Si te has dado de alta en el proveedor de hosting Hetzner, por ejemplo, en uno de sus planes Cloud como yo, es posible que te hayas dado cuenta de que puedes configurar en su panel de control un firewall para bloquear puertos antes de que llegue el tráfico a tu servidor. Esto está muy bien, ya que así no cargamos nuestro servidor con trabajo extra bloqueando visitantes maliciosos que quieran buscar vulnerabilidades en los puertos abiertos.
¿Es gratis crearlo? Sí. Puedes asignar hasta 5 firewalls por servidor y un total de 50 firewalls en total en todos sus proyectos. Puedes crear hasta 500 reglas por firewall y llegar hasta las 80000 conexiones activas y simultáneas. No está nada mal.
Pero antes de ponerte en marcha y montarlo, debes tener en cuenta unas cuantas cosas:
- Firewall entrante (tráfico de red a tu servidor): Las reglas que configures definirán todo el tráfico que puede llegar al servidor. Todo tráfico que no coincida con ninguna de tus reglas no llegará a su servidor. Si no creas ninguna regla entrante (INBOUND), todo el tráfico entrante se eliminará. En otros firewalls online, esto no funciona así, y puedes elegir si el resto del tráfico se acepta o no. En este caso no.
- Firewall saliente (tráfico de red desde tu servidor a Internet): Si no defines ninguna regla, todo el tráfico está permitido. Si creas una o más reglas de salida, se eliminará todo el tráfico que no coincida con tus reglas. En mi caso, no he creado ninguna regla OUTBOUND, así que todo el tráfico que sale de mi servidor está permitido.
- NO puedes definir ningún tipo de tráfico para denegar el acceso, solo el que permites.
- Puedes filtrar tráfico de estos protocolos: TCP, UDP, ICMP, ESP y GRE en IPv4 e IPv6 (excepto en GRE que solo acepta IPv4).
Teniendo en cuenta todo esto, las cosas funcionarán como la seda. ¡Ojo! Montar un Firewall Cloud en Hetzner no quita para que montes en tu servidor otro Firewall, por ejemplo, con CSF/LFD como he hecho o con FirewallD y Fail2Ban. Es más, deberías de duplicar las reglas de tu Firewall del servidor en el Firewall Cloud para aumentar la seguridad por si uno de los dos falla. Con el de Hetzner no puedes personalizar tantas cosas como con CSF, pero te va a quitar mucho ruido en los logs y carga en el servidor, sobre todo en caso de sufrir ataques DDOS. También puedes conseguir seguridad extra configurando tu dominio en Cloudflare.
Cómo creamos un firewall Cloud en Hetzner
solo tienes que acceder a la Cloud Console, ir a tu proyecto y entrar en la sección Firewall.
Cuando accedes, verás los firewalls que ya tienes creados o podrás crear uno nuevo:
Si le doy a crear uno nuevo en Create Firewall, nos aparece una pantalla como esta:
La interfaz es muy sencilla, y en cuanto nos damos cuenta de cómo funciona, todo se puede configurar con rapidez.
Por ejemplo, con la primera regla estamos dando acceso al puerto 22 en nuestro servidor:
- Description: Any IPv4, Any IPv6 (la regla se aplica a todas las direcciones IPv4 e IPv 6)
- Protocol: TCP (solo a TCP)
- Port: 22 (solo el puerto 22, el que normalmente usamos con SSH)
La segunda regla permite la conexión mediante ICMP (PING):
- Description: Any IPv4, Any IPv6 (la regla se aplica a todas las direcciones IPv4 e IPv 6)
- Protocol: ICMP (solo a ICMP)
- En todos los puertos.
No bloqueamos ICMP en el ámbito del Firewall en Hetzner. Esto lo podemos hacer de manera más granular en el Firewall de CSF en nuestro servidor.
Si dejáramos el Firewall así y luego lo aplicáramos a nuestro servidor… sería un desastre. No aceptaríamos conexiones entrantes (Inbound), excepto a través del puerto 22 (SSH). No funcionaría nuestra web ni ningún otro servicio. Únicamente el servidor SSH en el puerto 22, y las conexiones ICMP.
Por eso tenemos que añadir más reglas.
- ¿Quieres aceptar conexiones web mediante HTTP o HTTPS? Tienes que crear unas reglas TCP y UDP en los puertos 80 y 443.
- ¿Quieres montar un servidor de correo? Tienes que crear unas reglas entrantes en TCP para permitir el acceso a los, 25, 587 y 465 (SMTP); 143 y 993 (IMAP); 110 y 995 (POP3)
- ¿Quieres montar un servicio de resolución de nombres de dominio (DNS)? Necesitas crear unas reglas para los puertos 53 y 853 tanto en TCP como en UDP.
Todo en esto en la sección INBOUND RULES. Tu servidor solo va a recibir tráfico en los puertos indicados en el Firewall. El resto será rechazado.
Depende de ti poner reglas en OUTBOUND. Probablemente, no te haga falta. Pero ten en cuenta que, en cuanto pongas una regla, el resto de puertos estará bloqueado. Esto no pasa mientras no pongas ninguna (todo el tráfico hacia el exterior está permitido).
Después de configurar las reglas, tienes que elegir si aplicas el Firewall a alguno de tus servidores, eligiéndolo directamente en Server, o si lo aplicamos a una determinada Label (etiqueta), que hayamos creado previamente y asociado a un conjunto de servidores.
Finalmente, seleccionamos un nombre y le damos a Crear el Firewall. En pocos segundos estará en marcha filtrando el tráfico que le hayamos indicado en las reglas.
Conclusión
Creando un firewall Cloud en Hetzner, nos vamos a evitar mucho ruido en nuestros logs, ya que solo vamos a permitir el tráfico en determinados puertos que vamos a usar, mientras que bloqueamos el resto de puertos que no usamos para nada y que muchos bots están escaneando constantemente en busca de vulnerabilidades.
Esto no quita para que montemos también un firewall directamente en nuestro servidor Linux, y que no nos demos de alta en Cloudflare para usar su WAF. Todo cuenta.
¿Pegas? Hetzner no ofrece ningún tipo de estadística de bloqueos. No estaría mal tenerlas. ¿Más cosas? En Linode puedes personalizar más las reglas, pudiendo elegir si quieres admitir o no el tráfico.
Te cuento más cosas de Hetzner en: Cómo crear un servidor VPS Cloud en Hetzner. Si te das de alta con mi link en Hetzner, vas a recibir 20 € en créditos para usar en tu cuenta. ¡Aprovéchalos!
Referencias: https://docs.hetzner.com/cloud/firewalls/faq