En este tutorial, le mostraremos cómo instalar y usar el sistema de firewall UFW en un VPS de Linux que ejecuta Debian 9. La seguridad es un aspecto muy importante a tener en cuenta cuando ejecuta su propio servidor.
UFW (Uncomplicated Firewall) es un front-end simple y fácil de usar para administrar las reglas de firewall de iptables:UFW tiene como objetivo proporcionar una interfaz fácil de usar para el usuario, haciendo que un servidor seguro sea más accesible para más usuarios. Está especialmente diseñado para usuarios principiantes que no están familiarizados con los conceptos de firewall.
Comencemos con la instalación.
Requisitos
- Para los propósitos de este tutorial, usaremos un VPS Debian 9.
- También se requiere acceso completo a la raíz SSH o un usuario con privilegios sudo.
Paso 1:Conéctese a través de SSH y actualice el sistema operativo
Conéctese a su servidor a través de SSH como usuario raíz usando el siguiente comando:
ssh root@IP_ADDRESS -p PORT_NUMBER
Recuerde reemplazar "IP_ADDRESS" y "PORT_NUMBER" con la dirección IP y el número de puerto SSH respectivos de su servidor.
Antes de comenzar con la instalación, deberá actualizar los paquetes de su sistema operativo a sus últimas versiones. Es fácil de hacer y no te llevará más de unos minutos.
Puede hacerlo ejecutando el siguiente comando:
apt-get update apt-get upgrade
Una vez que se completan las actualizaciones, podemos pasar al siguiente paso.
Paso 2:Instalar UFW
De forma predeterminada, UFW no está instalado en Debian 9. Podemos instalar UFW ejecutando el siguiente comando:
apt-get install ufw
Una vez completada la instalación, podemos verificar el estado de UFW usando el siguiente comando:
ufw status verbose
El resultado debe ser similar al siguiente:
Status: inactive
UFW está deshabilitado de forma predeterminada para evitar un bloqueo del servidor.
Paso 3:permitir conexiones SSH
De forma predeterminada, todas las conexiones entrantes a su Debian VPS están bloqueadas por UFW; nadie puede conectarse a él. Por lo tanto, necesitaremos permitir las conexiones SSH entrantes antes de habilitar el firewall UFW.
ufw allow ssh
o
ufw allow 22/tcp
Paso 4:habilitar UFW
Para habilitar UFW, podemos usar el siguiente comando:
ufw enable
Una vez habilitado, UFW bloqueará todas las conexiones entrantes y permitirá todas las conexiones salientes. Para comprobar la configuración por defecto, podemos utilizar el siguiente comando:
ufw show raw
O
grep 'DEFAULT_' /etc/default/ufw
La salida se verá así:
DEFAULT_INPUT_POLICY="DROP" DEFAULT_OUTPUT_POLICY="ACCEPT" DEFAULT_FORWARD_POLICY="DROP" DEFAULT_APPLICATION_POLICY="SKIP"
¡Eso es todo! Su servidor ahora tiene UFW instalado y habilitado. Como puede ver, por defecto, todas las conexiones entrantes son denegadas. Necesitamos específicamente abrir un puerto si queremos acceder al servidor de forma remota.
Permitir otros servicios
Es posible que también debamos permitir algunas otras conexiones entrantes.
ufw allow 21/tcp ufw allow 80/tcp ufw allow 443/tcp
Podemos verificar el estado de UFW usando el siguiente comando:
ufw status
El resultado debe ser similar al siguiente:
Status: active To Action From -- ------ ---- 22/tcp ALLOW Anywhere 21/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6) 21/tcp (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6) 443/tcp (v6) ALLOW Anywhere (v6)
Si queremos denegar el acceso al puerto 80 por ejemplo, tenemos que ejecutar el siguiente comando:
ufw deny 80/tcp
Para eliminar la regla que permite las conexiones entrantes en el puerto 21, ejecute el siguiente comando:
ufw delete allow 21/tcp
Permitir conexiones desde direcciones IP específicas y rangos de puertos
También podemos permitir conexiones desde una dirección IP específica con el siguiente comando:
ufw allow 192.168.10.100
Podemos usar una máscara de subred para ampliar el rango:
ufw allow 192.168.10.0/24
También podemos combinar la dirección IP, el puerto y el protocolo con un solo comando. Por ejemplo, para permitir la conexión solo desde la IP 192.168.10.100, protocolo tcp, y al puerto 22, tenemos que ejecutar el siguiente comando:
ufw allow from 192.168.10.100 proto tcp to any port 22
También podemos especificar rangos de puertos con UFW. Por ejemplo, para permitir los puertos TCP 1100 a 1200, ejecute el siguiente comando:
ufw allow 1100:1200/tcp
Si queremos permitir UDP en los puertos 1100 a 1200, por ejemplo, tenemos que usar el siguiente comando:
ufw allow 1100:1200/udp
Rechazo de conexiones entrantes
El UFW con sintaxis de denegación simplemente ignora el tráfico. Para que el remitente sepa cuándo se niega el tráfico, ejecute el siguiente comando:
ufw reject 443
Si alguien intenta conectarse al puerto 443, recibirá el siguiente mensaje de rechazo:
telnet: Unable to connect to remote host: Connection refused
Visualización de informes UFW
Podemos listar las reglas tal como fueron agregadas con el siguiente comando:
ufw show added
El resultado debe ser similar al siguiente:
Added user rules (see 'ufw status' for running firewall): ufw allow 22/tcp ufw allow 21/tcp ufw allow 80/tcp ufw allow 443/tcp
Deshabilitar UFW
Si por alguna razón necesitamos deshabilitar UFW, podemos ejecutar el siguiente comando:
ufw disable
Para restablecer todas las reglas a su configuración predeterminada, utilice el siguiente comando:
ufw reset
Podemos usar el indicador –help para más comandos de uso:
ufw --help
Eso es todo:en este tutorial, aprendimos cómo instalar y habilitar el sistema de firewall UFW, y también cubrimos cómo agregar y eliminar reglas en él, con diferentes niveles de criterios.
Por supuesto, no tiene que configurar un cortafuegos con UFW en Debian 9 si utiliza uno de nuestros servicios de alojamiento VPS de Debian gestionados, en cuyo caso simplemente puede solicitar a nuestros administradores expertos de Linux que instalen y configuren UFW en Debian 9 por usted. . Están disponibles las 24 horas del día, los 7 días de la semana y atenderán su solicitud de inmediato.
PD . Si le gustó esta publicación sobre cómo configurar un firewall con UFW en Debian 9 , compártalo con sus amigos en las redes sociales utilizando los accesos directos para compartir a continuación, o simplemente deje un comentario en la sección de comentarios. Gracias.