Habilitar, deshabilitar y configurar el firewall en Ubuntu 24.04 [Guía para principiantes]
Esta es una guía para principiantes que le muestra cómo habilitar, deshabilitar y configurar el firewall en Ubuntu usando UFW.
Firewall es un sistema de seguridad de red que monitorea el tráfico de red entrante y saliente y decide si permite o bloquea tráfico específico según reglas de seguridad predefinidas.
El kernel de Linux tiene el subsistema Netfilter, que se implementa como filtro de paquetes y firewall. Iptables (y nftables, el sucesor de iptables) es la herramienta de línea de comandos a nivel de usuario para configurar el firewall agregando o eliminando reglas de netfilter.
Iptables (y nftables) es mucho más flexible pero realmente difícil para los principiantes. UFW (Firewall sin complicaciones), la interfaz fácil de usar para iptables, es de la que hablaré a continuación.
Habilitar firewall en Ubuntu
UFW suele estar preinstalado tanto en el escritorio como en el servidor de Ubuntu, aunque NO está habilitado de forma predeterminada.
Por si acaso, puede abrir la terminal (Ctrl+Alt+T) y ejecutar el comando para instalarlo:
sudo apt install ufw
Como se mencionó, el firewall generalmente no está habilitado de manera predeterminada. Para verificar su estado, use el comando:
sudo ufw status
Le mostrará “Estado: activo” o “Estado: activo” junto con las reglas agregadas por el usuario.
NOTA: Admite agregar reglas antes de habilitar ufw. Para el servidor remoto, ejecute sudo ufw enable ssh
para incluir ssh en la lista blanca primero, o perderá la conexión SSH. Si se está utilizando un puerto SSH no predeterminado, por ejemplo el puerto 1234, utilice el comando sudo ufw enable 1234/tcp
en su lugar.
Para habilitar el firewall, simplemente ejecute el comando:
sudo ufw enable
Debería mostrar "El firewall está activo y habilitado al iniciar el sistema" si el comando se realizó correctamente.
Configurar el firewall usando UFW
1. Verifique el estado y las reglas agregadas
Como se mencionó anteriormente, puede verificar el estado del firewall ejecutando el siguiente comando:
sudo ufw status
Le mostrará si el firewall está activado o no. En caso afirmativo, también muestra todas las reglas agregadas por el usuario.
Sin embargo, para comprobar las reglas agregadas por el usuario incluso cuando el firewall está desactivado, este comando puede resultar útil:
sudo ufw show added
2. Configurar la política predeterminada de UFW
La política de firewall predeterminada permite cualquier tráfico saliente, lo que significa que desde la PC/Servidor de Ubuntu puede acceder a cualquier sitio web, usar los comandos apt
, wget
, etc. para instalar/descargar algo en su sistema.
Sin embargo, entrante está deshabilitado de forma predeterminada. Debe agregar sus propias reglas para permitir que sistemas externos se conecten a su máquina. Todo el enrutamiento y reenvío también están deshabilitados, lo cual es un buen valor predeterminado si no está utilizando su máquina como enrutador.
Para verificar la política predeterminada, use el comando:
sudo ufw status verbose
Si desea cambiar la política predeterminada, por ejemplo, denegar salidas, use el comando:
sudo ufw default deny outgoing
Después de eso, si desea acceder a sistemas externos, puede volver a permitir todo el tráfico saliente a través de:
sudo ufw default allow outgoing
O agregue manualmente reglas de salida para ciertos puertos. Por ejemplo, agregue reglas de firewall a continuación para permitir el uso del comando apt para instalar algo:
sudo ufw allow out 53/udp
sudo ufw allow out 80/tcp
Cuando termine, puede eliminar las reglas, de modo que todas las salidas se rechacen nuevamente:
sudo ufw delete allow out 53/udp
sudo ufw delete allow out 80/tcp
3. Agregar reglas UFW
Como los comandos mencionados anteriormente, puede usar el comando ufw enable
para permitir el tráfico entrante (y/o saliente) a un puerto específico, y usar el comando ufw deny
para denegar el tráfico.
Por ejemplo, permitir la entrada al puerto 80 (tanto tcp como udp) desde cualquier lugar, use el comando:
sudo ufw allow 80
O permita la entrada al puerto 53 solo para udp, use el comando:
sudo ufw allow 53/udp
Para ser más específico, puede saber desde dónde se permite el tráfico a cierto puerto en la máquina actual. Por ejemplo, el siguiente comando configura el firewall para permitir IP remotas entre 192.168.0.0 y 192.168.0.255 al puerto tcp 22 en este host.
sudo ufw allow from 192.168.0.0/24 to any port 22 proto tcp
"cualquier" en el último comando significa cualquier interfaz de red en el host local. Para especificar cierta IP en este host, 192.168.0.100 por ejemplo, el último comando puede ser:
sudo ufw allow from 192.168.0.0/24 to 192.168.0.100 port 22 proto tcp
Como se mencionó anteriormente, también puede usar el nombre del servicio en el comando UFW para permitir (o denegar) ciertos tráficos. Por ejemplo:
sudo ufw allow smtp
Este comando permitirá el puerto SMTP 25, incluso cuando el servicio no esté instalado. Sin embargo, solo establece y siempre establecerá el puerto predeterminado del servicio (por ejemplo, 22 para ssh) incluso cuando se esté utilizando uno personalizado.
4. Eliminar las reglas del muro de archivos UFW
Para eliminar reglas ufw, simplemente agregue la operación delete
entre ufw
y allow
(o deny
). ) en los últimos comandos que ejecutes.
Primero, enumere las reglas agregadas mediante el comando:
sudo ufw show added
Luego, elimine una regla. Por ejemplo, deshacer
allow 53/udp
:sudo ufw delete allow 53/udp
Si ufw está en estado activado, puede enumerar todas las reglas agregadas con números de línea y luego eliminarlas mediante el número deseado:
Primero, muestra el estado de ufw así como las reglas agregadas con números:
sudo ufw status numbered
Luego, elimine la primera regla mediante:
sudo ufw delete 1
5. Deshabilite IPv6
Las reglas del firewall ufw se aplican de forma predeterminada tanto a IPv6 como a IPv4.
Si desea excluir IPv6 de todas las reglas de firewall, edite el archivo /etc/default/ufw
mediante el comando:
sudo nano /etc/default/ufw
Luego, cambie IPV6=yes
a IPV6=no
. Finalmente, presione Ctrl+S y luego Ctrl+X para salir. Además, ejecute sudo ufw reload
para aplicar los cambios.
O especifique la dirección IPv4 en sus reglas. Por ejemplo:
ufw allow to 0.0.0.0/0 port 80 proto tcp
Esta regla permitirá el tráfico desde cualquier lugar al puerto 80/tcp en este host a través de todas las interfaces ipv4.
Deshabilitar el cortafuegos
Para desactivar el firewall, simplemente ejecute:
sudo ufw disable
Mostrará "Firewall detenido y deshabilitado al iniciar el sistema". Sin embargo, todas las reglas agregadas por el usuario aún permanecen allí, aunque NO funcionan.
Para elegir, puede restablecer ufw mediante el comando:
sudo ufw reset
Lo que deshabilitará el firewall (si está habilitado) y luego restablecerá todas las reglas a los valores predeterminados instalados.