Firewall sencillo y rápido con ufw en Ubuntu

Muy bien, tenemos un vps nuevo, y podemos divertirnos mucho con él, pero no olvidemos que nuestro vps se encuentra en internet, lo que es tierra hostil al 100%100, así que lo prímero es un firewall que filtre las peticiones no deseadas y sólo permita nuestro servicios. Como tenemos poco tiempo, y somos un poco vagos, vamos a recurrir a ufw, uncomplicated firewall, una app linux que facilita mucho la creación de reglas iptables.

Viene de serie con Ubuntu, pero si no la tenemos la descargamos

apt-get install ufw

Chequeamos el estado del firewall, lo normal es que esté desactivado.

ufw status

Como en iptables, hay que empezar definiendo las políticas por defecto, y luego añadir reglas.

Vamos a poner unos ejemplos.

Permitimos un servidor web en el puerto 80, y conexión SSH al puerto 22.

ufw default deny
ufw allow ssh
ufw allow http

Permitimos un servidor web en el puerto 80 sólo desde las ips de incapsula, y conexión SSH al puerto 22 sólo desde un rango ip determinado.

ufw default deny
# Permitimos ssh
ufw allow from 84.14.20.0/16 proto tcp to any port ssh
# Incapsula Rules
ufw allow from 199.83.128.0/21 proto tcp to any port www
ufw allow from 198.143.32.0/19 proto tcp to any port www
ufw allow from 149.126.72.0/21 proto tcp to any port www
ufw allow from 103.28.248.0/22 proto tcp to any port www
ufw allow from 45.64.64.0/22 proto tcp to any port www
ufw allow from 185.11.124.0/22 proto tcp to any port www
ufw allow from 192.230.64.0/18 proto tcp to any port www

Asegúrate de que no vas a perder la conexión cuando activemos el firewall, si estás haciendo esto en remoto :-p

[email protected]:~# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y

Firewall is active and enabled on system startup

Podemos ver nuestras reglas con el comando ufw status, o ufw status numbered

[email protected]:/var/www# ufw status numbered
Status: active
To Action From
 -- ------ ----
[ 1] 22/tcp ALLOW IN 87.4.230.0/16
[ 2] 80 ALLOW IN Anywhere

Fácil, no ? Podemos ejecutar iptables -L para ver que en realidad nos ha creado un churro increible de sentencias que sin duda aseguran un poco más nuestro server, con muy poco lío y con la confianza de estar usando software de canonical. Hay que decir que con este firewall no estamos evitando conexiones salientes, para eso tendríamos que ser escrupulosos con las reglas, o usar iptables. La idea de ufw, no obstante, es esa, tener un firewall rápido y funcional sin muchas exigencias tampoco.

Esto es lo mínimo para ir tirando y sentirse un poco seguro en una vps o en cualquier entorno. Puedes ver más posibilidades de ufw y la creación de plantillas en ArchLinux

Deja un comentario

Tu dirección de correo electrónico no será publicada.

5 + 3 =