Table of Contents
Cómo configurar el cortafuegos UFW en Ubuntu y Debian
Un firewall que funcione correctamente es la parte más crucial de la seguridad completa del sistema Linux. De forma predeterminada, la distribución de Debian y Ubuntu viene con una herramienta de configuración de firewall llamada UFW. ( Cortafuegos sin complicaciones. , es una herramienta de línea de comandos más popular y fácil de usar para configurar y administrar un firewall en distribuciones Ubuntu. y Debian.
En este artículo, explicaremos cómo instalar y configurar un UFW. firewall en distribuciones Ubuntu. y Debian.
Requisitos previos
Antes de comenzar con este artículo, asegúrese de haber iniciado sesión en su servidor Ubuntu o Debian con sudo usuario o con la cuenta root. Si no tiene un usuario sudo, puede crear uno usando las siguientes instrucciones como usuario root.
# adduser username # usermod-aG sudo username # su-username $ sudo whoami
Instalar UFW Firewall en Ubuntu y Debian
El UFW. ( Cortafuegos sin complicaciones. debe instalarse de forma predeterminada en Ubuntu y Debian, si no es así, instálelo usando el administrador de paquetes APT usando siguiente comando.
$ sudo apt install ufw Verificar UFW Firewall
Una vez completada la instalación, puede verificar el estado de UFW escribiendo.
$ sudo ufw status verbose freestar.config.enabled_slots.push ( locationName: “tecmint_incontent”, slotId: “tecmint_incontent”);
En la primera instalación, el firewall UFW está deshabilitado de forma predeterminada, la salida será similar a la siguiente.
Estado: inactivo. Habilitar el cortafuegos UFW
Puede activar o habilitar el cortafuegos UFW usando el siguiente comando, que debería cargar el cortafuegos y permitir que se inicie al arrancar.
$ sudo ufw enable
Para deshabilitar el firewall UFW, use el siguiente comando, que descarga el firewall y lo deshabilita para que no se inicie en el arranque.
$ sudo ufw deshabilita las políticas predeterminadas de UFW
De manera predeterminada, el firewall UFW niega todas las entradas conexiones y solo permite todas las conexiones salientes al servidor. Esto significa que nadie puede acceder a su servidor, a menos que usted abra específicamente el puerto, mientras que todos los servicios o aplicaciones en ejecución en su servidor pueden acceder a la red externa.
Se colocan las políticas de firewall UFW predeterminadas en el archivo/etc/default/ufw y se puede modificar usando el siguiente comando.
$ sudo ufw default deny entrante $ sudo ufw default allow outgoing UFW Application Profiles
Al instalar un paquete de software usando APT. administrador de paquetes, incluirá un perfil de aplicación en el directorio/etc/ufw/applications.d que define el servicio y contiene la configuración de UFW.
Puede enumerar todos los perfiles de aplicaciones disponibles en su servidor usando el siguiente comando.
$ sudo ufw app list
Dependiendo de las instalaciones del paquete de software en su sistema, el resultado será similar al siguiente:
Aplicaciones disponibles: APACHE APACHE Full APACHE SECURE CUPS OpenSSH Postfix Postfix SMTPS Envío de Postfix
Si desea obtener más información sobre un perfil en particular y las reglas definidas, puede usar el siguiente comando.
$ sudo ufw app info ‘Apache’ Perfil: Apache Título: Servidor web Descripción: Apache V2 es la próxima generación de servidor web Apache omnipresente. Puertos: 80/tcp Habilite IPv6 con UFW
Si su servidor está configurado con IPv6. asegúrese de que su UFW. esté configurado con IPv6. y compatibilidad con IPv4. Para verificarlo, abra el archivo de configuración de UFW con su editor favorito.
$ sudo vi/etc/default/ufw
Luego, asegúrese de que “IPV6”. esté configurado en “sí” en el archivo de configuración como se muestra.
IPV6 = yes
Guarde y salga. Luego reinicie su firewall con los siguientes comandos:
$ sudo ufw disable $ sudo ufw enable Permitir conexiones SSH en UFW
Si ya ha habilitado el firewall UFW, bloqueará todas las conexiones entrantes y si está conectado a su servidor a través de SSH desde una ubicación remota, ya no podrá volver a conectarlo.
Habilitemos las conexiones SSH a nuestro servidor para evitar que eso suceda usando el siguiente comando:
$ sudo ufw allow ssh
Si está usando un puerto SSH personalizado (por ejemplo, el puerto 2222. , entonces necesita abrir ese puerto en el firewall UFW usando el siguiente comando.
$ sudo ufw allow 2222/tcp
Para bloquear todas las conexiones SSH, escriba el siguiente comando.
$ sudo ufw deny ssh/tcp $ sudo ufw deny 2222/tcp [Si usa un puerto SSH personalizado] Habilite puertos específicos en UFW
Usted también puede abrir un puerto específico en el firewall para permitir conexiones a través de él a un servicio determinado. Por ejemplo, si desea configurar un servidor web que escuche en el puerto 80. ( HTTP. y 443. ( HTTPS. por defecto.
