Header Ads Widget

Ticker

6/recent/ticker-posts

Cómo configurar un cortafuegos con UFW en Debian 10

Un firewall correctamente configurado es uno de los aspectos más importantes de la seguridad general del sistema.

UFW (Uncomplicated Firewall) es un front-end fácil de usar para administrar las reglas de firewall de iptables. Su principal objetivo es hacer que la gestión de iptables sea más fácil o, como su nombre lo dice, sin complicaciones.

Este artículo describe cómo configurar un firewall con UFW en Debian 10.

requisitos previos

Solo el root o el usuario con privilegios sudo pueden administrar el firewall del sistema.

Instalación de UFW

Ingrese el siguiente comando para instalar el ufwpaquete:

sudo apt updatesudo apt install ufw

Comprobación del estado de UFW

La instalación no activará el cortafuegos automáticamente para evitar un bloqueo del servidor. Puede verificar el estado de UFW escribiendo:

sudo ufw status verbose

La salida se verá así:

Status: inactive

Políticas predeterminadas de UFW

De forma predeterminada, UFW bloquea todas las conexiones entrantes y permite todas las conexiones salientes. Esto significa que cualquier persona que intente acceder a su servidor no podrá conectarse a menos que abra específicamente el puerto. Las aplicaciones y servicios que se ejecutan en el servidor podrán acceder al mundo exterior.

Las políticas predeterminadas se definen en el /etc/default/ufwarchivo y se pueden cambiar con el sudo ufw default <policy> <chain>comando.

Las políticas de firewall son la base para crear reglas más detalladas y definidas por el usuario. En general, las políticas predeterminadas iniciales de UFW son un buen punto de partida.

Perfiles de aplicación

La mayoría de las aplicaciones se envían con un perfil de aplicación que describe el servicio y contiene la configuración de UFW. El perfil se crea automáticamente en el /etc/ufw/applications.ddirectorio durante la instalación del paquete.

Para enumerar todos los perfiles de aplicación disponibles en su tipo de sistema:

sudo ufw utf --help

Dependiendo de los paquetes instalados en su sistema, el resultado será similar al siguiente:

Available applications:
  DNS
  IMAP
  IMAPS
  OpenSSH
  POP3
  POP3S
  Postfix
  Postfix SMTPS
  Postfix Submission
  ...

Para encontrar más información sobre un perfil específico y las reglas incluidas, use el app infocomando, seguido del nombre del perfil. Por ejemplo, para obtener información sobre el perfil de OpenSSH que usaría:

sudo ufw app info OpenSSH
Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.

Port:
  22/tcp

La salida incluye el nombre del perfil, el título, la descripción y las reglas de firewall.

Permitir conexiones SSH

Antes de habilitar primero el firewall UFW, debe permitir las conexiones SSH entrantes.

Si se está conectando a su servidor desde una ubicación remota y habilita el firewall UFW antes de permitir explícitamente las conexiones SSH entrantes, ya no podrá conectarse a su servidor Debian.

Para configurar su firewall UFW para aceptar conexiones SSH, ejecute el siguiente comando:

sudo ufw allow OpenSSH
Rules updated
Rules updated (v6)

Si el servidor SSH está escuchando en un puerto que no sea el puerto predeterminado 22, deberá abrir ese puerto.

Por ejemplo, su servidor ssh escucha en el puerto 7722, ejecutaría:

sudo ufw allow 7722/tcp

Habilitar UFW

Ahora que el firewall UFW está configurado para permitir conexiones SSH entrantes, habilítelo ejecutando:

sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

Se le advertirá que habilitar el firewall puede interrumpir las conexiones ssh existentes. Escriba "y" y presione "Enter".

Apertura de puertos

Dependiendo de las aplicaciones que se ejecuten en su servidor, deberá abrir los puertos en los que se ejecutan los servicios.

