{"id":211,"date":"2020-05-18T23:39:17","date_gmt":"2020-05-18T23:39:17","guid":{"rendered":"http:\/\/dsantana.uas.edu.mx\/?p=211"},"modified":"2022-02-23T16:57:27","modified_gmt":"2022-02-23T16:57:27","slug":"ufw","status":"publish","type":"post","link":"https:\/\/dsantana.uas.edu.mx\/index.php\/2020\/05\/18\/ufw\/","title":{"rendered":"UFW"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

La instalaci\u00f3n de la UFW<\/em> (abreviatura de \u201cUncomplicated Firewall\u201d o \u201ccortafuegos sin complicaciones\u201d) le permite definir pol\u00edticas de seguridad de la red, la creaci\u00f3n de limitaciones o permisos para acceder a diferentes servicios o aplicaciones.<\/p>\n\n\n\n

Instalaci\u00f3n<\/strong><\/p>\n\n\n\n

root@server:~# apt-get install ufw<\/code><\/pre>\n\n\n\n
Configuraci\u00f3n<\/strong><\/p>\n\n\n\n
La configuraci\u00f3n de UFW<\/em> se realiza a trav\u00e9s de la l\u00ednea de comandos.<\/p>\n\n\n\n
La configuraci\u00f3n predeterminada de UFW<\/em> permite a nuestro servidor para iniciar las comunicaciones con el exterior (DEFAULT_OUTPUT_POLICY=\u201cACCEPT\u201d<\/strong>), pero ignora cualquier intento de acceso al servidor desde fuera (DEFAULT_INPUT_POLICY=\u201cDROP\u201d<\/strong>). Esta configuraci\u00f3n impide, por ejemplo, el acceso a un servidor remoto.<\/p>\n\n\n\n
En primero lugar debe ser garantizado el acceso al servidor remoto por ssh<\/em>:<\/p>\n\n\n\n
root@server:~# ufw allow ssh\/tcp<\/code><\/pre>\n\n\n\n
Tambi\u00e9n es necesario activar el registro de eventos:<\/p>\n\n\n\n
root@server:~# ufw logging on<\/code><\/pre>\n\n\n\n
Por \u00faltimo, el cortafuegos debe estar activado:<\/p>\n\n\n\n
root@server:~# ufw enable\nCommand may disrupt existing ssh connections. Proceed with operation (y|n)? y\nFirewall is active and enabled on system startup<\/code><\/pre>\n\n\n\n
A partir de este momento s\u00f3lo se puede acceder al servidor de forma remota utilizando el protocolo ssh<\/em> que utiliza el puerto de acceso remoto 22. Ser\u00e1 negada a cualquier otro servicio disponible en el servidor.Sugerencia<\/strong><\/p>\n\n\n\n
ufw disable\nufw reset<\/code><\/pre>\n\n\n\n
Verificaci\u00f3n<\/strong><\/p>\n\n\n\n
En cualquier momento usted puede comprobar el estado del cortafuego:<\/p>\n\n\n\n
root@server:~# ufw status verbose\nStatus: active\nLogging: on (low)\nDefault: deny (incoming), allow (outgoing)\nNew profiles: skip\n \nTo                         Action      From\n--                         ------      ----\n22\/tcp                     ALLOW IN    Anywhere\n22\/tcp                     ALLOW IN    Anywhere (v6)<\/code><\/pre>\n\n\n\n
En este caso, el cortafuegos s\u00f3lo acepta conexiones desde el exterior en el puerto 22 (protocolo ssh<\/em>).<\/p>\n\n\n\n
Ejemplos de configuraci\u00f3n<\/strong><\/p>\n\n\n\n
S\u00f3lo a modo de ejemplo se enumeran algunas configuraciones posibles para un servidor. \u00daselos bajo su propio riesgo: declino toda responsabilidad por su uso<\/strong>. Es la advertencia!<\/p>\n\n\n\n
Para m\u00e1s detalles sobre los ajustes sugeridos, vea Diagrama de la Red<\/a>.<\/p>\n\n\n\n
Ejemplo 1<\/strong>: abierto a todas las redes de servicios (Internet e Intranet)<\/p>\n\n\n\n
Estos servicios pueden aceptar conexiones desde cualquier direcci\u00f3n.<\/p>\n\n\n\n
Puerto<\/th>Servicio \/ Descripci\u00f3n<\/th>Configuraci\u00f3n ufw<\/code><\/th>Referencia<\/th><\/tr><\/thead>
22<\/td>SSH<\/strong> \/ Secure Shell<\/td>ufw allow ssh\/tcp<\/code><\/td>Servidor Ssh<\/td><\/tr>