A continuación se muestran algunos ejemplos de cómo permitir conexiones entrantes a los servicios Apache.
Abra el puerto 80 HTTP en UFW $ sudo ufw allow http [Por nombre de servicio] $ sudo ufw allow 80/tcp [ Por número de puerto] $ sudo ufw permitir ‘Apache’ [Por perfil de aplicación] Abrir puerto 443 HTTPS en UFW $ sudo ufw permitir https $ sudo ufw permitir 443/tcp $ sudo ufw permitir ‘Apache Secure’ Permitir rangos de puertos en UFW
Suponiendo que tiene algunas aplicaciones que desea ejecutar en un rango de puertos ( 5000-5003. , puede agregar todos estos puertos usando los siguientes comandos.
sudo ufw allow 5000: 5003/tcp sudo ufw allow 5000: 5003/udp Permitir direcciones IP específicas
Si desea permitir conexiones en todos los puertos desde una dirección IP específica 192.168.56.1. debe especificar antes la dirección IP.
$ sudo ufw allow from 192.168.56.1 Permitir direcciones IP específicas en un puerto específico
Para permitir la conexión en un puerto específico (por ejemplo, el puerto 22. desde su Mac de casa hine con la dirección IP de 192.168.56.1. entonces debe agregar cualquier puerto. y el número de puerto. después de la dirección IP como se muestra.
$ sudo ufw permitir desde 192.168.56.1 a cualquier puerto 22 Permitir subredes de red a un puerto específico
Para permitir conexiones para direcciones IP particulares que van desde 192.168.1.1. a 192.168.1.254. al puerto 22. ( SSH. , ejecute el siguiente comando.
$ sudo ufw allow from 192.168.1.0/24 a cualquier puerto 22 Allow Specific Network Interfaz
Para permitir conexiones a una interfaz de red específica eth2. para un puerto en particular 22. ( SSH. , ejecute el siguiente comando.
$ sudo ufw permite la entrada en eth2 a cualquier puerto 22 Denegar conexiones en UFWDe forma predeterminada, todas las conexiones entrantes están bloqueadas, a menos que haya abierto específicamente la conexión en UFW. Por ejemplo, ha abierto los puertos 80. y 443. y su servidor web está siendo atacado por la red desconocida 11.12.13.0/24.
Para bloquear todas las conexiones de este rango de red 11.12.13.0/24. en particular, puede usar el siguiente comando.
$ sudo ufw deny de 11.12.13.0/24
Si solo desea bloquear las conexiones en los puertos 80. y 443. puede usar los siguientes comandos.
$ sudo ufw deny de 11.12.13.0/24 a cualquier puerto 80 $ sudo ufw deny desde 11.12.13.0/24 a cualquier puerto 443 Eliminar reglas UFW
Hay 2 formas de eliminar reglas UFW, por número de regla. y por regla real.
Para eliminar una regla UFW usando número de regla. primero necesita enumerar las reglas por números usando el siguiente comando.
$ sudo ufw status Estado de salida de muestra numerado: activo Para Acción desde———–[1] 22/tcp PERMITIR EN cualquier lugar [2] 80/tcp PERMITIR EN cualquier lugar
Para eliminar la regla número 1. use el siguiente comando.
$ sudo ufw delete 1
El segundo método es eliminar una regla usando la regla actual. por ejemplo, para eliminar una regla, especifique el número de puerto con el protocolo como se muestra.
$ sudo ufw delete allow 22/tcp Dry Run UFW Rules
Puede ejecutar cualquier comando ufw sin hacer ningún cambio en el firewall del sistema usando el indicador–dry-run, esto simplemente muestra los cambios que se suponen
$ sudo ufw–dry-run enable Reset UFW Firewall
Por una razón u otra, si desea eliminar/restablecer todas las reglas del firewall, escriba los siguientes comandos, revertirá todos sus cambia y comienza de nuevo.
$ sudo ufw reset $ sudo ufw status Funcionalidad avanzada de UFW
El cortafuegos UFW. puede hacer cualquier cosa que haga iptables. Esto se puede hacer con diferentes conjuntos de archivos de reglas, que no son más que simples archivos de texto iptables-restore.
No se permite ajustar el firewall UFW ni agregar comandos iptables adicionales a través de El comando ufw, es solo cuestión de alterar los siguientes archivos de texto
- /etc/default/ufw. el archivo de configuración principal con reglas predefinidas.
- /etc/ufw/before[6].rules. en este archivo, las reglas se calculan antes de agregar mediante el comando ufw.
- /etc/ufw/after [6] .rules. en este archivo, las reglas se calculan después de agregarlas mediante el comando ufw.
- /etc/ufw/sysctl.conf. este archivo se utiliza para sintonice la red del kernel.
- /etc/ufw/ufw.conf. este archivo habilita ufw en el arranque.
¡Eso es! UFW. es una excelente interfaz para iptables. con una interfaz fácil de usar para definir reglas complejas con un solo comando ufw.
