Comandos UFW para Ubuntu: Firewall Configuración, reglas, IPv4/IPv6, Mejores prácticas

Introducción

Esta guía explica cómo configurar y administrar UFW (Uncomplicated Firewall) Sobre Ubuntu servidores. Aprenderá a habilitar el firewall, crear y eliminar reglas, administrar perfiles de servicio y proteger ambos. IPv4 y tráfico de red IPv6.

Comprobando UFW Firewall Estado en Ubuntu

Para comprobar si el firewall está activo:

Si ve Estado: inactivo, significa que el firewall está actualmente deshabilitado.

Habilitación de UFW

Para habilitar UFW:

Para ver la lista de reglas actuales:

Deshabilitar UFW

Para desactivar temporalmente el firewall:

Nota: Esto desactiva por completo su firewall. ¡Úselo con precaución!

Bloqueo de direcciones IP y subredes

• Bloquear una IP específica:

• Bloquear una subred completa:

• Bloquear una IP en una interfaz específica:

Permitir direcciones IP

• Permitir todo el tráfico desde una IP específica:

• Permitir el tráfico entrante desde una IP en una interfaz específica:

Eliminación de reglas

• Eliminar una regla por sus parámetros:

• Eliminar una regla por número:

Perfiles de aplicación

UFW puede utilizar perfiles predefinidos para servicios comunes:

• Lista de perfiles disponibles:

• Habilitar un perfil (por ejemplo, Abrir)SSH):

• Eliminar un perfil:

Apertura de puertos comunes

• SSH (puerto 22):

• HTTP (puerto 80):

• HTTPS (puerto 443):

• HTTP + HTTPS combinado:

Permitir conexiones a bases de datos

• MySQL (puerto 3306):

• PostgreSQL (puerto 5432):

• Permitir una subred:

Preguntas frecuentes: UFW (Sin complicaciones) Firewall) Sobre Ubuntu

• P1: ¿Cuál es el orden más seguro para habilitar UFW en un servidor remoto?
  A: Establecer valores predeterminados → permitir SSH → habilitar.
  sudo ufw default deny incoming
  sudo ufw default allow outgoing
  sudo ufw allow OpenSSH
  sudo ufw enable

   

• P2: ¿Cómo puedo auditar lo que está permitido actualmente?
  A:
  sudo ufw status verbose

  O con numeración:

  sudo ufw status numbered

   

• P3: ¿Qué pasa si me bloqueo? SSH ¿Y perdiste el acceso?
  A: Utilice la consola de su proveedor de alojamiento (KVM/serial/web console), luego ejecute:
  sudo ufw allow OpenSSH

  O deshabilitar temporalmente UFW:

  sudo ufw disable

   

• P4: ¿Puedo limitar la velocidad? SSH ¿En lugar de simplemente permitirlo?
  R: Sí, este es un paso de endurecimiento común:
  sudo ufw limit OpenSSH

  (o sudo ufw limit 22/tcp)

   

• Q5: ¿Cómo puedo permitir múltiples puertos de forma limpia?
  A:
  sudo ufw allow 80,443/tcp

  O rangos:

  sudo ufw allow 60000:61000/udp

   

• P6: ¿Cómo puedo hacer que UFW se aplique también a IPv6?
  A: En /etc/default/ufw, configure:
  IPV6=sí
  Luego recarga:
  sudo ufw reload

   

• P7: ¿Por qué se expone? MySQL/PostgreSQL ¿A “cualquiera” una mala idea?
  R: Las bases de datos son objetivos de alto valor. Permítalas solo desde direcciones IP/subredes confiables (o redes privadas/VPN) Ejemplo:
  sudo ufw allow from 91.198.174.33 to any port 5432 proto tcp

   

• P8: ¿Cómo puedo eliminar rápidamente una regla incorrecta?
  A:
  sudo ufw status numbered
  sudo ufw delete <rule_number>

   

• Q9: ¿Cómo activo los registros de UFW?
  A:
  sudo ufw logging on

  Para ver el nivel de registro:

  sudo ufw status verbose

Mejores prácticas de la UFW para Ubuntu Servidores

Mejores prácticas de la UFW para Ubuntu servidores:

• Permitir SSH antes de habilitar UFW (prefiero limitar en lugar de permitir para reducir los intentos de fuerza bruta).
• Establezca una línea base segura: deniegue la entrada de forma predeterminada, permita la salida y luego abra solo lo que necesite.
• Nunca exponga bases de datos a Internet: permita MySQL/PostgreSQL sólo desde IP confiables o redes privadas.
• Habilite el registro y audite periódicamente las reglas para eliminar excepciones obsoletas.
• Si usa IPv6, asegúrese de que esté habilitado en UFW (IPV6=sí) para que las reglas protejan ambas pilas.
• Utilice una consola de proveedor (KVM/serial) como respaldo en caso de que se quede bloqueado.

Conclusión

UFW es una forma sencilla y confiable de endurecer un Ubuntu Servidor controlando el tráfico entrante y saliente sin tener que lidiar directamente con las reglas de iptables. En esta guía, instaló UFW, verificó el estado y activó el firewall de forma segura sin perder... SSH acceso y aprendió cómo permitir o bloquear puertos, IP, subredes y perfiles de servicio.
Para una configuración segura, comience con una política predeterminada restrictiva, exponga solo los servicios requeridos (SSH/HTTP/HTTPS), limite el acceso a puertos sensibles como bases de datos y revise periódicamente las reglas y los registros, especialmente si su servidor usa ambos. IPv4 e IPv6.