Bluevps  /  Blog  /  Guía completa del cortafuegos UFW para Ubuntu

Guía completa del cortafuegos UFW para Ubuntu

Asegurar tu servidor Ubuntu no tiene por qué ser complicado. UFW (Uncomplicated Firewall) transforma el mundo complejo de iptables en una experiencia intuitiva y fácil de usar. Esta potente interfaz elimina la pronunciada curva de aprendizaje que normalmente se asocia con la configuración de un firewall, haciendo que la seguridad de red sea accesible para todos, desde principiantes hasta administradores con experiencia.

Esta guía completa te acompaña paso a paso para configurar un firewall ufw sólido en Ubuntu 18.04 y versiones posteriores, garantizando que tu sistema se mantenga funcional y seguro.

¿Qué hace que UFW sea la elección perfecta para usuarios de Ubuntu?

UFW viene preinstalado en Ubuntu, lo que refleja su importancia como la solución de firewall preferida de la distribución. Sin embargo, si lo has eliminado o necesitas instalar ufw en un sistema nuevo, el proceso es sencillo:

sudo apt install ufw

Si encuentras problemas durante la instalación o necesitas reinstalar el paquete, siempre puedes instalar ufw de nuevo con el mismo comando. La ventaja de la integración de ufw linux está en su simplicidad. A diferencia de los comandos iptables en bruto, que pueden ocupar varias líneas y usar parámetros poco claros, UFW traduce tus intenciones de seguridad en comandos claros y legibles.

La filosofía de la herramienta se centra en hacer accesible la administración del firewall. iptables tradicional exige conocimientos profundos de redes y un control cuidadoso de la sintaxis. UFW abstrae esas complejidades manteniendo toda la funcionalidad, lo que lo convierte en la opción ideal para usuarios de Ubuntu que buscan seguridad robusta sin una complejidad técnica abrumadora.

¿Cómo preparas tu sistema para UFW?

Antes de entrar en reglas de firewall, necesitas un servidor Ubuntu con versión 18.04 o superior y un usuario no root con privilegios sudo. Si todavía usas Ubuntu 16.04 o versiones anteriores, conviene actualizar de inmediato, ya que esas versiones ya no reciben actualizaciones de seguridad y suponen riesgos importantes.

La fase de preparación consiste en entender la configuración actual de red de tu sistema y planificar qué servicios requieren acceso externo. Esta previsión evita el error típico de bloquear tu propio acceso al servidor. Haz inventario de los servicios en ejecución, identifica qué puertos usan y determina si realmente necesitan estar accesibles desde fuera.

Considera documentar tu configuración de red antes de aplicar cambios. Esta documentación es muy útil al resolver problemas de conectividad o planificar modificaciones futuras. Comprender el rol del servidor dentro de tu infraestructura te ayuda a definir políticas de seguridad adecuadas y evita errores de configuración que podrían comprometer la accesibilidad del sistema.

¿Por qué deberías configurar soporte IPv6?

Las redes modernas operan en un entorno dual donde conviven IPv4 e IPv6. Las versiones recientes de Ubuntu habilitan IPv6 por defecto, y tu configuración de firewall debería reflejar esa realidad. Cuando está bien configurado, UFW crea automáticamente reglas equivalentes para ambos protocolos, asegurando una protección completa en toda la pila de red.

Para verificar el soporte IPv6, revisa la configuración de UFW:

sudo nano /etc/default/ufw

Asegúrate de que el parámetro IPv6 sea:

IPV6=yes

Este ajuste único garantiza una protección integral en ambos protocolos IP. Guarda los cambios con Ctrl+X, luego Y y Enter si usas nano. La adopción de IPv6 sigue creciendo a nivel global, por lo que esta configuración es clave para mantener tu seguridad preparada para el futuro.

