En esta publicación hay comandos que contienen opciones/argumentos que contienen dos palabras y se ven así: comentario ssh. Estas partes adicionales agregan un comentario a las reglas de firewall generadas. Si está utilizando una versión de UFW anterior a 0.35, es posible que deba eliminar estas dos piezas adicionales para evitar errores. Tenga esto en cuenta cuando utilice este tipo de comandos más adelante en caso de que reciba errores.
1 - Instalar UFW
El uso de su administrador de paquetes de sistemas es una forma directa y fácil de obtener UFW. Aquí hay dos ejemplos para Arch Linux y Debian/Ubuntu.
1 – Instalar UFW2 – Habilitar reglas predeterminadas3 – Agregar reglas4 – Reglas comúnmente aplicadas5 – Habilitar y deshabilitar UFW6 – Borrar reglas7 – Habilitar y deshabilitar el registro8 – Varios
arco linux
En Arch con Pacman es simplemente: Luego habilítelo en el arranque a través de systemd usando: Echa un vistazo a Arch Wiki: cortafuegos sin complicaciones
Debian/Ubuntu
UFW viene como parte de la mayoría de las distribuciones basadas en Ubuntu, por lo que es posible que ya lo tenga en su sistema, pero para descargar el paquete en Debian o Ubuntu, use: Para comprobar el estado del programa y confirmar la instalación. La salida devuelta si se instaló correctamente debería ser:
2 – Habilitar reglas predeterminadas
Al igual que con otras soluciones de cortafuegos, la práctica estándar es bloquear todas las conexiones entrantes posibles y permitir las conexiones salientes posibles. A continuación, abra/bloquee servicios y puertos individuales cuando sea necesario. Así que niega todas las conexiones entrantes. Y permitir todas las conexiones salientes. Recuerde que el firewall en sí aún no está activo. Todo lo que hemos hecho hasta ahora es agregar estas dos reglas básicas generales.
3 – Adición de reglas
Hay dos estilos principales disponibles para agregar reglas: entradas de reglas estándar y entradas de estilo de alias. Aquí se explica cómo habilitar las conexiones SSH al servidor, utilizando una de las entradas de estilo de alias integradas que proporciona UFW. Esto abre el puerto SSH TCP predeterminado: número de puerto 22. Sin este puerto abierto, las conexiones SSH a su servidor se bloquearían. Potencialmente haciéndolo inaccesible de forma remota. Aquí está de nuevo la misma regla que abre el puerto SSH predeterminado, pero usando la sintaxis de entrada de regla estándar. Cualquiera que no use el número de puerto predeterminado 22 para SSH y lo haya modificado manualmente en su servidor, debe usar esta sintaxis de regla estándar y cambiar el número en el comando 22 al número de puerto SSH personalizado elegido. Por lo general, no es necesario reiniciar UFW para que las reglas recién agregadas o eliminadas surtan efecto. El efecto de una acción se aplica inmediatamente.
Otros métodos
Las direcciones IP específicas también se pueden utilizar en las reglas. El siguiente ejemplo (como lo sugiere la sintaxis) permite el acceso de todo el tráfico entrante desde la dirección proporcionada. Los rangos de puertos se abren con dos puntos : y los rangos de números que desea usar. El tipo de puerto se proporciona como /tcp o /udp que aparece de la misma manera que antes. Aunque las reglas predeterminadas que aplicamos en el paso dos bloquean automáticamente todas las conexiones de red, aún puede bloquear elementos individuales con el firewall si lo desea. Como con una configuración de regla general diferente. El comando denegar es lo que bloquea números de puerto, direcciones IP o rangos de puertos específicos cuando se pasa. Esto bloquearía el puerto SSH predeterminado si en algunos escenarios fuera necesario. Para denegar el tráfico FTP usando la sintaxis de entrada de regla estándar, puede usar: Bloquear una(s) dirección(es) IP de destino es lo mismo que permitir, pero nuevamente usa la opción denegar en su lugar. Por último, bloquear rangos completos con denegar es lo más posible: También es posible bloquear/denegar subredes completas mediante el uso de la dirección IP y la máscara (notación CIDR). Por último, aquí es posible el bloqueo a través de la interfaz de red/hardware de las máquinas host, p. eth0 o lo que sea que esté registrado. Sin embargo, aquí no se mostrarán ejemplos de esto. Simplemente tenga en cuenta que es posible.