25<\/td>SMTP<\/strong> \/ Simple Mail Transfer Protocol<\/td>ufw allow smtp\/tcp<\/code><\/td>Servidor SMTP
Servidor SMTP com autenticaci\u00f3n (s\u00f3lo si se ha configurado con soporte SASL)<\/td><\/tr>
443<\/td>HTTPS<\/strong> \/ Hypertext Transfer Protocol over TLS\/SSL<\/td>ufw allow https\/tcp<\/code><\/td>Servidor Ssh<\/td><\/tr>
993<\/td>IMAPS<\/strong> \/ Internet Message Access Protocol over TLS\/SSL<\/td>ufw allow imaps\/tcp<\/code><\/td>Servidor IMAP\/IMAPS<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Ejemplo 2<\/strong>: servicios abiertos s\u00f3lo a la red interna (Intranet)<\/p>\n\n\n\n
Esta configuraci\u00f3n s\u00f3lo acepta conexiones desde el mismo segmento de red que el servidor (192.168.1.0\/24), tal como en el caso de una red interna o Intranet. La red debe ser protegida desde el exterior a trav\u00e9s de otro cortafuegos.<\/p>\n\n\n\n
root@server:~# ufw allow from 192.168.1.0\/24\nRules updated<\/code><\/pre>\n\n\n\n
Ejemplo 3<\/strong>: Configuraci\u00f3n Mixta (Intranet e Internet)<\/p>\n\n\n\n
En este ejemplo, usted puede tener acceso a todos los servicios de la red interna (192.168.1.0\/24), pero desde el exterior s\u00f3lo se puede acceder a los servicios ssh<\/em> y https<\/em>:<\/p>\n\n\n\n
root@server:~# ufw allow ssh\nRules updated\nRules updated (v6)\nroot@server:~# ufw allow https\nRules updated\nRules updated (v6)\nroot@server:~# ufw allow from 192.168.1.0\/24\nRules updated<\/code><\/pre>\n\n\n\n
El perfil de la configuraci\u00f3n es como sigue:<\/p>\n\n\n\n
root@server:~# ufw status verbose\nStatus: active\nLogging: on (low)\nDefault: deny (incoming), allow (outgoing)\nNew profiles: skip\n \nTo                         Action      From\n--                         ------      ----\nAnywhere                   ALLOW IN    192.168.1.0\/24\n22                         ALLOW IN    Anywhere\n80                         ALLOW IN    Anywhere\n443                        ALLOW IN    Anywhere\n22                         ALLOW IN    Anywhere (v6)\n80                         ALLOW IN    Anywhere (v6)\n443                        ALLOW IN    Anywhere (v6)<\/code><\/pre>\n","protected":false},"excerpt":{"rendered":"
Uncomplicated Firewall (ufw) es un cortafuegos dise\u00f1ado para ser de f\u00e1cil uso desarrollado por Debian. Utiliza la l\u00ednea de comandos para configurar las iptables usando un peque\u00f1o n\u00famero de comandos simples.<\/p>\n","protected":false},"author":1,"featured_media":301,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16,5,12,10,6],"tags":[37],"class_list":["post-211","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-debian","category-docencia","category-linux","category-sistemas-operativos","category-talleres","tag-ufw"],"_links":{"self":[{"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/posts\/211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/comments?post=211"}],"version-history":[{"count":5,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/posts\/211\/revisions"}],"predecessor-version":[{"id":317,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/posts\/211\/revisions\/317"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/media\/301"}],"wp:attachment":[{"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/media?parent=211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/categories?post=211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/tags?post=211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}