Por qué “Entrante: ignorar / Saliente: permitir” es una buena idea
En sistemas de escritorio GNU/Linux, especialmente en entornos como Debian con KDE Plasma, el cortafuegos no suele verse como algo necesario, y sí como algo desmesuradamente engorroso. Sin embargo, una sutil configuración puede aportar una sigilosa defensa sin complicarle la vida al usuario.
Antes de nada, instalamos UFW (Uncomplicated Firewall) usando Synaptic o la línea de comandos:
En la línea de comandos usaremos lo siguiente:
sudo apt install ufw
Plasma Firewall proporciona una forma de configurar gráficamente un servicio de firewall. Normalmente viene instalado por defecto en las Preferencias del sistema, pero si no es así, lo instalamos.
Una de esas configuraciones es:
- Política entrante: ignorar
- Política saliente: permitir
¿Qué significa realmente “ignorar” lo entrante?
Configurar el tráfico entrante como ignorado implica que cualquier conexión no solicitada desde el exterior se descarta en silencio. El sistema no responde con mensajes de rechazo ni confirma la existencia de puertos abiertos o cerrados.
Desde fuera, el equipo:
- No “contesta”
- No da pistas
- Aparece como filtrado o incluso inexistente
Este comportamiento reduce el ruido de red y dificulta tareas habituales como el escaneo de puertos o el fingerprinting (Intentar identificar un sistema observando cómo responde en la red y qué información deja ver) del sistema.
Un enfoque discreto, pero eficaz
A diferencia de políticas más explícitas como deny o reject (bloquean el tráfico entrante y saliente), el modo ignore apuesta por la discreción. No es una defensa agresiva, sino pasiva: el sistema simplemente no reacciona.
Para un equipo de escritorio que:
- No ofrece servicios públicos
- Se conecta a redes domésticas o de confianza
- Inicia conexiones, pero no espera recibirlas
…este enfoque es más que suficiente y, en muchos casos, preferible.
Saliente permitido: que el sistema fluya
Permitir todo el tráfico saliente garantiza que:
- Navegadores
- Actualizaciones del sistema
- Aplicaciones de escritorio
- Servicios como DNS (nombres de dominio), NTP (protocolo de tiempo para sincronizar la red) o gestores de paquetes
funcionen sin restricciones ni configuraciones adicionales.
Además, UFW (Uncomplicated Firewall) es un cortafuegos stateful (Capacidad del cortafuegos para reconocer conexiones iniciadas por el propio equipo y permitir solo sus respuestas), lo que significa que las respuestas a conexiones iniciadas desde el propio equipo sí están permitidas automáticamente, incluso con el tráfico entrante ignorado.
Seguridad sin fricción
Una de las grandes virtudes de esta configuración es que no interfiere con el uso normal del sistema:
- No rompe el escritorio
- No requiere mantenimiento constante
- No obliga a abrir puertos “por si acaso”
Es una defensa silenciosa que cumple el principio de mínimo privilegio aplicado a la red.
¿Es suficiente?
Para un escritorio personal, portátil o mini-PC sin servicios expuestos, sí.
No pretende sustituir otras medidas de seguridad, pero añade una capa adicional muy barata en términos de complejidad y coste cognitivo.
Si en el futuro se necesitan servicios entrantes (SSH, KDE Connect, impresoras en red), siempre es posible añadir reglas específicas sin cambiar la política general.
Conclusión
Usar UFW con entrante ignorado y saliente permitido es una forma elegante de aplicar seguridad práctica en Linux: silenciosa, sencilla y efectiva.
No es hardening (hacer un sistema más seguro reduciendo lo que no necesita estar activo o accesible) extremo, pero sí una defensa sutil que encaja perfectamente con el espíritu de un escritorio moderno y bien configurado.
