Todos los artículos

firewall

Cómo configurar un firewall en tu VPS (y por qué lo necesitas)

Un servidor recién creado es accesible desde toda la red en cuestión de minutos — bots incluidos. Un firewall decide qué puertas siguen abiertas. Esto es lo que hace, la única regla que te mantiene a salvo y el error que te deja fuera.

  • firewall
  • seguridad
  • primeros-pasos
Un firewall delante de un servidor — casi todas las puertas cerradas, una abierta para el tráfico permitido en los puertos 22, 80 y 443, mientras los bots rebotan.

En el momento en que tu servidor se pone en línea tiene una dirección pública, y toda la red puede alcanzarlo. De eso se trata precisamente — quieres que la gente visite tu sitio. Pero «toda la red» incluye también bots automáticos que no hacen otra cosa en todo el día que llamar a cada puerta de cada servidor que consiguen encontrar, buscando alguna que se haya quedado abierta.

No hace falta ser un objetivo para que esto importe. Los bots no son quisquillosos: lo escanean todo, sin parar. Un firewall es la forma de asegurarte de que las únicas puertas que se abren sean las que querías dejar abiertas.

Qué hace realmente un firewall

Imagina tu servidor como un edificio con miles de puertas numeradas: en la jerga técnica se llaman precisamente puertos. Cada servicio en ejecución en la máquina escucha en uno de ellos: un sitio web en los puertos 80 y 443, el acceso remoto con el que gestionas el servidor en el puerto 22, una base de datos en otro más.

Un firewall es el portero. Mira cada llamada y decide: la deja pasar, o la rechaza. Sin él, cada puerta puede potencialmente responder. Con uno, eliges tú la breve lista de puertas que se abren y todas las demás simplemente no responden — como si no hubiera nada que encontrar.

Por qué un servidor nuevo lo necesita desde el primer día

Un servidor nuevo suele tener más puertas abiertas de lo que imaginas. Instalas un programa y este puede empezar en silencio a escuchar en un puerto en el que no volverás a pensar. Cada puerta abierta es algo que hay que mantener actualizado y cerrado con llave — y una vía de entrada si no lo haces.

Un firewall le da la vuelta a la configuración de partida. En lugar de «todo está abierto salvo que lo cierre», obtienes «todo está cerrado salvo que lo abra». Ese único cambio reduce las vías de acceso a tu servidor de miles a las dos o tres que usas de verdad.

La única regla: abre solo lo que usas

Una buena configuración del firewall es casi aburrida, y ese es justamente el objetivo. La regla es sencilla: todo cerrado por defecto, abre las pocas puertas que tus servicios necesitan.

Para un servidor típico es una lista corta:

  • 80 y 443 — el tráfico web, para que los visitantes puedan llegar a tu sitio (el 443 es el de HTTPS, detrás del candado),
  • 22 — el acceso remoto que usas para gestionar la máquina.

A menudo eso es todo. El resto permanece cerrado. Si más adelante añades un servicio que necesita su propia puerta, abres esa puerta, a propósito — y nada más.

El error que te deja fuera

Hay una forma clásica de arruinarte la tarde: cerrar la puerta en la que estás sentado. El acceso remoto en el puerto 22 es la vía por la que llegas al servidor. Enciende el firewall con esa puerta cerrada y te habrás dejado fuera de tu propia máquina — sin forma de volver a entrar salvo la consola de emergencia de tu proveedor.

Así que el orden importa: asegúrate de que tu propia vía de entrada siga abierta antes de cerrar todo lo demás. Es lo único que vale la pena volver a comprobar, cada vez.

El atajo

Puedes configurar todo esto a mano — en la mayoría de los servidores hay una herramienta de firewall estándar, con su propia sintaxis que aprender y su propia forma de dejarte fuera si te equivocas en el orden. O puedes dejar que se encargue Server Manager: te muestra qué puertas están abiertas en este momento, cierra las que no necesitas, mantiene a salvo tu vía de entrada y no te deja tirado fuera. Tú dices para qué sirve el servidor; él averigua qué puertas deben quedar abiertas.

Y si un sitio deja de cargarse justo después de un cambio, una puerta cerrada es una de las primeras cosas que revisar — es una de las tres capas que deciden si tu sitio es accesible.

Una seguridad silenciosa

Un firewall no es emocionante, y por eso precisamente funciona. Bien configurado, dejas de pensar en él: los bots siguen llamando, cada puerta salvo la tuya permanece cerrada, y tu servidor se limita a hacer su trabajo.

Se combina con el otro hábito poco vistoso que te salva en un mal día — mantener copias de seguridad que puedas restaurar de verdad. Juntas, esas dos cosas son gran parte de lo que «asegurar un servidor» significa realmente. Las guías de ayuda profundizan cuando quieres los detalles.