Ignorar IPv6 crea posibles brechas de seguridad. Cada vez más atacantes apuntan a interfaces IPv6 que los administradores pasan por alto. Al habilitar IPv6 en UFW, mantienes políticas de seguridad coherentes en ambas versiones del protocolo, eliminas esas vulnerabilidades y aseguras una protección completa de red.

¿Cuáles son las mejores políticas de seguridad por defecto?

Los profesionales de seguridad siguen un principio fundamental: denegar por defecto y permitir por excepción. Este enfoque minimiza la superficie de ataque al bloquear todo el tráfico innecesario y permitir explícitamente solo los servicios requeridos. Esta filosofía es la base de una seguridad de red efectiva y reduce de forma significativa los vectores de ataque.

La configuración por defecto de UFW ya aplica esta idea, pero conviene verificarla y reforzarla:

sudo ufw default deny incoming

sudo ufw default allow outgoing

 

Estos comandos establecen una base segura: el servidor puede iniciar conexiones salientes, pero rechaza tráfico entrante no solicitado. Esta configuración funciona bien en la mayoría de escenarios, aunque los servidores suelen requerir excepciones para conexiones entrantes legítimas.

El enfoque de “denegar por defecto” significa que cada conexión permitida representa una decisión de seguridad consciente. Obliga a evaluar la necesidad real de cada servicio y su nivel de exposición, y eso suele producir configuraciones más seguras. Un ordenador personal puede funcionar solo con estos valores, pero un servidor normalmente necesita reglas adicionales para conexiones entrantes necesarias.

¿Cómo puedes asegurar el acceso SSH de forma segura?

El acceso por SSH es tu interfaz principal de administración, por lo que configurarlo bien es crítico. Antes de activar el firewall debes garantizar que las conexiones SSH sigan siendo accesibles, o perderás el acceso administrativo al servidor. Este es uno de los errores más comunes y más dañinos al configurar un firewall.

UFW ofrece tres formas de permitir tráfico SSH, cada una con ventajas distintas:

Uso de perfiles de aplicaciones:

sudo ufw app list

sudo ufw allow OpenSSH

 

Los perfiles de aplicaciones son el enfoque más intuitivo, ya que gestionan automáticamente los puertos y el protocolo. Reducen errores y hacen que las reglas sean más legibles, ideal si prefieres que el sistema maneje detalles del servicio.

Referencia por nombre del servicio:

sudo ufw allow ssh

Este método usa la base de datos de servicios del sistema ubicada en /etc/services. Hace que las reglas sean más legibles y fáciles de mantener. UFW resuelve automáticamente el nombre del servicio a los puertos y protocolos correctos, logrando un equilibrio entre simplicidad y flexibilidad.

Especificar el número de puerto:

sudo ufw allow 22

Indicar el puerto directamente da un control preciso, especialmente útil si usas una configuración SSH no estándar. Ofrece la máxima flexibilidad para entornos personalizados y casos donde necesitas control explícito del puerto.

Si configuraste SSH en un puerto alternativo por motivos de seguridad, ajusta la regla:

sudo ufw allow 2222

Verifica siempre que el acceso SSH funcione correctamente antes de continuar para evitar un bloqueo total del sistema. Si es posible, prueba conexiones desde varias ubicaciones para confirmar que el acceso funciona a través de distintas rutas de red.

¿Cuál es la forma correcta de activar el firewall?

Antes de activarlo, verifica que tus reglas no te dejen sin acceso:

sudo ufw show added

Este comando muestra las reglas configuradas sin activar el firewall, lo que te permite confirmar que SSH seguirá disponible. Revisa la salida con atención y asegúrate de que todos los servicios necesarios tengan sus reglas correspondientes.

Cuando estés listo, activa el firewall con ufw enable:

sudo ufw enable

El sistema advertirá sobre una posible interrupción de SSH. Como ya configuraste reglas para SSH, responde con 'y' para continuar. Tu Firewall on Ubuntu quedará activo y se iniciará automáticamente con cada arranque, proporcionando protección continua.

