Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Firewalls de instancias en Amazon Lightsail
El firewall de la consola de Amazon Lightsail actúa como un firewall virtual que controla el tráfico que puede conectarse a la instancia a través de su dirección IP pública. Cada instancia que cree en Lightsail tiene dos firewalls: uno para direcciones IPv4 y otro para direcciones IPv6. Cada firewall contiene un conjunto de reglas que filtran el tráfico que entra en la instancia. Ambos firewalls son independientes entre sí. Por lo tanto, debe configurar las reglas de firewall de forma individual para IPv4 e IPv6. Edite el firewall de su instancia, en cualquier momento, agregando y eliminando reglas para permitir o restringir el tráfico.
Contenido
Firewalls Lightsail
Cada instancia de Lightsail tiene dos firewalls: uno para direcciones IPv4 y otro para direcciones IPv6. Todo el tráfico de Internet que entra y sale de su instancia de Lightsail pasa a través de sus firewalls. Los firewalls de una instancia controlan el tráfico de Internet que puede pasar por su instancia. Sin embargo, no controlan el tráfico que sale de esta, los firewalls permiten todo el tráfico saliente. Edite los firewalls de su instancia, en cualquier momento, agregando y eliminando reglas para permitir o restringir el tráfico. Tenga en cuenta que ambos firewalls son independientes entre sí. Por lo tanto, debe configurar las reglas de firewall de forma individual para IPv4 e IPv6.
Las reglas del firewall siempre son permisivas; no se pueden crear reglas que denieguen el acceso. Agregue reglas a los firewalls de su instancia para permitir que el tráfico llegue a su instancia. Cuando se agrega una regla al firewall de la instancia, se especifica el protocolo que se va a utilizar, el puerto que se va a abrir y las direcciones IPv4 e IPv6 que pueden conectarse a la instancia, como se muestra en el ejemplo siguiente (para IPv4). También puede especificar un tipo de protocolo de capa de aplicación, que es un valor preestablecido que especifica el protocolo y el intervalo de puertos según el servicio que piensa usar en la instancia.
importante
Las reglas del firewall solo afectan al tráfico que entra a través de la dirección IP pública de una instancia. No afecta al tráfico que fluye a través de la dirección IP privada de una instancia, que puede proceder de los recursos de Lightsail de su cuenta, en la Región de AWS misma, o de los recursos de una nube privada virtual (VPC) interconectada, en la misma. Región de AWS
Las reglas del firewall y sus parámetros configurables se explican en las siguientes secciones de esta guía.
Creación de reglas de firewall
Cree una regla de firewall para permitir que un cliente establezca una conexión con la instancia o con una aplicación que se ejecuta en la instancia. Por ejemplo, para permitir que todos los navegadores web se conecten a la WordPress aplicación de su instancia, debe configurar una regla de firewall que habilite el Protocolo de control de transmisión (TCP) a través del puerto 80 desde cualquier dirección IP. Si esta regla ya está configurada en el firewall de la instancia, puedes eliminarla para impedir que los navegadores web se conecten a la WordPress aplicación de la instancia.
importante
Puede utilizar la consola Lightsail para añadir hasta 30 direcciones IP de origen a la vez. Para añadir hasta 60 direcciones IP a la vez, utilice la API de Lightsail AWS Command Line Interface ,AWS CLI() o un SDK. AWS Esta cuota se aplica de forma independiente para las reglas IPv4 e IPv6. Por ejemplo, un firewall puede tener 60 reglas entrantes para el tráfico IPv4 y 60 reglas entrantes para el tráfico IPv6. Le recomendamos que consolide direcciones IP individuales en rangos CIDR. Para obtener más información, consulte la sección Specify source IP addresses de esta guía.
También puede permitir que un cliente SSH se conecte a su instancia, para realizar tareas administrativas en el servidor, configurando una regla de firewall que habilite TCP a través del puerto 22 solo desde la dirección IP del equipo que necesita establecer una conexión. En este caso, no desearía permitir que ninguna dirección IP establezca una conexión SSH con su instancia, ya que hacerlo podría suponer un riesgo de seguridad en su instancia.
nota
Los ejemplos de reglas de firewall descritos en esta sección pueden existir de forma predeterminada en el firewall de su instancia. Para obtener más información, consulte Reglas de firewall predeterminadas más adelante en esta guía.
Si hay más de una regla para un puerto específico, aplicamos la regla más permisiva. Por ejemplo, si agrega una regla que permite el acceso al puerto TCP 22 (SSH) desde la dirección IP 192.0.2.1. A continuación, agregue otra regla que permita el acceso de todos al puerto TCP 22. Como resultado, todos tienen acceso al puerto TCP 22.
