Introducción a UFW (Firewall Sencillo) en Ubuntu 22.04

UFW o Firewall Sencillo es una aplicación para gestionar un firewall basado en iptables en Ubuntu. UFW es la herramienta de configuración de firewall predeterminada para Ubuntu Linux y proporciona una forma fácil de configurar el firewall. El comando UFW es como el inglés, por lo que los comandos son fáciles de recordar. El firewall UFW soporta IPv4 e IPv6.

UFW también proporciona una aplicación GUI. Si usas un escritorio GNOME, puedes instalar gufw; si usas un escritorio KDE, puedes instalar kcm-ufw.

Requisitos Previos

• Versión de Ubuntu entre 16.04 y 22.04. Las versiones más nuevas de Ubuntu también deberían funcionar.
• privilegios de root

¿Qué se cubre en este tutorial?

1. Instalación de UFW.
2. La Sintaxis Básica de Comandos de UFW.
3. El Comando Permitir y Denegar de UFW.
4. Comandos Avanzados de UFW.
5. Eliminando una regla en UFW.
6. Desactivar y Reiniciar UFW.

Instalación de UFW

Por defecto, UFW ya debería estar instalado en ubuntu 20.04. Puedes probar esto con el comando:

which ufw

Si no devuelve la ruta al comando como se muestra arriba, entonces instala UFW con el siguiente comando apt:

sudo apt install ufw

Luego ejecuta el siguiente comando para habilitar UFW:

sudo ufw enable

Resultado:

El comando puede interrumpir las conexiones ssh existentes. ¿Proceder con la operación (y|n)? y  
El firewall está activo y habilitado al inicio del sistema

La Sintaxis Básica de Comandos de UFW

El comando “ufw enable” activará UFW con las reglas predeterminadas. Puedes verificar que UFW está en funcionamiento emitiendo este comando:

sudo ufw status verbose

Resultado:

Estado: activo  
Registro: encendido (bajo)  
Predeterminado: denegar (entrante), permitir (saliente), deshabilitado (enrutado)  
Nuevos perfiles: omitir

Si deseas desactivar o apagar UFW, puedes usar:

sudo ufw disable

Resultado:

Firewall detenido y deshabilitado al inicio del sistema

El Comando Permitir y Denegar de UFW

1. Comando Permitir de UFW

UFW denegará todas las conexiones entrantes después de que lo actives. Así que lo primero que debes hacer es permitir el acceso SSH para el servidor si deseas gestionar el sistema de forma remota. El comando “ufw allow sshport” permite el acceso por SSH, reemplaza SSHPORT con el puerto del servicio SSH, el puerto SSH predeterminado es 22.

sudo ufw allow 22

Resultado:

Reglas actualizadas  
Reglas actualizadas (v6) #Para IPv6

Si deseas permitir conexiones entrantes en el puerto 22 solo para TCP, añade al final del comando “/ tcp “ como se muestra en el siguiente ejemplo.

sudo ufw allow 22/tcp

Cuando el servicio al que deseas permitir el acceso está escuchando en su puerto predeterminado, entonces puedes usar el nombre del servicio en lugar del número de puerto. Esto facilita abrir el puerto ya que puede que no conozcas el puerto. UFW buscará el número de puerto correcto en /etc/services por ti.

Este comando abrirá el puerto SSH predeterminado:

sudo ufw allow ssh

Ahora verifica la regla con:

sudo ufw status

2. Comando Denegar de UFW

El comando “deny” funciona de manera similar al comando “allow” y se utiliza para cerrar un puerto en el firewall:

Denegar con opción de puerto:

sudo ufw deny 80

Resultado:

Regla actualizada  
Regla actualizada (v6)

Ejemplo de “deny” con nombre de servicio. En este ejemplo, bloquearé el puerto http/80:

sudo ufw deny http

Nota:

Todos los puertos y sus nombres de servicio están listados en el archivo “/etc/services”.

Comandos Avanzados de UFW

Ahora profundizaremos en la sintaxis de comandos de UFW, aprenderemos cómo permitir rangos de puertos (por ejemplo, para los puertos pasivos de FTP), y acceso desde una IP o subred solamente.

1. Permitir un Rango de Puertos

Puedes permitir un rango de puertos en UFW. Algunos servicios como FTP o IRC utilizan un rango de puertos para comunicarse con sus clientes.

Para este ejemplo, permitiremos el rango de puertos que utiliza ircd en mi servidor. El rango es del puerto 6660 al 6670:

sudo ufw allow 6660:6670/tcp  
sudo ufw allow 6660:6670/udp

El comando permitirá conexiones a los puertos 6660-6670 a través del protocolo TCP y UDP.

