Cómo configurar un cortafuegos con UFW en Ubuntu 18.04

Introducción

El primer paso para asegurar su sistema es configurar un firewall. Para configurar y administrar su firewall, Linux ha diseñado iptables , una utilidad de cortafuegos flexible.

Los usuarios que son nuevos en la seguridad de la red pueden encontrar iptables un poco intimidantes. Es por eso que recomendamos comenzar con UFW. UFW (Firewall sin complicaciones) es una interfaz fácil de usar implementada sobre iptables. Proporciona una forma sencilla de configurar un cortafuegos.

En este tutorial, aprenderá cómo configurar la protección de firewall de su sistema Ubuntu 18.04 con UFW.

Requisitos previos

• Una cuenta de usuario con sudo privilegios
• Acceso a una línea de comando/ventana de terminal (Ctrl –Alternativo –T )

Configurar UFW desde la línea de comandos

Instalar UFW en Ubuntu

UFW viene preinstalado con Ubuntu 18.04.

En el caso improbable de que no tenga UFW, ejecute el siguiente comando para instalarlo:

sudo apt install ufw

Configurar UFW para admitir IPv6

Si el sistema tiene tanto IPv4 como IPv6, debe modificar el archivo de configuración de UFW para admitir ambos protocolos.
Abra el archivo usando Nano o cualquier otro editor de texto:

sudo nano /etc/default/ufw

El IPv6 el valor debe establecerse en yes .

Guardar y cerrar el archivo.

Configurar la política de UFW predeterminada

La configuración predeterminada de UFW está establecida para permitir todas las conexiones salientes y denegar todas las conexiones entrantes.

Estas reglas funcionan bien para computadoras personales que no necesitan responder a las solicitudes entrantes.

Si desea volver a la configuración predeterminada, ejecute los siguientes comandos:

sudo ufw default deny incoming

sudo ufw default allow outgoing

Permitir conexiones SSH

Si planea conectarse a su servidor desde ubicaciones remotas, debe configurar UFW para permitir conexiones SSH entrantes.
Configure UFW para permitir conexiones SSH con el comando:

sudo ufw allow ssh

Habilitar UFW

Una vez que haya configurado el firewall para permitir conexiones SSH, puede habilitarlo con:

sudo ufw enable

El resultado le informará que las conexiones SSH existentes podrían interrumpirse al habilitar el firewall. Confirme que desea continuar escribiendo y y pulsando Intro .

El resultado debería informarle que el firewall ahora está activo, como en la imagen a continuación:

Verificar estado de UFW

Para verificar el estado de UFW y luego establecer reglas, ejecute el comando:

sudo ufw status verbose

Verá su estado, la configuración predeterminada y qué puertos están abiertos para la conexión como en la imagen a continuación.

Agregar más reglas UFW

Puede agregar más reglas para definir aún más el alcance de la comunicación que tiene el servidor.

Especifique qué conexiones están permitidas y cuáles están denegadas.

Permitir conexiones entrantes en otros puertos

Dependiendo de para qué use el servidor, es posible que deba abrir algunos otros puertos para permitir conexiones entrantes específicas. Cree reglas UWF adicionales para agregar estas conexiones a la configuración de su firewall.

Configure su servidor para escuchar HTTP (en el puerto 80) escribiendo:

sudo ufw allow http

O:

sudo ufw allow 80

Para habilitar conexiones HTTPS , utilice uno de los siguientes dos comandos:

sudo ufw allow https

sudo ufw allow 443

Es posible que esté utilizando el servidor como una máquina remota a la que desea acceso completo desde su sistema doméstico. Para establecer una regla que permita el acceso a todos los puertos desde una IP específica dirección, ejecute:

sudo ufw allow from [IP.address]

Para permitir el acceso desde una máquina en particular a un puerto específico ejecuta el comando:

sudo ufw allow from [IP.address] to any port [port number]