Especificación de protocolos
Un protocolo es el formato en el que se transmiten los datos entre dos equipos. Lightsail le permite especificar los siguientes protocolos en una regla de firewall:
-
El protocolo de control de transmisión (TCP) se utiliza principalmente para establecer y mantener una conexión entre los clientes y la aplicación que se ejecuta en su instancia, hasta que se complete el intercambio de datos. Es un protocolo ampliamente utilizado y que a menudo puede especificar en sus reglas de firewall. TCP garantiza que no falten datos transmitidos y que todos los datos se envíen al destinatario previsto. Su uso ideal es para aplicaciones de red que necesitan alta fiabilidad y para las que el tiempo de transmisión es relativamente menos crítico, como la navegación web, las transacciones financieras y la mensajería de texto. Estos casos de uso perderán un valor significativo si se pierden partes de los datos.
-
El protocolo de datagramas de usuario (UDP) se utiliza principalmente para establecer conexiones de baja latencia y tolerancia a pérdidas entre los clientes y la aplicación que se ejecuta en la instancia. Su uso ideal es para aplicaciones de red en las que la latencia percibida es crítica, como juegos, voz y comunicaciones de vídeo. Estos casos de uso pueden sufrir cierta pérdida de datos sin afectar negativamente a la calidad percibida.
-
El protocolo de mensajes de control de Internet (ICMP) se utiliza principalmente para diagnosticar problemas de comunicación de red, como por ejemplo determinar si los datos están llegando a su destino previsto de manera oportuna. El uso ideal sería para la utilidad Ping, que puede utilizar para probar la velocidad de la conexión entre su equipo local y su instancia. Informa de cuánto tiempo tardan los datos en llegar a su instancia y volver a su equipo local.
nota
Cuando agrega una regla ICMP al firewall IPv6 de la instancia mediante la consola de Lightsail, la regla se configura automáticamente para utilizar ICMPv6. Para obtener más información, consulte Protocolo de mensajes de control de Internet para IPv6
en Wikipedia. -
Todo se utiliza para permitir que todo el tráfico de protocolo pase por su instancia. Especifique este protocolo cuando no esté seguro de qué protocolo debe especificar. Esto incluye todos los protocolos de Internet; no solo los especificados anteriormente. Para obtener más información, consulte Números de protocolo
en el sitio web de la Autoridad de Números Asignados en Internet.
Especificación de puertos
Al igual que los puertos físicos del equipo, que permiten al equipo comunicarse con periféricos como el teclado y el ratón, los puertos de red sirven como puntos de enlace de comunicaciones de Internet para su instancia. Cuando un equipo busca conectarse con su instancia, expondrá un puerto para establecer la comunicación.
Los puertos que puede especificar en una regla de firewall pueden oscilar entre 0 y 65535. Cuando crea una regla de firewall para permitir que un cliente establezca una conexión con la instancia, especifique el protocolo que se utilizará (explicado anteriormente en esta guía) y los números de puerto a través de los cuales se puede establecer la conexión. También puede especificar las direcciones IP que tienen permiso para establecer y usar el protocolo y el puerto; esto se trata en la siguiente sección de esta guía.
Estos son algunos de los puertos comúnmente utilizados junto con los servicios que los utilizan:
-
La transferencia de datos a través del protocolo de transferencia de archivos (FTP) utiliza el puerto 20.
-
El control de comandos a través de FTP utiliza el puerto 21.
-
Secure Shell (SSH) utiliza el puerto 22.
-
El servicio de inicio de sesión en remoto y de los mensajes de texto sin cifrar de Telnet utiliza el puerto 23.
-
El enrutamiento de correo electrónico de Simple Mail Transfer Protocol (SMTP) utiliza el puerto 25.
importante
Para habilitar el SMTP en la instancia, también debe configurar el DNS. De lo contrario, su correo electrónico puede estar limitado a través del puerto TCP 25. Para obtener más información, consulte Configuración del DNS inverso para un servidor de correo electrónico en su instancia de Amazon Lightsail.
-
El servicio sistema de nombres de dominio (DNS) utiliza el puerto 53.
-
El protocolo de transferencia de hipertexto (HTTP) utilizado por los navegadores web para conectarse a sitios web utiliza el puerto 80.
-
El protocolo de oficina de correos (POP3) utilizado por los clientes de correo electrónico para recuperar correo electrónico de un servidor utiliza el puerto 110.
