Aprende como configurar un firewall usando UFW ( Uncomplicated Firewall ) en un servidor Ubuntu / Debian.
Soy de las personas que siempre a usado IPTables para configurar el firewall de un servidor, pero la verdad es que no lo se de memoria y siempre debo recordarlo al momento de realizarlo. Esto es debido a que no lo hago muy seguido y no es muy amigable.
UFW es una herramienta o frontend que agrega estas reglas al firewall de iptables de una manera sencillo y casi humana de entender, por lo que para mi ha sido genial debido a que puedo tener la fortaleza de iptables pero de una manera que es muy práctica y difícil de olvidar.
Hace poco menos de un año que comencé a usar UFW para gestionar las reglas de IPTables, y se lo recomendé a muchas personas debido a su simplicidad. Este jueves fui a casa de un amigo y me encontré que estaba configurando un servidor debian usando UFW y empecé a ver el proceso y ayudarlo un poco ( ¡ Pero solo de curioso ! No creo que haya necesitado ayuda en verdad ). Me di cuenta que recordaba todos los comandos de como usarlo y no mucha gente lo conoce, por lo que la recomendación ahora se extiende con un mini tutorial de como usarlo a todo aquel quién le sirva.
En este caso el tutorial lo haré con un ejemplo de un sitio wordpress que corre en un servidor Ubuntu 14.04 que debo configurar.
Ya teniendo el sitio andando, lo primero que quiero hacer es bloquear todas las conexiones por defecto excepto al puerto 80 ( http ) y al 22 ( ssh )
Si no tienes ufw simplemente lo instalamos :
sudo apt-get install ufw
Podemos ver el estado de las reglas actuales ejecutando
sudo ufw status
Si estás partiendo de cero igual que yo, lo más probable que el resultado sea : «Status: inactive»
Para activarlo simplemente ejecutamos :
sudo ufw enable
Antes de hacer cualquier cosa, agreguemos la regla de ssh para las conexiones permitidas en caso de que bloquemos todo por error.
# sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
A esta altura tenemos el servidor de firewall activo, y tenemos dos reglas para acceso ssh por IPV4 y IPV6.
Lo siguiente que me gusta hacer es que por defecto de bloqueen todas las conexiones entrantes, es aquí donde alguien puede diferir conmigo, pero para mi lógica es mejor bloquear todo y luego aceptar que aceptar y luego bloquear. Esto lo hacemos de la siguiente manera :
sudo ufw default deny incoming
Si trabajas con webservices y no coneces los puertos por los que tu servidor se conectará a futuro a ellos, lo más sencillo es dejar que la política de conexiones salientes sea para permitirlas todas. Esto sería bueno cambiarlo a futuro cuando tengas certeza a que servidores te vas a conectar y sus puertos.
sudo ufw default allow outgoing
A esta altura tenemos el servicio andando, aceptando conexiones ssh, pero no podemos acceder a nuestra página web. Para hacerlo lo podemos hacer de dos maneras, especificando el servicio o el puerto. Adjunto las dos formas :
sudo ufw allow http
sudo ufw allow 80/tcp
Si bien, esto es todo lo que quiero incluir en este tutorial, hay otra cosa que se debería hacer que recomiendo. Me gusta cambiar el puerto del ssh a un puerto obviamente que vayas a recordar.
Imaginemos que este puerto es el 2228, lo que haremos es agregar esta regla al firewall y luego lo cambiaremos en la configuración del ssh.
sudo ufw allow 2228
Editamos el archivo de configuración del server ssh :
sudo vim /etc/ssh/sshd_config
Y editamos la línea que dice Port por el puerto que nosotros queramos ocupar y reiniciamos el servicio ssh.
sudo service ssh restart
En estos momento ya necesito el nuevo puerto para acceder, pero tenemos reglas que nos sobran. Ahora podemos eliminar nuestra regla de ssh que creamos en un comienzo debido a que ya no la vamos a utilizar.
sudo ufw delete allow ssh
Ya, ahora tenemos un server PSEUDOSEGURO, o al menos mucho mejor de lo que viene por defecto. Ojala les sirva !
Origen: How To Setup a Firewall with UFW on an Ubuntu and Debian Cloud Server | DigitalOcean