Para permitir el acceso a una variedad de puertos , especifique los valores del rango y el tipo de protocolo (TCP o UDP). Por ejemplo, el siguiente comando permitirá conexiones desde los puertos 2000 a 2004 para TCP y UDP:

sudo ufw allow 2000:2004/tcp

sudo ufw allow 2000:2004/udp

Denegar conexiones entrantes en otros puertos

Para crear una regla de denegación para prohibir la conexión desde una IP específica dirección ejecute el comando:

sudo ufw deny from [IP.address]

También puede denegar el acceso a determinados puertos escribiendo:

sudo ufw deny from [IP.address] to any port [number]

Eliminar reglas de UFW

Si desea eliminar una regla que ya no necesita, hay dos formas de hacerlo.

Una opción es mostrar una lista de todas las reglas y encontrar el número asignado de la regla. Primero, ejecuta el comando:

sudo ufw status numbered

Como en la imagen de arriba, la salida mostrará una lista de las reglas que ha definido hasta ahora. Cada regla tiene un número según el orden en que se estableció.

Para eliminar una regla, utilice la siguiente sintaxis con el número de regla adecuado:

sudo ufw delete [rule_number]

Una forma alternativa de eliminar una regla es especificarla palabra por palabra (tal como la agregó):

sudo ufw delete [rule]

Por ejemplo, para eliminar una regla que permite la conexión al puerto 2000, use el comando:

sudo ufw delete allow 2000

Perfiles de aplicación

Cada paquete instalado con el apt comando tiene un perfil de aplicación en /etc/ufw/applications.d directorio. El perfil proporciona información sobre el software y su configuración de UFW.

Para ver una lista de todos los perfiles de aplicación, use el comando:

sudo ufw app list

Vea más información sobre un paquete específico (junto con puertos abiertos) escribiendo:

sudo ufw app info '[package name]'

En el siguiente ejemplo, solo hay un perfil de aplicación:CUPS. La app info La opción muestra que el paquete abre el puerto 631.

Configurar UFW a través de GUI

Instalar GUFW en Ubuntu

Si prefiere administrar su firewall UFW sobre una interfaz gráfica de usuario, puede instalar GUFW.

Esto se puede hacer ejecutando algunos comandos en la terminal o usando el centro de software de sistemas.

Opción 1:instalar GUFW a través de la terminal

1. Para configurar GUFW, primero debe habilitar el repositorio universitario. Para ello, escribe el siguiente comando en la terminal:

sudo add-apt-repository universe

2. Luego, actualice el repositorio:

sudo apt update -y

3. Con todo configurado, puede instalar GUFW ejecutando el siguiente comando:

sudo apt install gufw -y

Opción 2:Instalar GUFW a través del Centro de software

Para los usuarios que desean mantenerse alejados del terminal por completo, otra opción para instalar GUFW es descargarlo desde el Centro de software.

1. Abra el Centro de software y escriba GUFW en la barra de búsqueda.

2. Los resultados de la búsqueda mostrarán la Configuración del cortafuegos paquete. Seleccione el icono y haga clic en Instalar .

Abrir y comenzar con GUFW

Para abrir la configuración del cortafuegos, use la barra de búsqueda en su sistema Ubuntu y escriba GUFW .

Haga clic en el icono que aparece como en la imagen de abajo.

Esto abre la ventana del Firewall. En él notarás un menú con diferentes parámetros que puedes configurar según tus necesidades.

Como indican las instrucciones, si es un usuario normal, el Básico la configuración debería satisfacer sus necesidades. Esto incluye:

• Perfil:Inicio (o cualquiera de los otros nombres ofrecidos)
• Estado:ACTIVADO
• Entrante:Denegar
• Saliente:Permitir

Si desea agregar reglas y etiquetarlas para usarlas en el futuro, haga clic en Reglas. y luego el signo más (+ ).

Una ventana emergente Agregar una regla de firewall aparecerá. Configure la nueva regla y haga clic en Agregar .