Firewall del servidor
Conjunto de reglas que decide qué conexiones de red entran y salen del servidor: cierra todos los puertos salvo los que de verdad necesitas.
Qué es Firewall del servidor
El firewall del servidor (a nivel de sistema operativo: iptables, nftables o capas como CSF, ufw o firewalld) filtra el tráfico según reglas: permite el puerto 443 (HTTPS), quizá el 22 (SSH) solo desde ciertas IP, y bloquea todo lo demás. Reduce la "superficie de ataque": lo que no está abierto, no se puede atacar.
Cómo funciona
Defines una política por defecto (normalmente "denegar todo") y luego excepciones: aceptar conexiones establecidas, abrir los puertos de los servicios públicos, limitar SSH a IP de confianza, descartar tráfico sospechoso. El kernel aplica esas reglas a cada paquete que entra o sale. Herramientas como CSF añaden gestión cómoda, listas blancas/negras e integración con fail2ban.
Cuándo usarlo
En cualquier VPS o servidor dedicado: configurarlo es de lo primero que hay que hacer. En shared hosting ya está hecho por el proveedor. Recuerda que el firewall del servidor complementa, no sustituye, al de aplicaciones web (WAF) que filtra ataques al contenido.
Datos curiosos
- Una causa frecuente de "no puedo entrar a mi propio servidor" es haberse cerrado el puerto SSH a uno mismo: ten siempre un acceso de emergencia (consola del proveedor).
- CSF (ConfigServer Security & Firewall) es muy popular en servidores con cPanel.
- nftables es el sucesor moderno de iptables en Linux, aunque iptables sigue muy extendido.
Preguntas frecuentes
¿Es lo mismo que un WAF?
No. El firewall del servidor filtra conexiones por puerto/IP; el WAF inspecciona el tráfico web buscando ataques (inyección SQL, XSS...).
¿Lo configuro en shared hosting?
No, lo hace el proveedor. Es tarea tuya en VPS y dedicados.
¿Y si me cierro el acceso por error?
Usa la consola/KVM que ofrece tu proveedor para entrar sin red y corregir las reglas.