Cómo abrir puertos TCP y UDP en Oracle Cloud

Cuando se desea publicar un servicio en internet desde la plataforma de Oracle Cloud se deben administrar nuevas reglas en la «Lista de seguridad» que se encuentra implementada en la interfaz de red virtual (VNIC). En este artículo te muestro como abrir puertos TCP y UDP en Oracle Cloud.

Anteriormente instalamos un VPS GRATIS en Oracle Cloud, puedes leerlo en este enlace, pero seguramente cuando intentaron instalar una página web o cualquier otro servicio obtuvieron un error indicando que no se puede acceder. Eso sucede porque Oracle Cloud implementa un firewall.

Primero debemos conocer que para conectar un servicio desde un cliente a un servidor se necesita el nombre del dominio o IP a donde conectarnos. Por ejemplo, un servidor de email utiliza el protocolo TCP y generalmente responde en el puerto 25 mientras que una web responde en el puerto 80 o 443. En nuestra máquina local, que es el cliente, también se abren puertos que son aleatorios. Es por esto que un cortafuegos tiene reglas que permiten el acceso a algunos puertos y permanecen cerrados otros.

Reglas de seguridad en Oracle Cloud

En Oracle Cloud Infrastructure, hay dos tipos de firewalls virtuales disponibles para controlar el tráfico desde y hacia los recursos en la nube. Las listas de seguridad incluyen reglas de seguridad que se aplican a una subred completa. Los grupos de seguridad de red incluyen reglas de seguridad que se aplican a un juego definido de recursos que se organizan en grupos. Los grupos de seguridad de red permiten un control más detallado, mientras que las listas de seguridad son más fáciles de configurar y mantener.

Las listas de seguridad y los grupos de seguridad de red ambos incluyen reglas de seguridad. Una regla de seguridad permite que un tipo concreto de tráfico entre o salga de una tarjeta de interfaz de red virtual (VNIC).

Una VNIC es un componente de red que permite que un recurso en red, como una instancia (un nodo en Big Data Service), se conecte a una red virtual en la nube (VCN). La VNIC determina cómo se conecta la instancia con los puntos finales dentro y fuera de la VCN. Cada VNIC reside en una subred de una VCN. Una lista de seguridad define un conjunto de reglas de seguridad que se aplican a todas las VNIC de una subred. Un grupo de seguridad de red define un conjunto de reglas de seguridad que se aplican a un grupo de VNIC que usted define.

Definición de reglas de seguridad de Oracle Cloud

Una lista de seguridad puede definir tanto reglas de entrada (para tráfico entrante) como reglas de salida (para tráfico saliente). Cada regla de seguridad especifica:

• La dirección (entrada o salida)
• Si es una regla con o sin estado
• El tipo de origen y el origen (solo las reglas de entrada)

Creación de reglas de entrada (y puertos abiertos)

Para permitir el acceso a servicios como Cloudera Manager y Hue, debe abrir ciertos puertos en los clusters de Big Data Service. Configure estos puertos en las reglas de entrada de seguridad que se aplican a un cluster. Para definir reglas de entrada en una lista de seguridad:

1. En la consola de Oracle Cloud, abra el menú de navegación . En Infraestructura básica, seleccione Red y, a continuación, Redes virtuales en la nube.

2. En la página Redes virtuales en la nube del compartimento <compartment>, haga clic en el nombre de la VCN que utiliza el cluster. (La VCN se asoció al cluster cuando se creó el cluster).

3. En la página <vcn>, en Subredes del compartimento <compartment>, haga clic en el nombre de la subred que utiliza el cluster. (La subred se asoció al cluster cuando se creó el cluster).

4. En Listas de seguridad, haga clic en el nombre de una lista de seguridad definida para la subred. Si selecciona la lista de seguridad por defecto para la subred, puede que ya tenga algunas reglas definidas. Por ejemplo, puede que tenga una regla que permita el tráfico entrante en el puerto 22, para el acceso de shell seguro (SSH).

5. Si no se muestran las reglas de entrada, haga clic en Reglas de entrada en el lado izquierdo de la página, en Recursos.

6. Haga clic en el botón Agregar reglas de entrada para configurar las reglas de entrada de la subred.
7. En el cuadro de diálogo Agregar reglas de entrada, defina las siguientes opciones para abrir el puerto 80 para el acceso HTTP (si aún no está abierto):
   • Sin estado: deje esta casilla desactivada. Esto hace que sea una regla con estado, lo que significa que cualquier respuesta al tráfico entrante puede volver al host de origen, independientemente de las reglas de salida que se apliquen a la instancia.
   • Tipo de origen: seleccione CIDR.
   • CIDR de origen: introduzca 0.0.0.0/0, que indica que se permite el tráfico de todos los orígenes de Internet.
   • Protocolo IP: seleccione TCP.
   • Rango de puertos de origen: acepte el valor por defecto Todo.
   • Rango de puertos de destino: introduzca 80 para permitir el acceso a través de HTTP.
   • Descripción: agregue una descripción opcional.

8. En la parte inferior del cuadro de diálogo, haga clic en +Reglas de entrada adicionales e introduzca los valores de otra regla. Haga esto tantas veces como sea necesario para crear todas las reglas que necesite y, a continuación, haga clic en Agregar reglas de entrada. Los servicio típicos a utilizar son:
   • HTTP: puerto 80
   • HTTPS: puerto 443
   • SSH: puerto 22
   • FTP: puerto 21

Consideraciones especiales

Se debe tener en cuenta que esta configuración solamente tiene efecto en la red vitual en la nube de Oracle. Generalmente los VPS creados tienen su propio sistema firewall y por lo tanto es necesario crear las reglas necesarias en los servidores.

Les dejo el video publicado en mi canal de Youtube donde explico estos detalles y como administrar correctamente las reglas de iptables.

Si este artículo ha sido de ayuda puedes Suscribirte al canal de Youtube para apoyar este proyecto. Si tienes alguna pregunta o sugerencia lo haces en la caja de comentarios y te responderé en cuanto pueda.

También seguí la cuenta de nuestro Twitter @ApuntesIT donde anunciamos las nuevas publicaciones y compartimos nuestro conocimiento.

Hasta luego!!!!

Diego G. Calbo Elizondo

Trabajando desde el año 1990 en el mercado de la tecnología. Técnico en Electrónica. Administrador de Sistemas. Administrador de Redes. Técnico en telecomunicaciones. Técnico de plataforma satelital. Incursiono en el Software Libre desde mediados del 1997. Desde entonces utilicé varias distribuciones GNU/Linux comenzando con un RedHat 5.0
Formé parte del Core Team y miembro del grupo de desarrollo del Proyecto UTUTO.