4 – Reglas comúnmente aplicadas
Continuando con los estilos primarios disponibles para agregar reglas, las entradas de reglas estándar y las entradas de estilo de alias. Aquí hay algunas reglas comunes que quizás desee agregar al firewall ahora o en algún momento en el futuro. Estos dos permiten el tráfico en el puerto 80, el puerto estándar del servidor web. Lo mismo ocurre con el puerto asignado al tráfico cifrado en los servidores web, el puerto 443. Utilice siempre sftp en lugar de ftp al transferir archivos en la línea de comandos. La elección de comandos para permitir el tráfico en el puerto sftp predeterminado es: Cuando se trabaja con LDAP (Protocolo ligero de acceso a directorios), el comando de alias es el más adecuado, ya que le ahorra tener que abrir los puertos TCP y UDP con dos comandos, así que abra el puerto 389 en ambos usando: Para el tráfico SMTP hay: Y para IMAP, ingresaría: Dado que UFW lee del archivo /etc/services, puede agregar cualquiera de los nombres de servicio que se enumeran allí. Consulte este artículo de Digital Ocean para obtener reglas aún más específicas para agregar a la configuración de UFW de sus servidores.
5 – Habilitación y deshabilitación de UFW
Una vez que todas las reglas están agregadas y listas para usar, el paso final es activar el firewall. Esto se hace fácilmente emitiendo el comando: Después de ingresar la contraseña sudo y confirmar las indicaciones, recibirá el mensaje: A partir de aquí, las reglas se aplican y funcionan tal como se ingresaron. Para ver todas las reglas y el estado del firewall ahora que se está ejecutando, ingrese el comando desde el principio nuevamente. Si alguna vez necesita recargar el firewall, use la opción recargar . Aunque esta será probablemente una ocasión rara, ya que las reglas de recuerdo se aplican instantáneamente al ingresar. Más comúnmente, todo el firewall se puede deshabilitar con un comando. Sus reglas y configuración no aparecen en la lista cuando el firewall está deshabilitado, solo están inactivos hasta que las vuelva a habilitar. Para eliminar y eliminar reglas, consulte la siguiente sección.
6 – Eliminación de reglas
Eliminar reglas usando la sintaxis con la que ahora probablemente esté familiarizado. Todo lo que necesita hacer es usar la opción eliminar como parte de su estructura de comando. Una forma inteligente de eliminar reglas utiliza el comando de salida numerado. Aquí hay una salida de ejemplo: Se puede hacer referencia al número que aparece en la salida resultante (en la columna de la izquierda) para eliminar reglas. Como en el siguiente ejemplo, que elimina la regla 4 del cortafuegos. Tenga en cuenta que si tiene habilitado IPv6, que es el caso en muchas distribuciones ahora de forma predeterminada después de la instalación, siempre se agrega una regla equivalente para IPv6; cada vez que agrega una regla. Por lo tanto, debe eliminar esa regla correspondiente también cuando use este método. En mi ejemplo, habría sido la regla 8 que puede ver en los resultados. Si por alguna razón desea rehacer todo el conjunto de reglas del firewall. Puede restablecer la totalidad de su configuración actual con un solo comando. Tenga cuidado al usar esto, por supuesto.
7 – Habilitación y deshabilitación del registro
Si desea utilizar el registro para el cortafuegos, debe habilitarlo para hacerlo. Para habilitar el uso de registro: La ubicación del archivo de registro puede diferir, pero en general, este es el lugar para comenzar a buscar. Para obtener información sobre cómo interpretar las entradas de registro en UFW, lea esta sección aquí. Para deshabilitar el registro si es necesario, puede usar:
8 – Varios
Los comentarios de las reglas se introdujeron a partir de febrero de 2016, pero necesitará al menos la versión 0.35 de UFW para poder usarlos. Para usar IPv6 con UFW, debe asegurarse de tenerlo habilitado en el archivo de configuración: Cambie el valor de IPV6 para que sea igual a sí en este archivo si está configurado en “no”. Guarde y deje el archivo. Recargar el cortafuegos aquí podría ser un paso inteligente si ya lo tenía en ejecución antes de hacer esto (el comando para recargar se proporciona en un paso anterior). Después de esto, las reglas de IPv6 junto con las reglas regulares de IPv4 deberían estar activas y agregadas al firewall. Por último, aquí hay varios alias que quizás desee incorporar a su archivo .bashrc o .alias para hacer las cosas un poco más rápidas. Esta publicación en su totalidad cubre la mayor parte de la información requerida cuando se trata de conocer a UFW. Algunos de los enlaces externos también proporcionan una gran cantidad de información en caso de que sea necesaria.