Después de activarlo, prueba de inmediato la conectividad para confirmar que todo funciona. Si detectas problemas, recuerda que el comando reset puede restaurar los valores por defecto con rapidez, aunque debería ser el último recurso.

¿Qué conexiones deberías permitir?

Tus necesidades concretas determinan las reglas adicionales, pero hay escenarios comunes como servicios web y requisitos específicos de aplicaciones. Entender estos patrones te ayuda a aplicar controles adecuados sin exponer el sistema de más.

Configuración de servicios web:

HTTP traffic: sudo ufw allow http or sudo ufw allow 80
HTTPS traffic: sudo ufw allow https or sudo ufw allow 443
Combined web services: sudo ufw allow 'Apache Full' or sudo ufw allow 'Nginx Full'

Los servidores web son el caso más común de reglas adicionales. Los perfiles combinados simplifican la configuración al permitir HTTP y HTTPS a la vez, reduciendo la cantidad de reglas individuales.

Rangos de puertos para aplicaciones complejas:

sudo ufw allow 6000:6007/tcp

sudo ufw allow 6000:6007/udp

Ten en cuenta que los rangos de puertos requieren especificar el protocolo explícitamente, a diferencia de reglas de puerto único que por defecto abarcan TCP y UDP. Este requisito evita configuraciones demasiado permisivas y garantiza un control preciso del tipo de tráfico permitido.

Controles de acceso por IP:

sudo ufw allow from 203.0.113.4

sudo ufw allow from 203.0.113.4 to any port 22

 

Las reglas específicas por IP ofrecen control granular sobre el origen del acceso. Son especialmente útiles para accesos administrativos, conexiones de socios de confianza o situaciones donde debes limitar acceso a ubicaciones de red concretas.

Reglas por subred para segmentos de red:

sudo ufw allow from 203.0.113.0/24

sudo ufw allow from 203.0.113.0/24 to any port 22

 

Las reglas por subred permiten cubrir rangos completos de red de forma eficiente, reduciendo complejidad sin perder seguridad. Funcionan muy bien en entornos corporativos o cuando necesitas permitir acceso desde una red completa.

Reglas por interfaz para sistemas con varias interfaces:

Primero, identifica las interfaces de red:

ip addr

Luego crea reglas específicas:

sudo ufw allow in on eth0 to any port 80

sudo ufw allow in on eth1 to any port 3306

 

Estos ejemplos permiten tráfico HTTP público en una interfaz y restringen el acceso a la base de datos a redes privadas en otra. Las reglas por interfaz ofrecen una segmentación excelente en configuraciones de red complejas.

¿Cuándo deberías bloquear tráfico específico?

Aunque la política por defecto de UFW ya bloquea la mayoría del tráfico automáticamente, hay casos que requieren reglas deny explícitas. Por ejemplo, bloquear orígenes de ataque conocidos, aplicar controles más finos o cumplir políticas de seguridad específicas.

Bloqueo por servicio:

sudo ufw deny http

Restricciones por IP:

sudo ufw deny from 203.0.113.4

Control de tráfico saliente:

sudo ufw deny out 25

Este último ejemplo bloquea SMTP, útil en sistemas que no deberían enviar correos directamente. Las restricciones salientes ayudan a contener sistemas comprometidos, hacer cumplir políticas y prevenir canales de comunicación no autorizados.

¿Cómo eliminas reglas no deseadas?

A medida que la configuración evoluciona, la gestión de reglas se vuelve crítica. UFW permite eliminar reglas de dos maneras: por número de regla o por especificación. Cada método se adapta a distintos escenarios y preferencias.

Eliminación por número:

Primero, muestra las reglas numeradas:

sudo ufw status numbered

Luego elimina la regla:

sudo ufw delete 2

Eliminación por especificación:

sudo ufw delete allow "Apache Full"

sudo ufw delete allow http

sudo ufw delete allow 80

 

Todos estos comandos logran el mismo resultado, lo que demuestra la flexibilidad de UFW en la administración de reglas. Elige el método que mejor encaje con tu flujo de trabajo.

