Un firewall correctamente configurado es uno de los aspectos más importantes de la seguridad general del sistema.
UFW (Uncomplicated Firewall) es un front-end fácil de usar para administrar las reglas de firewall de iptables. Su principal objetivo es hacer que la gestión de iptables sea más fácil o, como su nombre lo dice, sin complicaciones.
Este artículo describe cómo configurar un firewall con UFW en Debian 10.
requisitos previos
Solo el root o el usuario con privilegios sudo pueden administrar el firewall del sistema.
Instalación de UFW
Ingrese el siguiente comando para instalar el ufw
paquete:
sudo apt update
sudo apt install ufw
Comprobación del estado de UFW
La instalación no activará el cortafuegos automáticamente para evitar un bloqueo del servidor. Puede verificar el estado de UFW escribiendo:
sudo ufw status verbose
La salida se verá así:
Status: inactive
Políticas predeterminadas de UFW
De forma predeterminada, UFW bloquea todas las conexiones entrantes y permite todas las conexiones salientes. Esto significa que cualquier persona que intente acceder a su servidor no podrá conectarse a menos que abra específicamente el puerto. Las aplicaciones y servicios que se ejecutan en el servidor podrán acceder al mundo exterior.
Las políticas predeterminadas se definen en el /etc/default/ufw
archivo y se pueden cambiar con el sudo ufw default <policy> <chain>
comando.
Las políticas de firewall son la base para crear reglas más detalladas y definidas por el usuario. En general, las políticas predeterminadas iniciales de UFW son un buen punto de partida.
Perfiles de aplicación
La mayoría de las aplicaciones se envían con un perfil de aplicación que describe el servicio y contiene la configuración de UFW. El perfil se crea automáticamente en el /etc/ufw/applications.d
directorio durante la instalación del paquete.
Para enumerar todos los perfiles de aplicación disponibles en su tipo de sistema:
sudo ufw utf --help
Dependiendo de los paquetes instalados en su sistema, el resultado será similar al siguiente:
Available applications:
DNS
IMAP
IMAPS
OpenSSH
POP3
POP3S
Postfix
Postfix SMTPS
Postfix Submission
...
Para encontrar más información sobre un perfil específico y las reglas incluidas, use el app info
comando, seguido del nombre del perfil. Por ejemplo, para obtener información sobre el perfil de OpenSSH que usaría:
sudo ufw app info OpenSSH
Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.
Port:
22/tcp
La salida incluye el nombre del perfil, el título, la descripción y las reglas de firewall.
Permitir conexiones SSH
Antes de habilitar primero el firewall UFW, debe permitir las conexiones SSH entrantes.
Si se está conectando a su servidor desde una ubicación remota y habilita el firewall UFW antes de permitir explícitamente las conexiones SSH entrantes, ya no podrá conectarse a su servidor Debian.
Para configurar su firewall UFW para aceptar conexiones SSH, ejecute el siguiente comando:
sudo ufw allow OpenSSH
Rules updated
Rules updated (v6)
Si el servidor SSH está escuchando en un puerto que no sea el puerto predeterminado 22, deberá abrir ese puerto.
Por ejemplo, su servidor ssh escucha en el puerto 7722
, ejecutaría:
sudo ufw allow 7722/tcp
Habilitar UFW
Ahora que el firewall UFW está configurado para permitir conexiones SSH entrantes, habilítelo ejecutando:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
Se le advertirá que habilitar el firewall puede interrumpir las conexiones ssh existentes. Escriba "y" y presione "Enter".
Apertura de puertos
Dependiendo de las aplicaciones que se ejecuten en su servidor, deberá abrir los puertos en los que se ejecutan los servicios.