2. Permitir una Dirección IP Específica

Y puedes añadir una IP específica para permitir el acceso a todos los servicios añadiendo la opción “ from “. Esto es, por ejemplo, útil si tienes una IP estática en casa o en la oficina y deseas permitir el acceso a todos los servicios en tu servidor desde allí. El siguiente comando permitirá que la IP 192.168.1.106 acceda a todos los puertos en el servidor:

sudo ufw allow from 192.168.1.106

Resultado:

Regla añadida

3. Permitir Subred

Si deseas permitir todas las direcciones IP en tu subred, puedes añadir la subred IP (rango de direcciones IP) al comando UFW así:

sudo ufw allow from 192.168.1.1/24

Resultado:

ADVERTENCIA: Regla cambiada después de la normalización  
Regla añadida

4. Permitir acceso desde una dirección IP específica a un puerto

Si deseas permitir el acceso a un puerto desde una IP específica solamente, puedes combinar los comandos UFW que aprendimos anteriormente.

Por ejemplo, solo la IP 192.168.1.106 puede acceder a puerto ssh 22 TCP, y otras IPs serán rechazadas desde ese puerto, puedes usar el siguiente comando:

sudo ufw allow from 192.168.1.106 proto tcp to any port 22

Resultado:

Regla añadida

5. Permitir todo el Tráfico Entrante a un Puerto Específico

Si deseas permitir todo el tráfico en el puerto 80, puedes usar este comando:

sudo ufw allow to any port 80

Eliminando una Regla del Firewall UFW

En esta sección, aprenderás cómo eliminar una regla que está guardada en UFW. Puedes usar el comando “ delete “ para eliminar la regla de ufw. Por favor, escribe el comando “ ufw delete “ seguido de la opción que deseas eliminar, allow o deny.

Aquí hay algunos ejemplos:

Eliminando la regla permitir SSH con nombre de servicio:

sudo ufw delete allow ssh

Resultado:

Regla eliminada  
Regla eliminada (v6)

Ese comando eliminará la regla “ allow ssh “. Ten cuidado, no te bloquees fuera del servidor.

Eliminar la regla “deny” en el puerto 80:

sudo ufw delete deny 80

Resultado:

Regla eliminada  
Regla eliminada (v6)

Si tienes una regla compleja, entonces hay una forma simple de identificar y eliminar la regla por su ID de regla. Ejecuta el siguiente comando para obtener una lista de todas las reglas con sus ID:

sudo ufw status numbered

Resultado:

Estado: activo  
   
     Para                             Acción      Desde  
     --                             ------      ----  
[ 1] 22/tcp                         PERMITIR EN    Cualquier lugar  
[ 2] 22/tcp (v6)                    PERMITIR EN    Cualquier lugar (v6)

Ahora elimina la regla SSH solo para IPv6 usando el número de la regla:

sudo ufw delete 2

Desactivar y Reiniciar UFW

Si deseas apagar UFW sin eliminar tus reglas, puedes usar el comando “ disable “:

sudo ufw disable

Resultado:

Firewall detenido y deshabilitado al inicio del sistema

Si deseas apagar UFW completamente y eliminar todas las reglas, puedes usar el comando “ reset “:

sudo ufw reset

Resultado:

Restableciendo todas las reglas a los valores predeterminados instalados. Esto puede interrumpir las conexiones ssh existentes.  
¿Proceder con la operación (y|n)? y  
Respaldando 'after6.rules' a '/etc/ufw/after6.rules.20150918_190351'  
Respaldando 'user.rules' a '/lib/ufw/user.rules.20150918_190351'  
Respaldando 'after.rules' a '/etc/ufw/after.rules.20150918_190351'  
Respaldando 'before.rules' a '/etc/ufw/before.rules.20150918_190351'  
Respaldando 'before6.rules' a '/etc/ufw/before6.rules.20150918_190351'  
Respaldando 'user6.rules' a '/lib/ufw/user6.rules.20150918_190351'

Conclusión

UFW (Firewall Sencillo) es la herramienta de configuración de firewall predeterminada en Ubuntu. Los comandos de UFW son similares al inglés, lo que los hace fáciles de usar y recordar. Este tutorial de UFW es una guía para comenzar con esta útil herramienta de firewall, si deseas saber más sobre UFW, puedes ir a la wiki de ubuntu o a la página de manual de ufw.