50% de descuento en todos los planes, por tiempo limitado. Desde $2.48/mo
Seguridad

Reducir las quejas por abuso al ofrecer un servicio VPN

Por Parnian R. 6 min de lectura Actualizado el 15 feb. 2026

Ejecutar un servicio VPN o proxy en un servidor conlleva varios riesgos. Como
propietario de la IP, tus usuarios son responsables de cualquier abuso o actividad
ilegal que se lleve a cabo a través de tu servicio. Para protegerte de este
problema, debes tomar medidas preventivas para proteger tu
reputación.

Modo estricto:
Lista blanca

Una forma de evitar que tu servidor sea utilizado de forma indebida es permitir solo
ciertas actividades. Este enfoque, conocido como lista blanca, no
previene el abuso por completo: tus usuarios aún pueden atacar a otras personas y provocar
la suspensión de tu servidor. Sin embargo, dificulta considerablemente el abuso y
es muy probable que aleje a los infractores de tus
servicios (y, por desgracia, también a algunos usuarios legítimos).

Lo que proponemos aquí es descartar todos los paquetes entrantes y salientes
de tu servidor, excepto los que sean estrictamente necesarios.
Así es como puedes hacerlo.

Lo único que debes tener en cuenta antes de seguir esta guía es
que no debes tener ningún otro cortafuegos activo en tu servidor.
Aunque esta guía cubre el proceso en Ubuntu, no es necesario que sea
tu sistema operativo. La lógica del proceso es la misma para otros sistemas operativos.
well.

1. Instalación de UFW

Primero, instala UFW.

sudo apt install ufw

2.
Bloqueo de todas las conexiones entrantes y salientes

Asegúrate de desactivar UFW, ya que los siguientes comandos pueden
interrumpir tu conexión con el servidor:

sudo ufw disable

los comandos que se muestran a continuación bloquearán todos los paquetes que intenten
entrar o salir del servidor. Más adelante, solo permitiremos las conexiones que
los usuarios necesiten:

sudo ufw default deny incoming

sudo ufw default deny outgoing

3. Permitir que
tú mismo te conectes al servidor

Ahora permitiremos las conexiones entrantes al puerto 22, que es el puerto
utilizado para establecer conexiones SSH. Aunque siempre es recomendable
cambiar el puerto SSH por otro:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Aunque las conexiones salientes ya están bloqueadas, bloquearemos específicamente
todos los paquetes salientes que tengan el puerto 22 como destino (por
si en el futuro cambias la política predeterminada). Esto impedirá tanto
a ti como a tus usuarios conectarse a otros servidores mediante SSH en el puerto
22. Aunque pueda parecer un inconveniente, en realidad resuelve uno de los motivos
más comunes de suspensión de servidores. Con este
comando, ningún usuario podrá realizar ataques de fuerza bruta por SSH desde
tu servidor:

sudo ufw deny out 22/tcp comment “Stops SSH brute force”

Tras permitir las conexiones entrantes al puerto 22, puedes activar el
cortafuegos sin perder la conexión con tu servidor:

sudo ufw enable

Si por alguna razón pierdes la conexión con tu servidor, puedes usar
VNC para volver a acceder a él y desactivar el cortafuegos.

4.
Permitir que tus usuarios se conecten al servidor para usar el proxy/VPN
servicios

Naturalmente, tus usuarios necesitan conectarse y usar los servicios de proxy
del servidor. Bloquear todas las conexiones entrantes les impide hacerlo.
Por eso, debemos habilitar los puertos proxy/VPN que utilizan para
Por ejemplo, supongamos que queremos permitir que los usuarios se conecten al puerto 1194, que
se usa habitualmente para OpenVPN. Para ello, escribe el siguiente comando:

sudo ufw allow in 1194/tcp comment “OpenVPN port for users”

O, si estás ejecutando OpenVPN sobre UDP:

sudo ufw allow in 1194/udp comment “OpenVPN port for users”

La misma lógica se aplica a otros servidores VPN y proxy,
simplemente averigua a qué puerto necesitan conectarse tus usuarios y permite las conexiones
entrantes a ese puerto.

