De forma predeterminada, Ubuntu viene con una herramienta de configuración de firewall que se llama UFW. UFW significa Cortafuegos sin complicaciones que se utiliza para gestionar las reglas de cortafuegos en Ubuntu.
UFW, o Uncomplicated Firewall, es básicamente una interfaz para iptables que está orientada a simplificar el proceso de configuración de un firewall. Si bien iptables es una herramienta sólida y flexible, puede ser difícil para los principiantes aprender a usarla para configurar correctamente un firewall. Si está buscando comenzar a proteger su red y no está seguro de qué herramienta usar, UFW puede ser la opción adecuada para usted.
Aquí en LinuxAPT, como parte de nuestros Servicios de Administración de Servidores, ayudamos regularmente a nuestros Clientes a realizar consultas relacionadas con el Firewall UFW.
En este contexto, veremos cómo configurar el firewall UFW en Ubuntu.
¿Cómo instalar UFW en Ubuntu?
Antes de continuar con este procedimiento de instalación, asegúrese de que está utilizando un usuario con privilegios de sudo.
Como se mencionó anteriormente, UFW está instalado en Ubuntu de forma predeterminada. Por cualquier motivo que haya desinstalado, primero debe instalar UFW en su sistema Ubuntu.
$ sudo apt install ufw
¿Cómo comprobar el estado de UFW en Ubuntu?
Puede comprobar el estado de ufw una vez finalizada la instalación. Para eso, ejecute el siguiente comando:
$ sudo ufw status verbose
Si nunca activó UFW antes, mostrará la salida como inactiva porque, de forma predeterminada, UFW está deshabilitado:
Output
Status: inactive
Una vez que haya activado UFW, la salida de estado se mostrará a continuación:
Output
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
¿Cómo habilitar UFW en Ubuntu?
Si UFW no está habilitado en su sistema, puede hacerlo fácilmente escribiendo:
$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
It will show warning that it may disrupt existing ssh connections if enabling the firewall. Press y and hit Enter to continue.
Ahora, si desea verificar el estado, puede verificar nuevamente y debería mostrarse activado.
¿Cómo establecer políticas predeterminadas de UFW en Ubuntu?
UFW bloqueará todas las conexiones entrantes y permitirá todas las conexiones salientes. Por lo general, solo necesitamos algunos puertos abiertos para las conexiones entrantes y bloquear todos los demás puertos. Las políticas predeterminadas se definen en el archivo /etc/default/ufw.
Con UFW puede establecer y administrar este tipo de políticas de reglas.
Use el siguiente comando para denegar todas las conexiones entrantes a su sistema:
$ sudo ufw default deny incoming
Para permitir todas las conexiones salientes, escriba lo siguiente en la terminal.
$ sudo ufw default allow outgoing
¿Cómo agregar reglas a UFW en Ubuntu?
Es muy fácil agregar reglas para cualquier servicio o número de puerto. La siguiente es la sintaxis básica para agregar una regla para cualquier puerto:
$ sudo ufw ACTION PORT_NUMBER
Aquí, ACCIÓN debe reemplazarse por denegar o permitir y PORT_NUMBER es el número de puerto para el que desea establecer la regla.
¿Cómo Permitir Conexiones SSH Puerto 22?
Para permitir conexiones entrantes y salientes en el puerto 22 (SSH), ejecute el siguiente comando:
$ sudo ufw allow 22
También puede ejecutar el comando con el nombre del servicio como se muestra a continuación:
$ sudo ufw allow ssh
Mostrará la salida de la siguiente manera:
Output
Rule added
Rule added (v6)
¿Cómo abrir el puerto 80 – HTTP en Ubuntu?
Puede permitir conexiones HTTP usando el siguiente comando:
$ sudo ufw allow http
En lugar de http, puede usar el número de puerto, 80:
$ sudo ufw allow 80/tcp
¿Cómo abrir el puerto 443 – HTTPS en Ubuntu?
Si su sitio web usa SSL, entonces su servidor debería abrir el puerto 443 para permitir conexiones a través de él. Ejecute el siguiente comando para permitir el puerto 443:
$ sudo ufw allow https
Igual que http, puede usar el número de puerto en lugar del nombre del servicio:
$ sudo ufw allow 443/tcp
¿Cómo denegar el tráfico en el puerto 972?
Puede denegar el tráfico en un puerto específico usando el siguiente comando:
$ sudo ufw deny 972
¿Cómo eliminar reglas en Ubuntu?
Si ha agregado alguna regla y no necesita más ahora, puede eliminarla fácilmente usando la acción Eliminar. Por ejemplo, si no queremos una regla para https, ejecute el siguiente comando para eliminar la regla para https:
$ sudo ufw delete allow 443
¿Cómo permitir direcciones IP específicas?
Si desea permitir conexiones desde una dirección IP específica para todos los puertos, solo necesita especificar la dirección IP como se indica a continuación:
$ sudo ufw allow from 1.83.43.125
Agregará esa dirección IP a la lista blanca.
¿Cómo permitir direcciones IP específicas en un puerto específico?
Si tiene el requisito de que una dirección IP específica permita conexiones solo para puertos específicos, ejecute el siguiente comando:
$ sudo ufw allow from 1.03.03.025 to any port 22
En el comando anterior, puede ver que hemos seguido el número de puerto después de la dirección IP para permitir un puerto específico. Por lo tanto, las conexiones desde 1.03.03.025 solo se permiten para el puerto 22.
¿Cómo denegar direcciones IP específicas?
Para denegar todas las conexiones desde una dirección IP específica, debe especificar la dirección IP con la opción de denegar como se indica a continuación:
$ sudo ufw deny from 1.03.03.025
Agregará esa dirección IP a la lista negra.
¿Cómo denegar direcciones IP específicas en un puerto específico?
Cuando desee denegar conexiones desde una dirección IP específica solo para puertos específicos, puede hacerlo ejecutando el siguiente comando:
$ sudo ufw deny from 1.03.03.025 to any port 22
Puede ver en el comando anterior que hemos dado el número de puerto después de la dirección IP para denegar un puerto específico. Por lo tanto, las conexiones desde 1.03.03.025 se niegan solo para el puerto 22.
¿Cómo deshabilitar UFW en Ubuntu?
Si tiene el requisito de deshabilitar UFW, puede hacerlo simplemente ejecutando el siguiente comando:
$ sudo ufw disable
¿Cómo iniciar sesión en UFW?
Puede habilitar o deshabilitar el inicio de sesión en UFW con tres niveles. El nivel de registro predeterminado es bajo, medio y alto.
Escriba el siguiente comando para habilitar el registro:
$ sudo ufw logging on