Administración sencilla del firewall con UWF

firewall ubuntu

El firewall se ha convertido en la actualidad en una de las herramientas básicas de seguridad para cualquier equipo, ya sea doméstico o empresarial. Su configuración a menudo no es sencilla y puede resultar un quebradero de cabeza para los usuarios menos experimentados. Para ayudar en esta labor existen herramientas como UWF (Uncomplicated Firewall) que trata de simplificar la gestión de reglas del firewall del equipo.

UWF es un front-end de iptables que se adapta especialmente bien a servidores y es, de hecho, la herramienta de configuración por defecto en Ubuntu Linux. Su desarrollo se llevó a cabo con la idea de crear una aplicación sencilla y fácil de utilizar y así ha sido. Crear reglas para direcciones IPv4 e IPv6 nunca ha sido tan sencillo. En el tutorial que a continuación os mostramos, os enseñaremos a emplear las instrucciones básicas de UWF para configurar las reglas típicas que podéis necesitar en vuestro firewall.

Las tareas básicas que podemos llevar a cabo en el firewall del sistema son muy variadas e incluyen desde el bloqueo de una determinada dirección IP o un puerto a permitir el tráfico solamente de una subred específica. Haremos a continuación un repaso de aquellas más relevantes empleando los comandos precisos para invocar UWF, eso sí, siempre desde el terminal del sistema:

Bloquear con UWF una dirección IP específica

La sintaxis básica que deberemos introducir es la siguiente:

sudo ufw deny from {dirección-ip} to any

Para bloquear o impedir el paso de todos los paquetes de una dirección IP concreta introduciremos:

 sudo ufw deny from {dirección-ip} to any 

Mostrar el estado del firewall y sus reglas

Podemos verificar las nuevas reglas que acabamos de introducir con la siguiente sentencia:

$ sudo ufw status numbered

O bien con el siguiente comando:

$ sudo ufw status

uwf-imagen
Bloqueo específico de una dirección IP o de un puerto concreto

La sintaxis en este caso sería la siguiente:

ufw deny from {dirección-ip} to any port {número-puerto}

De nuevo, si queremos verificar las reglas lo haremos con el siguiente comando:

$ sudo ufw status numbered

Un ejemplo de la salida que nos proporcionaría este comando es la siguiente:

Status: active   
To Action From -- ------ ---- 
[ 1] 192.168.1.10 80/tcp ALLOW Anywhere 
[ 2] 192.168.1.10 22/tcp ALLOW Anywhere 
[ 3] Anywhere DENY 192.168.1.20 
[ 4] 80 DENY IN 202.54.1.5

Bloquear una dirección IP específica, un puerto y un tipo de protocolo

Para poder bloquear una dirección IP concreta, un puerto y/o un tipo de protocolo en vuestro equipo, deberéis introducir el siguiente comando:

sudo ufw deny proto {tcp|udp} from {dirección-ip} to any port {número-puerto}

Por ejemplo, si estuviéramos recibiendo el ataque de un hacker desde la dirección IP 202.54.1.1, a través del puerto 22 y bajo el protocolo TCP, la sentencia a introducir sería la siguiente:

$ sudo ufw deny proto tcp from 202.54.1.1 to any port 22
$ sudo ufw status numbered

Bloqueo de una subred

Para este caso concreto la sintaxis es muy similar a los casos anteriores, fijaros:

$ sudo ufw deny proto tcp from sub/net to any port 22
$ sudo ufw deny proto tcp from 202.54.1.0/24 to any port 22

Eliminar el bloqueo de una dirección IP o borrar una regla

Si ya no queréis bloquear una dirección IP dentro de vuestro sistema o simplemente os habéis confundido al introducir una regla, probad con el siguiente comando:

$ sudo ufw status numbered
$ sudo ufw delete NUM

Por ejemplo, si deseamos eliminar la regla número 4 deberemos introducir el comando de la siguiente forma:

$ sudo ufw delete 4

Como resultado del comando introducido, obtendríamos un mensaje por pantalla similar al siguiente que os mostramos:

Deleting:
 deny from 202.54.1.5 to any port 80
Proceed with operation (y|n)? y
Rule deleted

Cómo hacer que UWF no bloquee una dirección IP

Las reglas que UWF (o iptables, según se mire) aplica son siempre siguiendo su orden y se ejecutan tan pronto como se produce alguna coincidencia. Así, por ejemplo, si una regla está permitiendo que un equipo con una dirección IP concreta se conecte a nuestro ordenador a través del puerto 22 y mediante protocolo TCP (digamos, sudo ufw allow 22), y posteriormente existe una nueva regla que de forma específica bloquea una dirección IP concreta al mismo puerto 22 (por ejemplo con ufw deny proto tcp from 192.168.1.2 to any port 22), la regla que primero se aplica es la que permite el acceso al puerto 22 y posteriormente, aquella que bloquea dicho puerto a la IP indicada, no. Es por ello que el orden de las reglas resulta un factor decisivo a la hora de configurar el firewall de una máquina.

Si queremos evitar que se produzca este problema, podemos editar el fichero localizado en /etc/ufw/before.rules y, dentro del mismo, añadir una sección como “Block an IP Address”, justo despúes de la línea que indica el final del mismo “# End required lines”.

 

Aquí termina la guía que os habíamos preparado. Como veis, a partir de ahora y con ayuda de UWF la administración del firewall ya no será cosa exclusiva de administradores de sistema ni usuarios avanzados.


Categorías

Tutoriales

Luis Gómez

Ingeniero informático y administrador de sistemas. Es un apasionado de la tecnología en general y de la informática en particular. Le gustan los libros de ciencia ficción y el cine de suspense.

Un comentario

  1.   Junquera dijo

    export UWF=UFW
    ?

Escribe un comentario