Ahora tus usuarios pueden conectarse a tu servidor y al VPN, pero
no podrán establecer ninguna conexión con el exterior. Este es el
objetivo exacto de la lista blanca: los usuarios no podrán conectarse a ningún
puerto a menos que lo permitamos explícitamente. Esto reduce la posibilidad de
recibir informes de uso indebido.

5.
Permitir que tus usuarios visiten sitios web y usen
aplicaciones

Ahora permitiremos el tráfico saliente a los puertos que se usan para navegar
por la web y realizar llamadas API a servidores web. Para ello, debes permitir
el puerto TCP 80 y el puerto TCP 443. Permitir también el puerto UDP 443
habilitará a tus usuarios para establecer conexiones HTTP3:

sudo ufw allow out 80/tcp comment “HTTP connections”

sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”

6. Permitir que
distintos servicios según sea necesario

Por lo general, abrir los puertos 80 y 443 es suficiente, pero para obtener la
funcionalidad completa de ciertas aplicaciones o programas, puede que necesites permitir
a tus usuarios usar otros puertos también.

En general, se recomienda investigar por tu cuenta y permitir únicamente
los puertos que sean estrictamente necesarios. Cada aplicación importante tiene una
documentación de red con información para administradores de red
como tú. En esos documentos encontrarás los puertos que la
aplicaciones usan y añádelos también a la lista blanca. A continuación veremos algunos ejemplos populares.
como ejemplos.

WhatsApp
(Sin videollamada ni llamada de voz):

sudo ufw allow out 443/tcp comment “WhatsApp”

sudo ufw allow out 5222/tcp comment “WhatsApp”

Git:

sudo ufw allow out 9418/tcp comment “Git”

Algunos servicios como Discord,
Zoom,
o las llamadas de voz y vídeo de WhatsApp requieren un amplio rango de puertos UDP,
puedes abrirlos bajo tu propia responsabilidad.

Modo permisivo:
Lista negra

Con la lista blanca, bloqueas todo y permites puertos específicos. Con
la lista negra, permites todo y bloqueas puertos específicos.

1. Instalación de UFW

Primero, debes instalar UFW

sudo apt install ufw

2. Bloquear las
conexiones entrantes

Asegúrate de desactivar UFW, ya que los siguientes comandos pueden
interrumpir tu conexión con el servidor:

sudo ufw disable

Tiene sentido bloquear todas las conexiones entrantes salvo que ofrezcamos
servicios específicos. Por eso, rechacemos todo el tráfico entrante:

sudo ufw default deny incoming

Ten en cuenta que esta vez no estás bloqueando todas las conexiones salientes.
Esto permite a tus usuarios conectarse a cualquier puerto que deseen. No es
recomendable a menos que confíes plenamente en tus usuarios.

3.
Permitirte conectarte a tu servidor

Ahora permitiremos conexiones entrantes al puerto 22, que es el puerto
utilizado para establecer conexiones SSH a tu servidor. Aunque siempre es
buena idea cambiar tu puerto SSH por otro:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Si quieres bloquear el puerto SSH para evitar informes de abuso por fuerza bruta en SSH,
puedes usar el siguiente comando:

sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”

4. Bloquear BitTorrent

Con la misma lógica, debes bloquear los puertos que usa
BitTorrent. Como hay varios puertos implicados, tendrás que
investigar y bloquear tanto las IPs de trackers públicos como los puertos
que se utilizan habitualmente para BitTorrent.

Si tienes alguna pregunta, no dudes en contactarnos a través de enviando un
ticket.

Compartir
Volver a la base de conocimiento

También en Seguridad

Guías relacionadas.

Establecer contraseña de RouterOS

Proteger un VPS con Linux

Proteger una conexión RDP

Verificar el firewall de un Cloud VPS

¿Necesitas ayuda con otra cosa?

Tiempo de respuesta medio inferior a 1 hora. Personas reales, no bots.

Contactar con soporte Ver todas las guías