Gestionar un firewall en Ubuntu con ufw

Un cortafuegos o firewall es un elemento de seguridad de red que bloquea los accesos no autorizados. Un uso típico es situarlo entre una red local e Internet.

Un Ubuntu disponemos de serie de uno muy simple: ufw (Uncomplicated firewall). En realidad es una herramienta de configuración del subsistema del kernel Netfilter, que es un sistema de filtrado de paquetes.

Como su propio nombre indica ufw es muy simple pero a nosotros nos va a poder hacer un trabajo muy adecuado con una configuración sencilla y rápida mediante reglas.

En principio viene ya instalado en nuestra Ubuntu pero si no fuera así lo instalaremos mediante:

$ sudo apt-get update

Con ello actualizamos las bases de datos de nuestros repositorios y ahora instalamos propiamente la herramienta:

$ sudo apt-get install ufw

Para arrancar el firewall (hay que trabajar como root o superusuario todo el tiempo):

$ sudo ufw enable

Ahora vamos a cerrar todos los puertos para ir abriendo después solo los que necesitemos, que es el mejor inicio fiable como sistema seguro:

$ sudo ufw default deny

En este momento están todos bloqueados. Vamos a activar el sistema de logs para ir conociendo todo lo que pasa:

$ sudo ufw logging on

Podemos ver ese log mediante:

# tail -f /var/log/messages

Podemos saber también el estado de nuestro firewall:

$ sudo ufw status

Ahora vamos a empezar a abrir los puertos que queremos usar añadiendo reglas. Empezaremos por el ssh:

$ sudo ufw allow ssh

Esto permitirá el tráfico por el puerto que esté utilizando el ssh, normalmente el 22.
Si quisieramos abrir el puerto 21 para el tráfico ftp el comando sería:

$ sudo ufw allow 21

Del mismo modo podemos abrir los puertos para nuestro servidor apache bien mediante:

$ sudo ufw allow http

O bien mediante la especificación directa del puerto usado:

$ sudo ufw allow 80/tcp

Podemos también añadir una regla que permita todas las conexiones desde una IP determinada:

$ sudo ufw allow from 192.168.1.22

O por ejemplo permitir el tráfico samba en toda nuestra red privada:

$ sudo ufw allow from 192.168.1.0/24 to any app Samba

Si quisieramos eliminar alguna de estas reglas, es tan fácil como:

$ sudo ufw delete allow 21

con lo que habremos eliminado la regla que abría el puerto para el tráfico ftp (el puerto 21) y volverá a estar cerrado.

Podemos volver a hacer ahora un ufw status y comprobar como aparecen todas las reglas que hemos insertado.

Del mismo modo podríamos haber comenzado abriendo todos los puertos (este sistema es más inseguro) mediante:

$ sudo ufw default allow

E ir cerrando ahora los puertos que queremos bloquear, como por ejemplo:

$ sudo ufw deny 5800/tcp
$ sudo ufw deny 5900/tcp

para bloquear el acceso de VNC (protocolo de escritorio remoto)o bloquear el acceso desde un host concreto mediante:

$ sudo ufw deny from 212.9.118.52

Si en algún momento necesitáramos desactivar nuestro cortafuegos podemos pararlo con:

$ sudo ufw disable

Podeis consultar la ayuda con el nunca suficientemente valorado:

# man ufw

Por último si en la máquina en que instalais el cortafuegos teneis entorno gráfico, quizás deseeis tener una interfaz muy simple para gestionarlo: gufw.
Podeis instalarla mediante:

$ sudo apt-get install gufw

Vereis que es realmente muy sencillo incluir nuevas reglas e incluso viene con las más habituales preconfiguradas para que sea aun más fácil activarlas.

Espero que os sirva de ayuda.