OVH Guías

Configurar el firewall de red

Cómo configurar el firewall de red

Última actualización: 20/09/2018

Objetivo

Para proteger su infraestructura mundial y los servidores de sus clientes, OVH ofrece un cortafuegos configurable integrado en su solución anti-DDoS: el firewall de red. Se trata de una opción que permite limitar la exposición de los servicios a los ataques procedentes de la red pública.

Esta guía explica cómo configurar el firewall de red.

Para más información sobre la solución anti-DDoS de OVH, consulte la página https://www.ovh.es/anti-ddos/.

El VAC en detalle

Requisitos

Procedimiento

Activar el firewall de red

El firewall de red protege las direcciones IP asociadas a una máquina. Es necesario configurar cada IP de forma independiente; no es posible configurar directamente el servidor.

En la columna izquierda del área de cliente de OVH, haga clic en IP. En la pestaña IP, haga clic en el botón ··· situado al final de la línea correspondiente a la IPv4 en la que quiera activar el cortafuegos y seleccione Crear firewall.

Activación del firewall de red

Confirme la operación haciendo clic en Aceptar.

Confirmación

Una vez creado el firewall, es necesario activarlo y configurarlo. Para ello, vuelva a hacer clic en el botón ··· situado al final de la línea correspondiente a la IPv4 y seleccione Activar el firewall (1). Repita el proceso y seleccione Configurar el firewall (2).

Activación de la configuración

Es posible añadir hasta 20 reglas por IP.

El firewall se activa automáticamente en cada ataque DDoS y no es posible desactivarlo hasta que el ataque haya finalizado. Por ese motivo, es importante mantener las reglas de firewall actualizadas. Las IP de OVH no tienen ninguna regla configurada por defecto, por lo que pueden establecerse todas las conexiones. No olvide comprobar regularmente sus reglas de firewall (si las tiene), aunque lo haya desactivado.

  • La fragmentación UDP está bloqueada (DROP) por defecto. Si utiliza una VPN, al activar el firewall de red no olvide configurar correctamente su MTU (unidad de transmisión máxima). Por ejemplo, en OpenVPN, puede marcar MTU test.
  • El firewall de red no actúa dentro de la red de OVH, por lo que las reglas creadas no afectan a las conexiones internas.

Configurar el firewall de red

Para añadir una regla, haga clic en el botón Añadir una regla.

Añadir una regla

Para cada regla es necesario seleccionar:

  • la prioridad (de 0 a 19, siendo 0 la primera regla en aplicarse)
  • una acción (Denegar o Autorizar)
  • el protocolo
  • una IP de origen (opcional)
  • el puerto de origen (TCP y UDP)
  • el puerto de destino (TCP y UDP)
  • las opciones TCP (solo TCP)

Añadir una regla

  • Prioridad 0: Se recomienda autorizar el protocolo TCP en todas las direcciones IP con la opción ESTABLISHED. Dicha opción permite comprobar que el paquete pertenece a una sesión abierta anteriormente (ya iniciada). Si no autoriza esta opción, el servidor no recibirá las respuestas para el protocolo TCP de las peticiones SYN/ACK.
  • Prioridad 19: Se recomienda bloquear todo el protocolo IPv4 si no se cumple ninguna de las reglas anteriores.

Ejemplo de configuración

Para dejar abiertos únicamente los puertos SSH (22), HTTP (80), HTTPS (443) y UDP (10000), autorizando el ICMP, utilice las reglas de la siguiente imagen:

Ejemplo de configuración

Las reglas se ordenan cronológicamente de 0 (la primera regla leída) a 19 (la última regla leída). La cadena deja de recorrerse en el momento en el que pueda aplicarse una regla al paquete recibido.

Por ejemplo, para un paquete destinado al puerto 80/TCP, se aplicará la regla 2 y ya no se leerán las siguientes. Para un paquete destinado al puerto 25/TCP, no se aplicará ninguna regla hasta la última (la 19), que lo bloqueará, ya que las anteriores no autorizan ninguna comunicación en el puerto 25.

Si se activa la mitigación anti-DDoS, las reglas del firewall de red se activarán aunque lo haya desactivado. Por lo tanto, recuerde eliminar las reglas si desactiva el firewall.

Más información

Interactúe con nuestra comunidad de usuarios en ovh.es/community.


Otras guías que podrían interesarle...