-
El protocolo de transferencia de noticias de red (NNTP) utiliza el puerto 119.
-
El protocolo de tiempo de red (NTP) utiliza el puerto 123.
-
El protocolo de acceso a mensajes de Internet (IMAP) utilizado para administrar correo digital utiliza el puerto 143.
-
El protocolo de administración de red simple (SNMP) utiliza el puerto 161.
-
HTTP Secure (HTTPS) HTTP a través de TLS/SSL utilizado por los navegadores web para establecer una conexión cifrada para sitios web utiliza el puerto 443.
Para obtener más información, consulte Registro de número de puerto de nombre de servicio y protocolo de transporte
Especificación de tipos de protocolo de capa de aplicación
Puede especificar un tipo de protocolo de capa de aplicación al crear una regla de firewall, que son valores preestablecidos que especifican el protocolo y el intervalo de puertos de la regla según el servicio que desea habilitar en la instancia. De esta manera, no tiene que buscar el protocolo común y los puertos que usar para servicios como SSH, RDP, HTTP, etc. Simplemente puede elegir esos tipos de protocolo de capa de aplicación y el protocolo y el puerto se especifican para usted. Si prefiere especificar su propio protocolo y puerto, puede elegir el tipo de protocolo de capa de aplicación de Regla personalizada, que le da el control de esos parámetros.
nota
Puede especificar el tipo de protocolo de la capa de aplicación únicamente mediante la consola Lightsail. No puede especificar el tipo de protocolo de la capa de aplicación mediante la API AWS Command Line Interface ,AWS CLI() o los SDK de Lightsail.
Los siguientes tipos de protocolos de capa de aplicación están disponibles en la consola de Lightsail:
-
Personalizado: elija esta opción para especificar su protocolo y sus puertos propios.
-
Todos los protocolos: elija esta opción para especificar todos los protocolos y especifique sus propios puertos.
-
Todos los TCP: elige esta opción para utilizar el protocolo TCP pero no está seguro de qué puerto abrir. Esta habilita el TCP a través de todos los puertos (0-65535).
-
Todos los UDP: elige esta opción para utilizar el protocolo UDP pero no está seguro de qué puerto abrir. Esta habilita el UDP a través de todos los puertos (0-65535).
-
Todos los ICMP: elija esta opción para especificar todos los tipos y códigos de ICMP.
-
ICMP personalizado: elija esta opción para utilizar el protocolo ICMP y definir el tipo y el código de ICMP. Para obtener más información acerca de los tipos y códigos de ICMP, consulte el artículo sobre mensajes de control
en Wikipedia. -
DNS: elija esta opción cuando desee habilitar DNS en la instancia. Esto habilita TCP y UDP a través de los puertos 53.
-
HTTP : elija esta opción cuando desee habilitar los navegadores web para conectarse a un sitio web alojado en su instancia. Esto habilita TCP a través del puerto 80.
-
HTTPS : elija esta opción cuando desee habilitar los navegadores web para establecer una conexión cifrada con un sitio web alojado en su instancia. Esto habilita TCP a través del puerto 443.
-
MySQL/Aurora: elija esta opción para permitir que un cliente se conecte a una base de datos MySQL o Aurora alojada en su instancia. Esto habilita TCP a través del puerto 3306.
-
Oracle-RDS: elija esta opción para permitir que un cliente se conecte a una base de datos Oracle o RDS alojada en su instancia. Esto habilita TCP a través del puerto 1521.
-
Ping (ICMP): elija esta opción para habilitar a su instancia a responder a las solicitudes mediante la utilidad Ping. En el firewall IPv4, esto habilita ICMP tipo 8 (eco) y código -1 (todos los códigos). En el firewall IPv6, esto habilita ICMP tipo 129 (repuesta eco) y código 0.
-
RDP: elija esta opción para permitir que un cliente RDP se conecte a su instancia. Esto habilita TCP a través del puerto 3389.
-
SSH: elija esta opción para permitir que un cliente SSH se conecte a su instancia. Esto habilita TCP a través del puerto 22.
Especificación de direcciones IP de origen
De forma predeterminada, las reglas del firewall permiten que todas las direcciones IP se conecten a la instancia a través del protocolo y el puerto especificados. Esto es ideal para el tráfico por ejemplo de navegadores web a través de HTTP y HTTPS. Sin embargo, esto supone un riesgo de seguridad para el tráfico por ejemplo de SSH y RDP, ya que no desea permitir que todas las direcciones IP puedan conectarse a su instancia mediante esas aplicaciones. Por ese motivo, puede optar por restringir una regla de firewall a una dirección IPv4 o IPv6 o a un intervalo de direcciones IP.
