Firewall de infraestructura vs firewall del sistema operativo
Antes de empezar, es importante entender que hay dos niveles de firewall independientes:
| Firewall de infraestructura | Firewall del OS | |
|---|---|---|
| Dónde corre | En la red del proveedor, antes de llegar al servidor | Dentro del servidor (UFW, firewalld) |
| Quién lo gestiona | Desde el panel de Host Crafter | Por SSH, dentro del VPS |
| Cuándo filtra | Antes de que el paquete toque el servidor | Después de que el paquete llega al servidor |
| Por defecto | Todo bloqueado | Depende del OS |
Esta guía cubre el firewall de infraestructura — el que gestionás desde nuestro panel de clientes.
Si necesitás configurar también el firewall dentro del sistema operativo del servidor, leé nuestra guía de configuración de firewall en Linux.
¿Por qué mi VPS no tiene nada accesible por defecto?
Cuando creás un VPS en Host Crafter, el servidor no tiene ningún puerto abierto a nivel de infraestructura. Esto es intencional: es la configuración más segura posible.
Si intentás conectarte por SSH o acceder a un sitio web y no respondé, probablemente sea porque falta crear las reglas de firewall correspondientes.
Acceder al gestor de firewall
- Ingresá a tu cuenta en el portal de clientes
- En el menú lateral izquierdo, hacé click en Firewall (ícono de escudo 🛡️)
- Vas a ver la pantalla principal del firewall
Seleccionar el servidor
En la parte superior de la pantalla de Firewall aparece un selector con todos tus servidores activos.
Hacé click en el servidor al que querés configurarle el firewall. Una vez seleccionado, vas a ver una de estas dos situaciones:
Situación A: El servidor no tiene firewall asignado
Aparece el mensaje “Sin firewall asignado”. Hacé click en el botón “Crear firewall para este servidor”.
El sistema crea automáticamente un grupo de firewall vacío y lo asigna al servidor. En este punto el servidor sigue sin reglas — todo el tráfico externo sigue bloqueado.
Situación B: El servidor ya tiene un firewall
Ves el nombre del grupo, la fecha de creación y la cantidad de reglas activas.
Entender las reglas de firewall
Cada regla define qué tráfico se permite entrar al servidor. Todo lo que no esté explícitamente permitido queda bloqueado.
Los campos de cada regla son:
| Campo | Descripción |
|---|---|
| Protocolo | TCP, UDP, ICMP, GRE, ESP, AH |
| Puerto | Número de puerto o rango (ej: 80 o 8000:9000) |
| Origen | IP o red desde la que se permite el acceso |
| CIDR | Máscara de red (0 = cualquier IP de ese origen) |
| IP ver. | IPv4 o IPv6 |
Agregar reglas esenciales
Abrir SSH (imprescindible)
Sin esta regla no vas a poder conectarte al servidor por terminal.
- Protocolo:
tcp - Puerto:
22(o el puerto personalizado que hayas configurado) - Origen:
0.0.0.0 - CIDR:
0 - IP ver.:
IPv4
Hacé click en Agregar.
Recomendación de seguridad: si tenés una IP fija (de tu oficina o casa), limitá SSH solo a esa IP poniendo tu IP en el campo Origen y
/32en CIDR. Así nadie más en el mundo puede intentar conectarse por SSH.
Abrir HTTP (sitio web sin SSL)
- Protocolo:
tcp - Puerto:
80 - Origen:
0.0.0.0 - CIDR:
0 - IP ver.:
IPv4
Abrir HTTPS (sitio web con SSL)
- Protocolo:
tcp - Puerto:
443 - Origen:
0.0.0.0 - CIDR:
0 - IP ver.:
IPv4
Abrir un puerto personalizado (ej: Node.js en 3000)
- Protocolo:
tcp - Puerto:
3000 - Origen:
0.0.0.0 - CIDR:
0 - IP ver.:
IPv4
Abrir un rango de puertos
Usá el formato inicio:fin:
- Puerto:
8000:9000(abre todos los puertos del 8000 al 9000)
Permitir ping (ICMP)
Para que el servidor responda a ping:
- Protocolo:
icmp - Puerto: (dejar vacío)
- Origen:
0.0.0.0 - CIDR:
0 - IP ver.:
IPv4
Reglas recomendadas según el uso del servidor
Servidor web básico
| Protocolo | Puerto | Origen | Descripción |
|---|---|---|---|
| tcp | 22 | 0.0.0.0/0 | SSH |
| tcp | 80 | 0.0.0.0/0 | HTTP |
| tcp | 443 | 0.0.0.0/0 | HTTPS |
| icmp | — | 0.0.0.0/0 | Ping |
Servidor de base de datos (acceso interno)
Para un servidor que solo debe ser accesible desde otro servidor tuyo (por ejemplo, la app en 198.51.100.10):
| Protocolo | Puerto | Origen | CIDR | Descripción |
|---|---|---|---|---|
| tcp | 22 | 0.0.0.0 | 0 | SSH desde cualquier IP |
| tcp | 5432 | 198.51.100.10 | 32 | PostgreSQL solo desde tu app |
Nunca expongas bases de datos al mundo (CIDR 0 con origen 0.0.0.0).
Servidor de desarrollo / staging
| Protocolo | Puerto | Origen | CIDR | Descripción |
|---|---|---|---|---|
| tcp | 22 | TU_IP | 32 | SSH solo desde tu IP |
| tcp | 80 | TU_IP | 32 | HTTP solo desde tu IP |
| tcp | 443 | TU_IP | 32 | HTTPS solo desde tu IP |
Eliminar una regla
En la lista de reglas activas, cada regla tiene un botón de eliminar (ícono de papelera) a la derecha. Hacé click para eliminarla — el cambio se aplica de inmediato a nivel de infraestructura.
Preguntas frecuentes
¿Los cambios se aplican inmediatamente? Sí. Las reglas de firewall de infraestructura se aplican en segundos, sin necesidad de reiniciar el servidor.
¿El firewall del panel reemplaza al del sistema operativo? No, son independientes. Ambos aplican. El tráfico debe pasar primero por el firewall de infraestructura, y si llega al servidor, pasa por el del OS. Recomendamos configurar ambos en producción.
Abrí el puerto pero sigo sin poder conectarme
Verificá que el servicio dentro del servidor esté corriendo y escuchando en ese puerto. También verificá que el firewall del OS (UFW o firewalld) no esté bloqueando el tráfico. Podés revisar con ss -tlnp dentro del servidor.
¿Puedo tener múltiples servidores con el mismo firewall? Cada servidor tiene su propio grupo de firewall independiente.
¿Tenés dudas con la configuración del firewall de tu servidor? Nuestro equipo de soporte está disponible 24/7 para ayudarte. Contactanos →