¿Qué te indica el estado del firewall?

La supervisión regular garantiza que el firewall actúe como esperas y ayuda a detectar problemas antes de que se conviertan en incidentes. El comando ubuntu firewall status ofrece información detallada sobre la configuración y el estado operativo.

sudo ufw status verbose

Cuando el firewall está activo, verás detalles como nivel de logging, políticas por defecto y todas las reglas configuradas. Si está inactivo, mostrará “Status: inactive”, lo que indica que debes ejecutar ufw enable para que la protección entre en funcionamiento.

La salida detallada muestra el estado de activación, la configuración de logs, las políticas por defecto para tráfico entrante, saliente y enrutado, además de la lista completa de reglas con origen y destino. Es información clave para diagnosticar problemas de conectividad, realizar auditorías de seguridad y mantener documentación.

¿Cómo aprovechar el logging de UFW para obtener información de seguridad?

Una administración eficaz del firewall no termina en las reglas: también requiere logging y monitoreo. UFW incorpora capacidades de registro que te ayudan a rastrear intentos de conexión, identificar amenazas y resolver incidencias de conectividad.

Activa el logging con sudo ufw logging on y ajusta la verbosidad con low, medium o high. Las entradas aparecen en /var/log/ufw.log e incluyen datos valiosos sobre conexiones bloqueadas: IP de origen, puertos de destino y marcas de tiempo. Analizar los logs de forma regular te permite detectar patrones como intentos repetidos desde fuentes sospechosas, accesos fallidos o tráfico inesperado que podría indicar una brecha.

Considera implementar herramientas o scripts de monitoreo automático que te alerten sobre patrones inusuales, especialmente intentos repetidos bloqueados que podrían señalar ataques de fuerza bruta o actividades de reconocimiento.

¿Cómo puedes restablecerlo todo?

A veces empezar desde cero es la vía más clara, sobre todo cuando las configuraciones se vuelven complejas o problemáticas. UFW ofrece dos enfoques según el escenario.

Desactivación temporal:

sudo ufw disable

Este comando detiene el firewall conservando todas las reglas configuradas para reactivarlas más adelante. Es útil para sesiones de troubleshooting, ventanas de mantenimiento o cuando necesitas desactivar la protección rápidamente sin perder tu configuración.

Restablecimiento completo:

sudo ufw reset

El comando reset elimina todas las reglas personalizadas y conserva las políticas por defecto. UFW realiza una copia de seguridad automática antes de borrar, guardándola en /etc/ufw/ con marcas de tiempo para recuperarla si hace falta. Este enfoque te deja una base limpia manteniendo un “colchón” de recuperación.

Conclusión

UFW convierte la administración del firewall en Ubuntu, que antes era un desafío técnico complejo, en una tarea administrativa accesible. Siguiendo esta guía, has establecido una base de seguridad robusta que protege tu servidor sin perder la funcionalidad necesaria para tus casos de uso.

Recuerda que la configuración del firewall es un proceso continuo, no un ajuste único. Revisiones periódicas garantizan que las reglas sigan alineadas con tus necesidades y con un panorama de amenazas cambiante. Prueba siempre los cambios en entornos seguros antes de aplicarlos en producción.

Tu ufw firewall ahora protege tu servidor Ubuntu y aporta la base de seguridad necesaria para operaciones confiables. Ya sea que ejecutes un proyecto personal o gestiones infraestructura empresarial, estos fundamentos te servirán a medida que tus necesidades de red crezcan y evolucionen.

Blog
Latest posts
El proceso de 5 pasos para crear tu propio VPS Guía para obtener conexiones remotas MySQL en CentOS, hPanel y RHEL Instalar un servidor FTP en Ubuntu VPS en 6 sencillos pasos ¿Cómo instalar y actualizar Pip en Windows/Linux? Cómo comprobar la versión de Node [Guía paso a paso]