Com configurar un tallafoc al servidor Ubuntu
Publicat: 5 de març del 2025, a les 19:31:05 UTC
Última actualització: 12 de gener del 2026, a les 8:38:22 UTC
Aquest article explica i proporciona alguns exemples de com configurar un tallafocs a GNU/Linux utilitzant ufw, que és l'abreviatura de Uncomplicated FireWall (Firewall sense complicacions), i el nom és apropiat, ja que realment és una manera molt fàcil d'assegurar-se que no teniu més ports oberts dels que necessiteu.
How to Set Up a Firewall on Ubuntu Server
La informació d'aquesta publicació es basa en Ubuntu Server 14.04 x64. Pot ser vàlida o no per a altres versions. (Actualització: puc confirmar que la informació d'aquesta publicació encara és bàsicament vàlida i funcional a partir d'Ubuntu Server 24.04, però en els 10 anys intermedis, ufw s'ha tornat una mica "més intel·ligent" en tenir perfils per a aplicacions de servidor comunes (per exemple, podeu habilitar "Nginx complet" en lloc dels ports 80 i 443 per separat) i ja no cal deshabilitar/habilitar tot el tallafocs per aplicar les noves regles)
Quan vaig començar amb servidors GNU/Linux (Ubuntu), configurar un tallafocs implicava crear i mantenir manualment un fitxer de configuració potencialment complex per a iptables. Tanmateix, recentment he descobert ufw, que és l'abreviatura de Uncomplicated Firewall (Tallafocs Sense Complicacions), i realment ho és :-)
La meva instal·lació d'Ubuntu Server 14.04 ja tenia ufw instal·lat, però si la teva no en té, simplement instal·la'l des dels repositoris:
UFW és en realitat només una eina que simplifica la configuració d'iptables; entre bastidors, encara són iptables i el tallafocs del nucli de Linux els que fan el filtratge, de manera que ufw no és ni menys ni més segur que aquests. Tanmateix, com que ufw facilita molt la configuració correcta d'un tallafocs, pot reduir el risc d'error humà i, per tant, possiblement és més segur per a administradors sense experiència.
Si el vostre servidor està configurat amb IPv6 a més d'IPv4, assegureu-vos que també estigui habilitat per a UFW. Editeu el fitxer /etc/default/ufw i busqueu una línia que digui IPV6=yes. A la meva instal·lació ja hi era, però si no hi és o si diu que no, hauríeu d'editar-lo.
Continuació, simplement feu servir la línia d'ordres per habilitar els ports que voleu obrir. Si esteu connectats al vostre servidor mitjançant ssh, assegureu-vos de permetre-ho també o pot interrompre la connexió i possiblement bloquejar-vos l'accés al servidor quan l'activeu; depenent de si teniu accés físic al servidor o no, això pot ser una mica inconvenient ;-)
Per exemple, si feu servir ssh al port estàndard 22 i esteu configurant un servidor web que admet connexions sense xifrar (HTTP al port 80) i xifrades (HTTPS al port 443), hauríeu d'emetre les ordres següents per configurar ufw:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Si necessiteu més regles, simplement afegiu-les com s'ha indicat més amunt.
Si teniu una adreça IP estàtica i només necessiteu connectar-vos via ssh des d'una única ubicació, també podeu restringir les connexions ssh a una única adreça d'origen com aquesta:
Per descomptat, introdueix la teva pròpia adreça IP.
Quan hàgiu acabat, activeu ufw introduint:
Ja està! El tallafocs està en funcionament i s'iniciarà automàticament quan reinicieu el servidor :-)
Si feu canvis a la configuració d'ufw, potser haureu de desactivar-la i tornar-la a habilitar per aplicar-los, així:
sudo ufw enable
Per veure la configuració actual, simplement introduïu:
Si ufw no està habilitat, simplement mostrarà un missatge "inactiu", en cas contrari, llistarà les regles definides actualment.