Configurar el cortafuegos UFW en Raspberry Pi

1. UFW - Instalación y conceptos básicos de cortafuegos sin complicaciones
2. UFW - Regla Permitir tráfico SSH a Raspberry Pi
3. UFW - Eliminar reglas existentes
4. UFW - Reglas de bloqueo basadas en rangos o direcciones IP

Este artículo presentará varios escenarios de configuración del firewall UFW en Raspberry Pi.

UFW - Instalación y conceptos básicos de cortafuegos sin complicaciones

UFW (Uncomplicated FireWall) es un programa front-end para manipular las reglas del subsistema de filtrado de paquetes del kernel de Linux llamado NetFilter. Dado que este último es un módulo del kernel de Linux, requiere una aplicación de espacio de usuario para proporcionar herramientas de configuración y administración para los usuarios finales.

Se realiza principalmente mediante los programas de utilidad iptables e ip6tables, que se pueden utilizar para configurar e inspeccionar las tablas de reglas de filtrado de paquetes IPv4/IPv6 en el kernel de Linux. Aunque la configuración de iptables puede ser engorrosa para los nuevos usuarios y administradores de Linux, existe otra capa de programas de firewall front-end (por ejemplo, UFW) para simplificar la gestión de la configuración y proporcionar una interfaz más sencilla para iptables.

UFW es parte de los paquetes predeterminados de Ubuntu y también está disponible en el sistema operativo Raspberry Pi para instalarse desde los repositorios oficiales. Puede instalar UFW con el siguiente comando:

sudo apt install ufw

Una vez que se instala el paquete UFW, podemos habilitarlo en el inicio del sistema y configurar las reglas según sea necesario. El siguiente comando se puede usar para permitir que el firewall se ejecute en el arranque, así como para iniciar el proceso de inmediato:

sudo ufw enable

Tenga en cuenta que el comando anterior muestra la advertencia de que las conexiones SSH existentes pueden verse interrumpidas, por lo que es posible que desee ejecutar estos comandos sin una conexión remota para no quedarse fuera de la máquina.

En este punto, UFW establece algunas reglas predeterminadas para el tráfico entrante y saliente, el primero se niega y el segundo se permite. El estado actual del firewall se puede inspeccionar usando el comando:

sudo ufw status

Alternativamente, puede agregar opciones detalladas o numeradas al comando anterior para mostrar las reglas actuales con información adicional:

sudo ufw status verbose
sudo ufw status numbered

UFW - Regla Permitir tráfico SSH a Raspberry Pi

Generalmente, SSH usa el número de puerto - 22, por lo que lo incluiremos en los siguientes comandos, pero puede hacer que SSH escuche en un puerto diferente. Esto último se puede lograr modificando el archivo de configuración de SSH sshd_config, ubicado en la ruta /etc/ssh/sshd_config. Si desea permitir cualquier conexión SSH a Pi, ejecute el siguiente comando.

sudo ufw allow 22

Por otro lado, es posible que desee restringir las conexiones SSH para que solo las direcciones IP específicas puedan acceder al host. Puede volver a ejecutar el siguiente comando para diferentes direcciones IP para agregar todas las excepciones permitidas para conectarse al servicio dado.

sudo ufw allow proto tcp from 10.10.10.1 to any port 22

UFW - Eliminar reglas existentes

Las reglas existentes en UFW se pueden eliminar usando el comando ufw delete. Debe especificar el número de la regla para eliminarla. Tenga en cuenta que las reglas numeradas se pueden enumerar utilizando el comando sudo ufw status number. En este caso, eliminaremos la regla establecida por el comando de ejemplo anterior, que está numerado como el tercero.

sudo ufw delete 3

UFW - Reglas de bloqueo basadas en rangos o direcciones IP

Ciertas direcciones IP y rangos pueden bloquearse para que no establezcan conexiones de red con Raspberry Pi. Es decir, la dirección IP específica (por ejemplo, 10.10.10.1) se bloqueará con el siguiente comando.

sudo ufw deny from 10.10.10.1

Alternativamente, toda la subred se puede bloquear si ejecuta el siguiente comando.

sudo ufw deny from 10.10.10.0/24