BLOG PORTFOLIO MANUALES COLABORA CONMIGO

CONTACTO

You are here: Home / GNU/Linux / Instala ufw �rewall en tu servidor web Ubuntu Server
14.04

Instala ufw �rewall en tu servidor web

Ubuntu Server 14.04
21 agosto, 2014 By Jordi Bassagañas

Me gusta 0 Twittear 6 9

Bienvenid@s amigos, ya veis que estamos en agosto y que tengo un poquito más de
tiempo para dedicar al blog y compartir cosas con todos vosotros. Espero poder seguir
esta tendencia en los próximos meses, y seguir compartiendo con más frecuencia. Hoy
vamos a activar y con�gurar el �rewall ufw en Ubuntu Server.

Con esta pequeña guía cerraremos por �n todo lo que explicamos en esta guía y en este
artículo, donde explicábamos algunas cosas de puesta en marcha de servidores, de
redes, y de GNU/Linux, y decíamos que el paso siguiente consistía en instalar un �rewall.

Por cierto si ves que explico alguna cosa demasiado avanzada o quieres profundizar en
alguno de los aspectos que vamos a exponer siéntete libre por favor de dejar tu
comentario, tus preguntas, tus dudas, etc.
Política de cookies
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y
ofrecer contenidos y publicidad de interés. Al continuar con la navegación
entendemos que se acepta nuestra Política de cookies . Política de cookies .
Pues bien, hoy vamos a con�gurar ufw en un Ubuntu Server donde corren solo los
servicios imprescindibles para servir páginas web dinámicas. Te invito a que leas los dos
recursos anteriores para seguir la explicación de hoy.

Por si no lo sabes, ufw (Uncomplicated Firewall) es el �rewall predeterminado de

Ubuntu. Se trata de un sistema frontend de iptables que facilita mucho las cosas a
los que quieren con�gurar rápidamente un �rewall y no quieren complicarse
programando reglas de �ltrado de paquetes con iptables. ufw proporciona una capa
de abstracción amigable que permite a los administradores tomar decisiones de �ltrado
más fácilmente que con iptables.

ufw ya viene instalado en Ubuntu, pero está desactivado de forma predeterminada. Para
ver el estado del �rewall:

1 ufw status

Si no lo activaste antes tiene que salirte un mensaje que indica que el �rewall no está
activo. Para activarlo:

1 ufw enable

Si activas ufw de forma remota, con ssh, te saldrá este mensaje:

1 Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Dile que sí (y), pero no antes de asegurarte que dispones de una copia de seguridad de
lo que consideres importante en tu servidor.
Política de cookies
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y
ofrecer contenidos y publicidad de interés. Al continuar con la navegación
entendemos que se acepta nuestra Política de cookies . Política de cookies .
1 ufw default deny

De este modo adoptamos una política de denegación por defecto para las
comunicaciones entrantes, o sea, nuestro Ubuntu Server no aceptará ningún paquete
que le entre.

Como alternativa, podemos elegir una política que acepte por defecto todo el trá�co
entrante, de modo que el administrador tenga que establecer reglas para denegar
comunicaciones determinadas.

En la política deny por defecto el administrador pre�ere abrir a mano los puertos
imprescindibles. Esto tiene la ventaja de que el servidor es más seguro, pero presenta el
inconveniente de que exige al administrador un conocimiento de los servicios que
maneja, y también puede resultar un poco más complicada de mantener.

Lo anterior es una regla general en seguridad informática: a más seguridad, menos

usabilidad del sistema y un tanto más de trabajo en el mantenimiento de dicha política
de seguridad.
Política de cookies
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y
ofrecer contenidos y publicidad de interés. Al continuar con la navegación
entendemos que se acepta nuestra Política de cookies . Política de cookies .
dinámicas.

Suponiendo que hemos cambiado el puerto del servicio ssh a 981, abrimos el puerto
981 para que acepte conexiones TCP:

1 ufw allow 981/tcp

Luego abrimos http:

1 ufw allow 80/tcp

Y abrimos https:

1 ufw allow 443/tcp

Por cierto, si en algún momento te equivocas con alguna regla, que sepas que así como
las hemos puesto con los comandos de arriba, en cualquier momento también puedes
quitarlas a mano así:

1 ufw delete allow 443/tcp

Una vez hecho todo esto tendrías que comprobar el nuevo estado de ufw y comprobar
que todo está ok:

1 ufw status verbose

La salida es esta:

1 Status: active
2 Logging: on (low)
3 Default: deny (incoming), allow (outgoing), disabled (routed)
4 New profiles: skip
5
6 To Action From
Política de cookies
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y
ofrecer contenidos y publicidad de interés. Al continuar con la navegación
entendemos que se acepta nuestra Política de cookies . Política de cookies .
13 981/tcp (v6) ALLOW IN Anywhere (v6)

Es muy importante que te asegures de dejar abierto el puerto del servicio ssh (981 en
nuestro caso porque lo cambiamos cuando hicimos el hardening correspondiente)
porque si no lo haces no podrás entrar a administrar tu servidor de forma remota.

Luego, no está de más que te asegures que tu archivo /etc/ufw/ufw.conf tiene

puesta a yes la entrada ENABLED:

1 # Set to yes to start on boot. If setting this remotely, be sure to add a rule
2 # to allow your remote connection before starting ufw. Eg: 'ufw allow 22/tcp'
3 ENABLED=yes

La con�guración anterior ejecutará ufw al iniciar el sistema.

Algunos recursos recomendados sobre lo que hemos hecho hoy:

Ubuntu documentation on UFW

net�lter/iptables project homepage

Pues bien amig@s, una vez asimilada la teoría que estamos manejando, y una vez
entendido lo que explico en los 2 posts anteriores a que hacía referencia al principio, y
este de hoy de ufw ya podemos levantar un Ubuntu Server seguro en pocos minutos.
Por favor, si hay alguna cosa que ahora mismo no ves muy clara o tienes alguna duda
siéntete libre de dejar tu comentario.

Filed Under: GNU/Linux

Política de cookies
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y
ofrecer contenidos y publicidad de interés. Al continuar con la navegación
entendemos que se acepta nuestra Política de cookies . Política de cookies .
 Política de cookies
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y
ofrecer contenidos y publicidad de interés. Al continuar con la navegación
entendemos que se acepta nuestra Política de cookies . Política de cookies .
 ¡Comenta a Jordi en las redes!

Jordi Bassagañas
378

YouTube 355 Seguir

Política de cookies
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y
ofrecer contenidos y publicidad de interés. Al continuar con la navegación
entendemos que se acepta nuestra Política de cookies . Política de cookies .
 Buscar palabras...

Categorías

Categorías

Elegir categoría

Sobre mí…

¡Hola! Mi nombre es Jordi Bassagañas, soy

desarrollador de apps web titulado en Ingeniería
Informática. Puedes contactar conmigo en
info@programarivm.com y en el tel. +34 685 746 914

Aviso legal | Política de cookies | Contacto

Creative Commons BY-NC-ND

Política de cookies
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y
ofrecer contenidos y publicidad de interés. Al continuar con la navegación
entendemos que se acepta nuestra Política de cookies . Política de cookies .
 Entradas antiguas

Entradas antiguas

Elegir mes

Política de cookies
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y
ofrecer contenidos y publicidad de interés. Al continuar con la navegación
entendemos que se acepta nuestra Política de cookies . Política de cookies .