir “Inactivo” si no lo has configurado antes.
Un buen lugar para comenzar con cualquier firewall es cerrar todo el tráfico entrante y permitir el tráfico saliente. No te preocupes, esto no cortará tu conexión SSH de inmediato, ya que el firewall aún no está habilitado.
sudo ufw default deny incomingsudo ufw default allow outgoing
Esto nos da una pizarra en blanco con la que trabajar y agregar reglas encima.
Abriendo puertos con UFW
Para abrir puertos, use el comando ufw enable. Por ejemplo, necesitarás abrir el puerto 22, así que continúa y ejecuta:
sudo ufw allow 22
También puedes dejar una nota para tu yo futuro cuando agregues cualquier regla:
sudo ufw allow 8080/tcp comment 'Open port for Express API'
Muchas aplicaciones instalan perfiles para UFW, siendo SSH uno de ellos. Así también puedes permitir que ciertas aplicaciones abran los puertos que requieren especificando el nombre:
sudo ufw allow ssh
Puede ver una lista de aplicaciones disponibles con la lista de aplicaciones ufw y ver detalles sobre una aplicación con información de la aplicación ufw [name].
También puede permitir una amplia gama de puertos utilizando dos puntos como separador y puede especificar un protocolo. Por ejemplo, para permitir sólo el tráfico TCP en los puertos del 3000 al 3100, puede ejecutar:
sudo ufw allow 3000:3100/tcp
Dado que el valor predeterminado está configurado para denegar la entrada, no tendrá que cerrar ningún puerto manualmente. Si desea cerrar un puerto saliente, deberá especificar una dirección junto con el rechazo de ufw:
sudo ufw reject out 3001
Lista blanca y limitación de tarifas con UFW
Puede permitir que ciertas direcciones IP tengan permisos diferentes. Por ejemplo, para permitir todo el tráfico desde su dirección IP, podría ejecutar:
sudo ufw allow 192.168.1.1
Para incluir puertos específicos en la lista blanca, deberá utilizar la sintaxis más completa:
sudo ufw allow proto tcp from 192.168.1.1 to any port 22
Probablemente no querrás incluir en la lista blanca el acceso SSH de esta manera a menos que tengas una conexión de respaldo o algún tipo de configuración de acceso a puertos, ya que las direcciones IP cambian con bastante frecuencia. Una opción si desea restringir el acceso SSH solo a usted es configurar un servidor OpenVPN en la misma nube privada y incluir en la lista blanca el acceso a ese servidor.
Si desea incluir en la lista blanca un bloque completo de direcciones IP, como es el caso cuando ejecuta sus servidores a través de un proveedor de nube privada virtual, puede utilizar la notación de subred CIDR estándar:
sudo ufw allow 192.168.0.0/24
Las subredes son bastante complicadas, por lo que puedes leer nuestra guía para trabajar con ellas para obtener más información.
La limitación de velocidad es otra característica útil de los firewalls que pueden bloquear conexiones que son obviamente abusivas. Esto se utiliza para proteger contra un atacante que intenta forzar bruscamente un puerto SSH abierto. Obviamente, podría incluir el puerto en la lista blanca para protegerlo por completo, pero la limitación de velocidad es útil de todos modos. De forma predeterminada, la velocidad UFW limita 6 conexiones cada 30 segundos y está diseñada para usarse para SSH:
sudo ufw limit ssh
Activar UFW
Una vez que haya terminado de configurar sus reglas, puede habilitar UFW. Asegúrese de que SSH en el puerto 22 esté abierto, o te quedarás fuera. Si lo desea, puede desactivar la ejecución de UFW en el arranque para que un reinicio solucione cualquier problema potencial:
sudo systemctl disable ufw
Luego, puedes habilitar UFW con:
sudo ufw enable
Si todo está bien, puede ejecutar ufw status para ver el estado actual del firewall. Si no está bloqueado y el firewall se está ejecutando, configúrelo para que se ejecute al arrancar con:
sudo systemctl enable ufw
Cada vez que realice cambios, deberá recargar el firewall con:
sudo ufw reload
También puede activar el registro para registrar conexiones en /var/log/:
sudo ufw logging on
Administrar y eliminar reglas
Si desea eliminar una regla, deberá obtener su número con:
sudo ufw status numbered
Tenga en cuenta que los números comienzan en 1, no en 0. Puede eliminar una regla por número:
sudo ufw delete [number]
Nuevamente, asegúrese de no eliminar su regla manteniendo abierto el puerto 22. Puede usar el parámetro –dry-run para que UFW le solicite confirmación:
Si realiza algún cambio, deberá volver a cargar el firewall.
