Un cortafuegos o firewall es un elemento de seguridad de red que bloquea los accesos no autorizados. Un uso típico es situarlo entre una red local e Internet.
Un Ubuntu disponemos de serie de uno muy simple: ufw (Uncomplicated firewall). En realidad es una herramienta de configuración del subsistema del kernel Netfilter, que es un sistema de filtrado de paquetes.
Como su propio nombre indica ufw es muy simple pero a nosotros nos va a poder hacer un trabajo muy adecuado con una configuración sencilla y rápida mediante reglas.
En principio viene ya instalado en nuestra Ubuntu pero si no fuera así lo instalaremos mediante:
$ sudo apt-get update
Con ello actualizamos las bases de datos de nuestros repositorios y ahora instalamos propiamente la herramienta:
$ sudo apt-get install ufw
Para arrancar el firewall (hay que trabajar como root o superusuario todo el tiempo):
$ sudo ufw enable
Ahora vamos a cerrar todos los puertos para ir abriendo después solo los que necesitemos, que es el mejor inicio fiable como sistema seguro:
$ sudo ufw default deny
En este momento están todos bloqueados. Vamos a activar el sistema de logs para ir conociendo todo lo que pasa:
$ sudo ufw logging on
Podemos ver ese log mediante:
# tail -f /var/log/messages
Podemos saber también el estado de nuestro firewall:
$ sudo ufw status
Ahora vamos a empezar a abrir los puertos que queremos usar añadiendo reglas. Empezaremos por el ssh:
$ sudo ufw allow ssh
Esto permitirá el tráfico por el puerto que esté utilizando el ssh, normalmente el 22.
Si quisieramos abrir el puerto 21 para el tráfico ftp el comando sería:
$ sudo ufw allow 21
Del mismo modo podemos abrir los puertos para nuestro servidor apache bien mediante:
$ sudo ufw allow http
O bien mediante la especificación directa del puerto usado:
$ sudo ufw allow 80/tcp
Podemos también añadir una regla que permita todas las conexiones desde una IP determinada:
$ sudo ufw allow from 192.168.1.22
O por ejemplo permitir el tráfico samba en toda nuestra red privada:
$ sudo ufw allow from 192.168.1.0/24 to any app Samba
Si quisieramos eliminar alguna de estas reglas, es tan fácil como:
$ sudo ufw delete allow 21
con lo que habremos eliminado la regla que abría el puerto para el tráfico ftp (el puerto 21) y volverá a estar cerrado.
Podemos volver a hacer ahora un ufw status y comprobar como aparecen todas las reglas que hemos insertado.
Del mismo modo podríamos haber comenzado abriendo todos los puertos (este sistema es más inseguro) mediante:
$ sudo ufw default allow
E ir cerrando ahora los puertos que queremos bloquear, como por ejemplo:
$ sudo ufw deny 5800/tcp
$ sudo ufw deny 5900/tcp
para bloquear el acceso de VNC (protocolo de escritorio remoto)o bloquear el acceso desde un host concreto mediante:
$ sudo ufw deny from 212.9.118.52
Si en algún momento necesitáramos desactivar nuestro cortafuegos podemos pararlo con:
$ sudo ufw disable
Podeis consultar la ayuda con el nunca suficientemente valorado:
# man ufw
Por último si en la máquina en que instalais el cortafuegos teneis entorno gráfico, quizás deseeis tener una interfaz muy simple para gestionarlo: gufw.
Podeis instalarla mediante:
$ sudo apt-get install gufw
Vereis que es realmente muy sencillo incluir nuevas reglas e incluso viene con las más habituales preconfiguradas para que sea aun más fácil activarlas.
Espero que os sirva de ayuda.
Gracias por el articulo. estaba buscando como manejarme con ufw sin entorno grafico.
Buen blog!
Gracias a ti por comentar, me alegro de que te haya servido.
Hombre. Me ha esclarecido muchas dudas este post. Ahora sé manipular mi firewall mediante comandos. Voy a regresar más seguido por aquí. Saludos
excelente información nos sirvió de mucha ayuda
muy buenos pasos 🙂
Gracias socio, me alegro de que os sirviera 🙂
he leido con atencion tu informacion sobre UFW.
pero continuo sin saber como activar los servicios para la impresora en red.¿Cómo activo mdns?
lo tengo en red via samba, me detecta los ordenadores en red , per…no hay manera de detectar impresoras, y por supuesto están compartidas en w7 y en xp
gracias Fina
Excelente información, disculpa una pregunta alguna ves haz configurado ldap en ubuntu.
Saludos
No, lo siento, no lo he configurado nunca. Gracias por comentar.
buenas. este es el archivo ufw.log? que tamaño es normal que tenga? porque el de mi pc es de 5 GB y no me parece que sea el adecuado. Me ocupa mucho tamaño en disco y eso me genera un problema.
Hola, a ver si esto puede ayudarte a que el fichero se renueve para que no ocupe tanto espacio: http://dajul.com/2011/01/29/ufw-log-fuera-de-syslog/