A continuación se muestran varios ejemplos de cómo permitir conexiones entrantes a algunos de los servicios más comunes:
Abrir puerto 80 - HTTP
Permitir conexiones HTTP:
sudo ufw allow http
En lugar del http
perfil, puede utilizar el número de puerto 80
:
sudo ufw allow 80/tcp
Abrir puerto 443 - HTTPS
Permitir conexiones HTTPS:
sudo ufw allow https
También puede utilizar el número de puerto 443
:
sudo ufw allow 443/tcp
Abrir puerto 8080
Si ejecuta Tomcat o cualquier otra aplicación que escuche en el puerto, 8080
abra el puerto con:
sudo ufw allow 8080/tcp
Apertura de rangos de puertos
Con UFW, también puede permitir el acceso a rangos de puertos. Al abrir un rango, debe especificar el protocolo del puerto.
Por ejemplo, para permitir puertos de 7100
a 7200
en ambos tcp
y udp
, ejecute el siguiente comando:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Permitir direcciones IP específicas
Para permitir el acceso a todos los puertos desde una dirección IP específica, utilice el ufw allow from
comando seguido de la dirección IP:
sudo ufw allow from 64.63.62.61
Permitir direcciones IP específicas en un puerto específico
Para permitir el acceso a un puerto específico, digamos un puerto 22
desde su máquina de trabajo con la dirección IP 64.63.62.61, use el siguiente comando:
sudo ufw allow from 64.63.62.61 to any port 22
Permitir subredes
El comando para permitir la conexión desde una subred de direcciones IP es el mismo que cuando se usa una sola dirección IP. La única diferencia es que debe especificar la máscara de red. Por ejemplo, si desea permitir el acceso a direcciones IP que van desde 192.168.1.1 a 192.168.1.254 al puerto 3360 ( MySQL ), puede usar este comando:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Permitir conexiones a una interfaz de red específica
Para permitir el acceso a un puerto específico, digamos el puerto 3360 solo a una interfaz de red específica eth2
, use allow in on
y el nombre de la interfaz de red:
sudo ufw allow in on eth2 to any port 3306
Denegar conexiones
La política predeterminada para todas las conexiones entrantes se establece en deny
, lo que significa que UFW bloqueará todas las conexiones entrantes a menos que abra específicamente la conexión.
Digamos que abrió los puertos 80
y 443
, y su servidor está siendo atacado desde la 23.24.25.0/24
red. Para denegar todas las conexiones desde 23.24.25.0/24
, use el siguiente comando:
sudo ufw deny from 23.24.25.0/24
Si solo desea denegar el acceso a los puertos y 80
el uso:443
23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Escribir reglas de denegación es lo mismo que escribir reglas de permiso. Solo necesita reemplazar allow
con deny
.
Eliminar reglas de UFW
Hay dos formas diferentes de eliminar reglas UFW. Por número de regla y especificando la regla real.
Eliminar reglas de UFW por número de regla es más fácil, especialmente si es nuevo en UFW.
Para eliminar una regla por su número primero, debe encontrar el número de la regla que desea eliminar. Para hacer eso, ejecute el siguiente comando:
sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 8080/tcp ALLOW IN Anywhere
Para eliminar la regla número 3, la regla que permite conexiones al puerto 8080, puedes usar el siguiente comando:
sudo ufw delete 3
El segundo método consiste en eliminar una regla especificando la regla real. Por ejemplo, si agregó una regla para abrir el puerto 8069
, puede eliminarla con:
sudo ufw delete allow 8069
Deshabilitar UFW
Si por alguna razón desea detener UFW y desactivar todas las reglas, ejecute:
sudo ufw disable
Más tarde, si desea volver a habilitar UTF y activar todas las reglas, simplemente escriba:
sudo ufw enable
Restablecer UFW
Restablecer UFW desactivará UFW y eliminará todas las reglas activas. Esto es útil si desea revertir todos sus cambios y comenzar de nuevo.
Para restablecer UFW simplemente escriba el siguiente comando:
sudo ufw reset
Conclusión
Ha aprendido a instalar y configurar el firewall UFW en su máquina Debian 10. Asegúrese de permitir todas las conexiones entrantes que sean necesarias para el correcto funcionamiento de su sistema mientras limita todas las conexiones innecesarias.
Si tiene preguntas, no dude en dejar un comentario a continuación.
0 Comentarios