Cómo configurar UFW Firewall en Debian 10 correctamente

Cómo configurar UFW Firewall en Debian 10 correctamente.

UFW (Uncomplicated Firewall) es un front-end que administra las reglas de iptables o nftables muy fácil de usar. Quería remarcar el anterior argumente porqué existe una gran confusión al respecto, el 99.9% de sistemas basados en Unix utilizan como firewall iptables, o su versión mejorada nftables.

UFW, CSF, APF y otros tantos, son herramientas que nos ayudan a configurar las iptables de una forma más o menos simple. No son firewalls propiamente dicho.

UFW (creado por Canonical) es una de las herramientas más sencillas a la hora de administrar las reglas del firewall de iptables. Su objetivo principal es facilitar el manejo de iptables sin complicaciones. En este articulo vemos como configurarlo correctamente en un servidor con Debian 10 y todos sus derivados.

 

Configurar UFW Firewall en Debian 10

Dependiendo de la versión o distro tal vez no venga instalado por defecto. Lo instalamos y verificamos su status.

sudo apt update

sudo apt install ufw

sudo ufw status verbose

Por defecto lo tenemos inactivo, ejemplo…

sololinux # sudo ufw status verbose
Estado: inactivo

Antes de habilitar el UFW Firewall te recomiendo que permitas las conexiones ssh entrantes.

sudo ufw allow OpenSSH

El comando anterior abrirá el puerto ssh por defecto, el 22. Si lo has modificado por otro (por ejemplo el 123) el comando es el siguiente.
sudo ufw allow 123/tcp

Ahora si podemos habilitar la herramienta (solicita confirmación, responde «Y» y pulsa enter).
sudo ufw enable

 

En este punto todo depende del servidor que estés montando y de los servicios que requieras, nosotros ponemos ejemplos de los más comunes. Comenzamos abriendo el puerto 80 (http) y el 443 (https).

sudo ufw allow http

sudo ufw allow https

Si usas Tomcat o alguna cache inversa, es posible que necesites abrir el 8080.
sudo ufw allow 8080/tcp

UFW también nos permite abrir rangos completos de puertos, por ejemplo si queremos abrir los puertos comprendidos entre el 6100 y 6200…
sudo ufw allow 6100:6200/tcp

sudo ufw allow 6100:6200/udp

Si necesitas que una ip tenga acceso a través de cualquier puerto, es posible.
# Tu ip
sudo ufw allow from 85.105.85.105

Similar a la orden anterior pero en exclusiva a un puerto.
# Selecciona tu ip y el puerto
sudo ufw allow from 85.105.85.105 to any port 123

Si tienes un servidor web, por seguridad no conviene el acceso remoto directo sobre la base de datos (puerto 3306), pero en servidores locales de una red empresarial es algo común. Concedemos permisos a nuestro rango de ip’s privadas.
# Inserta tu rango
sudo ufw allow from 192.168.1.0/24 to any port 3306

Hoy en día es común que los servidores físicos tenga varios adaptadores de red, si por ejemplo nos interesa que todas las conexiones al puerto 3306 solo sean admitidas en la tarjeta de red eth3, insertamos lo siguiente en nuestra consola.
sudo ufw allow in on eth3 to any port 3306

 

Ahora tratamos el cómo denegar conexiones entrantes. Esto es muy útil en caso de ataques o de rangos de ip molestos. Nos ponemos en el caso de que el rango 195.138.67.0 es bastante molesto, lo bloqueamos al completo.

sudo ufw deny from 195.138.67.0/24

También podemos definir los puertos a los que queremos bloquear el acceso del rango anterior, en el ejemplo el 80 y el 443.
sudo ufw deny from 195.138.67.0/24 to any port 80

sudo ufw deny from 195.138.67.0/24 to any port 443

 

Para listar todas las reglas definidas…

sudo ufw status numbered

ejemplo de salida…
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 80/tcp                     ALLOW IN    Anywhere
[ 3] 8080/tcp                   ALLOW IN    Anywhere

Observa que todas las reglas van numeradas, si quisieras eliminar la regla que permite el acceso al puerto 80 (regla 2) es tan simple como ejecutar lo siguiente.
sudo ufw delete 2

También es posible eliminar la regla por el método de definir el puerto.
sudo ufw delete allow 80

 

Si por alguna razón quieres deshabilitar UFW y anular todas las reglas definidas…

sudo ufw disable

Para retomar su estado anterior lo habilitamos de nuevo.
sudo ufw enable

UFW permite volver a su estado original, tal como recién instalado. Ten cuidado con esta opción, se borrarán todas las reglas y estados.
sudo ufw reset

 

Nota final: Es importante que sólo permitas las conexiones entrantes que sean necesarias para un correcto funcionamiento del sistema, no abras puerto innecesarios.

 

Canales de Telegram: Canal SoloLinux – Canal SoloWordpress

Espero que este articulo te sea de utilidad, puedes ayudarnos a mantener el servidor con una donación (paypal), o también colaborar con el simple gesto de compartir nuestros artículos en tu sitio web, blog, foro o redes sociales.

 

Agregar comentario