Cómo bloquear tráfico saliente a redes privadas usando UFW en tu servidor

02/05/2024 |

VPS/Servidores

Introducción: En este tutorial, cubriremos cómo asegurar tu servidor bloqueando el tráfico saliente hacia redes privadas usando Uncomplicated Firewall (UFW). Este método es especialmente útil en entornos donde necesitas asegurarte de que tu servidor no se comunique accidentalmente o maliciosamente con redes internas especificadas, lo cual es un requisito común en muchos despliegues seguros. Revisaremos la instalación de UFW, la configuración de reglas básicas y la configuración de denegaciones específicas para rangos de IP privadas.

Requisitos

Un servidor con Ubuntu o cualquier otra distribución basada en Debian.
Acceso administrativo al servidor.

Paso 1 - Instalar y habilitar UFW

Instalar UFW:
UFW, o Uncomplicated Firewall, es una interfaz fácil de usar para gestionar reglas de firewall en iptables. Su simplicidad facilita la administración de un firewall Linux y reduce la probabilidad de errores. Comienza instalando UFW en tu servidor si aún no está instalado:

sudo apt install ufw

Habilitar UFW:
Antes de configurar reglas específicas, habilita UFW para asegurarte de que esté gestionando activamente el tráfico de red:

sudo ufw enable

Paso 2 - Configurar ajustes de seguridad básicos de UFW

Establecer políticas predeterminadas:
Primero, establece las políticas predeterminadas para denegar todas las conexiones entrantes y salientes, lo que establece una base segura:

sudo ufw default deny incoming
sudo ufw default deny outgoing

Permitir servicios necesarios:
A continuación, configura los puertos necesarios para tus servicios como SSH, HTTP y HTTPS para asegurarte de que tu servidor se mantenga accesible cuando sea necesario:

sudo ufw allow (añadir puerto aquí)
sudo ufw allow 22    # Permitir SSH

Recargar UFW:

sudo ufw reload

Confirmar el estado de UFW:
Después de configurar las reglas, confirma que UFW esté funcionando y que las reglas se hayan aplicado correctamente:

sudo ufw status verbose

Paso 3 - Bloquear comunicaciones a redes privadas

Entender los rangos de IP privadas:
Las direcciones IP privadas están reservadas para uso dentro de redes privadas. No son enroutables en internet. Los bloques que vamos a denegar son:

10.0.0.0/8
172.0.0.0/8
192.0.0.0/8
100.0.0.0/8
198.0.0.0/8
169.0.0.0/8
102.0.0.0/8
185.234.0.0/14

Bloquear comunicaciones salientes:
Para bloquear comunicaciones salientes hacia estas redes, utiliza los siguientes comandos de UFW:

sudo ufw deny out from any to 10.0.0.0/8
sudo ufw deny out from any to 172.0.0.0/8
sudo ufw deny out from any to 192.0.0.0/8
sudo ufw deny out from any to 100.0.0.0/8
sudo ufw deny out from any to 198.0.0.0/8
sudo ufw deny out from any to 169.0.0.0/8
sudo ufw deny out from any to 102.0.0.0/8
sudo ufw deny out from any to 185.234.0.0/14

Revisa y verifica:
Después de configurar estas reglas, verifica tu configuración del firewall:

sudo ufw status verbose

También puedes verificar las reglas con:

sudo iptables-save

Prueba la configuración:
Prueba la configuración de tu firewall intentando hacer ping a un dispositivo dentro de los rangos bloqueados, por ejemplo:

ping 172.16.5.204

Conclusión: Implementar reglas de firewall para bloquear el tráfico saliente hacia redes privadas es una medida de seguridad crucial, especialmente cuando no tienes control total sobre el software instalado en tu servidor. Usar UFW simplifica este proceso y asegura que tu servidor cumpla con las políticas de acceso a la red, protegiendo tus sistemas de posibles amenazas internas.

Categorías

Publicaciones Populares

Cómo cambiar tu contraseña de cPanel

26/01/2023

Configurar Mailcow para la gestión del servidor de correo

20/12/2023

Cómo cambiar el estilo de cPanel

22/08/2023

Cómo encontrar el registro de errores de los archivos PHP en cPanel

14/09/2022