A continuación se muestran varios ejemplos de cómo permitir conexiones entrantes a algunos de los servicios más comunes:

Abrir puerto 80 - HTTP

Permitir conexiones HTTP:

sudo ufw allow http

En lugar del httpperfil, puede utilizar el número de puerto 80:

sudo ufw allow 80/tcp

Abrir puerto 443 - HTTPS

Permitir conexiones HTTPS:

sudo ufw allow https

También puede utilizar el número de puerto 443:

sudo ufw allow 443/tcp

Abrir puerto 8080

Si ejecuta Tomcat o cualquier otra aplicación que escuche en el puerto, 8080abra el puerto con:

sudo ufw allow 8080/tcp

Apertura de rangos de puertos

Con UFW, también puede permitir el acceso a rangos de puertos. Al abrir un rango, debe especificar el protocolo del puerto.

Por ejemplo, para permitir puertos de 71007200en ambos tcpudp, ejecute el siguiente comando:

sudo ufw allow 7100:7200/tcpsudo ufw allow 7100:7200/udp

Permitir direcciones IP específicas

Para permitir el acceso a todos los puertos desde una dirección IP específica, utilice el ufw allow fromcomando seguido de la dirección IP:

sudo ufw allow from 64.63.62.61

Permitir direcciones IP específicas en un puerto específico

Para permitir el acceso a un puerto específico, digamos un puerto 22desde su máquina de trabajo con la dirección IP 64.63.62.61, use el siguiente comando:

sudo ufw allow from 64.63.62.61 to any port 22

Permitir subredes

El comando para permitir la conexión desde una subred de direcciones IP es el mismo que cuando se usa una sola dirección IP. La única diferencia es que debe especificar la máscara de red. Por ejemplo, si desea permitir el acceso a direcciones IP que van desde 192.168.1.1 a 192.168.1.254 al puerto 3360 ( MySQL ), puede usar este comando:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Permitir conexiones a una interfaz de red específica

Para permitir el acceso a un puerto específico, digamos el puerto 3360 solo a una interfaz de red específica eth2, use allow in ony el nombre de la interfaz de red:

sudo ufw allow in on eth2 to any port 3306

Denegar conexiones

La política predeterminada para todas las conexiones entrantes se establece en deny, lo que significa que UFW bloqueará todas las conexiones entrantes a menos que abra específicamente la conexión.

Digamos que abrió los puertos 80443, y su servidor está siendo atacado desde la 23.24.25.0/24red. Para denegar todas las conexiones desde 23.24.25.0/24, use el siguiente comando:

sudo ufw deny from 23.24.25.0/24

Si solo desea denegar el acceso a los puertos 80el uso:44323.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80sudo ufw deny from 23.24.25.0/24 to any port 443

Escribir reglas de denegación es lo mismo que escribir reglas de permiso. Solo necesita reemplazar allowcon deny.

Eliminar reglas de UFW

Hay dos formas diferentes de eliminar reglas UFW. Por número de regla y especificando la regla real.

Eliminar reglas de UFW por número de regla es más fácil, especialmente si es nuevo en UFW.

Para eliminar una regla por su número primero, debe encontrar el número de la regla que desea eliminar. Para hacer eso, ejecute el siguiente comando:

sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 80/tcp                     ALLOW IN    Anywhere
[ 3] 8080/tcp                   ALLOW IN    Anywhere

Para eliminar la regla número 3, la regla que permite conexiones al puerto 8080, puedes usar el siguiente comando:

sudo ufw delete 3

El segundo método consiste en eliminar una regla especificando la regla real. Por ejemplo, si agregó una regla para abrir el puerto 8069, puede eliminarla con:

sudo ufw delete allow 8069

Deshabilitar UFW

Si por alguna razón desea detener UFW y desactivar todas las reglas, ejecute:

sudo ufw disable

Más tarde, si desea volver a habilitar UTF y activar todas las reglas, simplemente escriba:

sudo ufw enable

Restablecer UFW

Restablecer UFW desactivará UFW y eliminará todas las reglas activas. Esto es útil si desea revertir todos sus cambios y comenzar de nuevo.

Para restablecer UFW simplemente escriba el siguiente comando:

sudo ufw reset

Conclusión

Ha aprendido a instalar y configurar el firewall UFW en su máquina Debian 10. Asegúrese de permitir todas las conexiones entrantes que sean necesarias para el correcto funcionamiento de su sistema mientras limita todas las conexiones innecesarias.

Si tiene preguntas, no dude en dejar un comentario a continuación.

Publicar un comentario

0 Comentarios