-
Para el firewall IPv4: puede especificar una única dirección IPv4 (por ejemplo, 203.0.113.1) o un intervalo de direcciones IPv4. En la consola Lightsail, el rango se puede especificar mediante un guión (por ejemplo, 192.0.2.0-192.0.2.255) o en notación de bloques CIDR (por ejemplo, 192.0.2.0/24). Para obtener más información acerca de la notación de bloque de CIDR, consulte Classless Inter-Domain Routing
en Wikipedia. -
Para el firewall IPv6: puede especificar una sola dirección IPv6 (por ejemplo, 2001:0db8:85a3:0000:0000:8a2e:0370:7334) o un intervalo de direcciones IPv6. En la consola de Lightsail, el intervalo IPv6 se puede especificar usando únicamente la notación de bloques de CIDR (por ejemplo, 2001:db8::/32). Para obtener más información acerca de la notación de bloques de CIDR IPv6, consulte Bloques de CIDR IPv6
e nWikipedia.
Reglas de firewall de Lightsail predeterminadas
Cuando crea una nueva instancia, los firewalls IPv4 e IPv6 están preconfigurados con el siguiente conjunto de reglas predeterminadas que permiten el acceso básico a la instancia. Las reglas predeterminadas son diferentes en función del tipo de instancia que cree. Estas reglas se muestran como aplicación, protocolo, puerto y dirección IP de origen (por ejemplo, aplicación-protocolo-puerto-dirección IP de origen).
- AlmaLinux, Amazon Linux 2, Amazon Linux 2023, Centos, Debian, FreeBSD, openSUSE y Ubuntu (sistemas operativos básicos)
-
SSH-TCP-22: todas las direcciones IP
HTTP-TCP-80: todas las direcciones IP
- WordPress, Ghost, Joomla! PrestaShop, y Drupal (aplicaciones CMS)
-
SSH-TCP-22: todas las direcciones IP
HTTP-TCP-80: todas las direcciones IP
HTTPS-TCP-443: todas las direcciones IP
- cPanel & WHM (aplicación de CMS)
-
SSH-TCP-22: todas las direcciones IP
DNS (UDP)-UDP-53: todas las direcciones IP
DNS (TCP)-TCP-53: todas las direcciones IP
HTTP-TCP-80: todas las direcciones IP
HTTPS-TCP-443: todas las direcciones IP
Personalizado-TCP-2078: todas las direcciones IP
Personalizado-TCP-2083: todas las direcciones IP
Personalizado-TCP-2087: todas las direcciones IP
Personalizado-TCP-2089: todas las direcciones IP
- LAMP, Django, Node.js, GitLab MEAN y Nginx (pilas de desarrollo)
-
SSH-TCP-22: todas las direcciones IP
HTTP-TCP-80: todas las direcciones IP
HTTPS-TCP-443: todas las direcciones IP
- Magento (aplicación de comercio electrónico)
-
SSH-TCP-22: todas las direcciones IP
HTTP-TCP-80: todas las direcciones IP
HTTPS-TCP-443: todas las direcciones IP
- Redmine (aplicación de administración de proyectos)
-
SSH-TCP-22: todas las direcciones IP
HTTP-TCP-80: todas las direcciones IP
HTTPS-TCP-443: todas las direcciones IP
- Plesk (hosting stack)
-
SSH-TCP-22: todas las direcciones IP
HTTP-TCP-80: todas las direcciones IP
HTTPS-TCP-443: todas las direcciones IP
Personalizadas-TCP-53: todas las direcciones IP
Personalizadas-UDP-53: todas las direcciones IP
Personalizadas-TCP-8443: todas las direcciones IP
Personalizadas-TCP-8447: todas las direcciones IP
- Windows Server 2022, Windows Server 2019 y Windows Server 2016
-
SSH-TCP-22: todas las direcciones IP
HTTP-TCP-80: todas las direcciones IP
RDP-TCP-3389: todas las direcciones IP
- SQL Server Express 2022, SQL Server Express 2019 y SQL Server Express 2016
-
SSH-TCP-22: todas las direcciones IP
HTTP-TCP-80: todas las direcciones IP
RDP-TCP-3389: todas las direcciones IP
Más información sobre los firewalls
Los siguientes son algunos artículos que le ayudarán a administrar los firewalls en Lightsail.
