En cualquier sistema Linux, la seguridad de red es un pilar fundamental. Debian, por su estabilidad y orientación a servidores, ofrece múltiples soluciones para filtrar tráfico y proteger nuestros servicios. En este artículo veremos los principales firewalls disponibles en Debian, sus características, ventajas y cuándo conviene usar cada uno.
Índice
🔹 1. UFW (Uncomplicated Firewall)
UFW es la opción más sencilla para usuarios que buscan una interfaz fácil sobre iptables o nftables.
Fue diseñado por Canonical (Ubuntu), pero está disponible en Debian desde los repositorios oficiales.
📦 Instalación
sudo apt update
sudo apt install ufw
🚀 Ejemplo rápido
sudo ufw enable
sudo ufw allow 22/tcp
sudo ufw deny 80/tcp
sudo ufw status
✅ Ventajas
- Sintaxis simple y clara.
- Perfecto para servidores pequeños o entornos domésticos.
- Integración con fail2ban y servicios comunes.
⚠️ Inconvenientes
- No ofrece la flexibilidad ni el rendimiento de nftables en escenarios complejos.
🔹 2. nftables (reemplazo moderno de iptables)
Desde Debian 10 Buster, nftables es el firewall por defecto del sistema.
Es una reescritura completa que sustituye a iptables, ip6tables, arptables y ebtables, ofreciendo una sintaxis más unificada y mejor rendimiento.
📦 Instalación y activación
sudo apt install nftables
sudo systemctl enable nftables
sudo systemctl start nftables
🧩 Ejemplo básico
sudo nft add table inet filter
sudo nft add chain inet filter input { type filter hook input priority 0; policy drop; }
sudo nft add rule inet filter input iif "lo" accept
sudo nft add rule inet filter input ct state established,related accept
sudo nft add rule inet filter input tcp dport 22 accept
✅ Ventajas
- Mejor rendimiento y escalabilidad.
- Configuración más legible y estructurada.
- Integración total con systemd y nuevas herramientas.
⚠️ Inconvenientes
- Curva de aprendizaje algo más pronunciada.
- Aún no todos los scripts antiguos de iptables son compatibles.
🔹 3. iptables (el clásico)
Aunque nftables ha tomado el relevo, iptables sigue estando presente por compatibilidad.
Muchos administradores lo prefieren por costumbre o por scripts heredados.
📦 Instalación
sudo apt install iptables
🧩 Ejemplo
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -P INPUT DROP
✅ Ventajas
- Muy extendido y con abundante documentación.
- Amplio soporte de herramientas de terceros.
⚠️ Inconvenientes
- Sintaxis compleja y difícil de mantener.
- Obsoleto a largo plazo frente a nftables.
🔹 4. Shorewall
Shorewall (Shoreline Firewall) es una capa de abstracción sobre iptables y nftables pensada para configuraciones más avanzadas, como entornos con múltiples interfaces o NAT.
📦 Instalación
sudo apt install shorewall
✅ Ventajas
- Ideal para routers, gateways y redes complejas.
- Reglas fáciles de mantener mediante archivos configurables.
⚠️ Inconvenientes
- Requiere entender la estructura de sus archivos de configuración.
- No tan intuitivo como UFW.
🔹 5. Firewalld
Firewalld es una alternativa moderna, dinámica y modular.
Usa zones (zonas de confianza) y services, lo que facilita mucho la administración.
📦 Instalación
sudo apt install firewalld
sudo systemctl enable --now firewalld
🚀 Ejemplo rápido
sudo firewall-cmd --add-service=ssh --permanent
sudo firewall-cmd --reload
sudo firewall-cmd --list-all
✅ Ventajas
- Configuración dinámica sin reiniciar reglas.
- Integración con NetworkManager y Cockpit.
⚠️ Inconvenientes
- Puede ser más pesado para sistemas minimalistas.
- Menos usado en entornos Debian puros (más común en Red Hat).
🧭 ¿Cuál elegir?
| Escenario | Recomendación |
|---|---|
| Servidor doméstico o pequeño VPS | UFW |
| Entorno moderno o con muchas interfaces | nftables |
| Compatibilidad con scripts antiguos | iptables |
| Gateway o router avanzado | Shorewall |
| Administración gráfica o dinámica | Firewalld |