A la página principal

Configurar Cloudflare

Cómo conectar y proteger tu sitio con Cloudflare.

Cloudflare es un servicio que protege los sitios web de ataques, acelera la carga de páginas y mejora la seguridad general.

Funciones principales:

  • Bloqueo de bots maliciosos, ataques DDoS y spam
  • Almacenamiento en caché de archivos estáticos (CSS, JS, imágenes) en servidores de todo el mundo
  • Protección contra amenazas a nivel de red
  • Certificados SSL/TLS gratuitos y mucho más

Lista completa de planes y funcionalidades: Cloudflare Plans & Pricing
Soporte y documentación: Cloudflare Help Center

Para la máxima protección y rendimiento, utiliza este enfoque por capas:
Cloudflare → cortafuegos de Fornex → tu servidor

Esta configuración:

  • Filtra las amenazas evidentes en Cloudflare
  • Restringe el tráfico entrante únicamente a las IPs de Cloudflare mediante el cortafuegos de Fornex
  • Bloquea el acceso directo a tu servidor desde internet

Paso 1. Crear una cuenta en Cloudflare

  1. Ve a cloudflare.com y haz clic en Sign Up.
  2. Elige un plan (el plan gratuito es suficiente para empezar).
  3. Introduce tu correo y contraseña, y verifica tu cuenta.

Registro en Cloudflare Registro en Cloudflare

Paso 2. Añadir tu dominio

  1. Introduce el nombre de tu dominio y haz clic en Continue.
  2. Cloudflare analiza tus registros DNS existentes (tarda aproximadamente 1–2 minutos).
  3. Al finalizar, haz clic en Continue.

Añadir dominio Añadir dominio

Paso 3. Revisar y configurar los registros DNS

Cloudflare importa automáticamente tus registros DNS actuales.
Comprueba que todos los registros esenciales estén presentes (A, CNAME, MX, TXT, etc.).

  • Añadir registros faltantes: haz clic en Add record, selecciona el tipo, introduce nombre/valor/TTL y guarda.
  • Para subdominios (p. ej., api.example.com), añade registros individuales — el comodín (*) no ofrece protección completa de Cloudflare.
  • Edita o elimina registros directamente en la interfaz.

Cuando todo esté correcto, haz clic en Continue.

Configuración DNS Configuración DNS

Paso 4. Actualizar los servidores de nombres

Cloudflare proporciona dos nuevos servidores de nombres (p. ej., ns1.cloudflare.com y ns2.cloudflare.com).
Inicia sesión en tu registrador de dominio y sustituye los servidores de nombres actuales por los de Cloudflare.

La propagación puede tardar hasta 24 horas.
Una vez completada, el estado de tu dominio en Cloudflare cambiará a Active.

Importante

Durante la propagación DNS, tu sitio puede ser temporalmente inaccesible o cargarse a través de los DNS anteriores. Es normal.

Paso 5. Configurar la protección en el servidor y el cortafuegos de Fornex

Para lograr la máxima protección, configura el filtrado en tres niveles:

1. En tu servidor

Cierra todos los puertos innecesarios. Mantén abiertos únicamente los que uses:

  • 80 y 443 — HTTP/HTTPS (obligatorios para el sitio web)
  • 22 — SSH (si lo usas)
  • 21 — FTP (si lo usas)
  • Puerto del panel de control (p. ej., 8443 para HestiaCP, 2083/2087 para cPanel, etc.) — si usas un panel

Para VPS: usa el cortafuegos integrado en tu área de cliente de Fornex (VPS → pestaña Firewall).
Para servidores dedicados: configura manualmente con iptables, ufw o firewalld — no hay botón de firewall en el panel.

Ejemplo de configuración básica con ufw (permitir solo IPs de Cloudflare):

# Permitir HTTP/HTTPS desde los rangos de Cloudflare
sudo ufw allow from 173.245.48.0/20 to any port 80,443 proto tcp
sudo ufw allow from 103.21.244.0/22 to any port 80,443 proto tcp
# ... añade todos los rangos desde https://www.cloudflare.com/ips/

# Permitir SSH/FTP/panel (si es necesario) — preferiblemente solo desde tu IP o Cloudflare
sudo ufw allow from YOUR_IP to any port 22 proto tcp
sudo ufw allow from YOUR_IP to any port 21 proto tcp
sudo ufw allow from YOUR_IP to any port 8443 proto tcp  # ejemplo para HestiaCP

# Denegar todo lo demás en estos puertos
sudo ufw deny 80,443,22,21,8443
sudo ufw reload

Rangos de IP de Cloudflare completos y actualizados: https://www.cloudflare.com/ips/

2. En Fornex (solo VPS)

Área de cliente → VPS → pestaña Firewall:

  • Crea reglas que permitan el tráfico entrante solo desde los rangos IP de Cloudflare (lista anterior)
  • Permite los puertos necesarios (80, 443, 22, 21, puerto del panel, etc.)
  • Deniega todo lo demás

Esto añade una capa adicional — aunque alguien eluda Cloudflare, los ataques directos a la IP de tu servidor quedan bloqueados.
En los servidores dedicados, todo el filtrado se realiza manualmente en el propio servidor (iptables/ufw/firewalld).

3. En Cloudflare

  • Activa el Proxy status (nube naranja) para todos los registros A/CNAME — así el tráfico pasará por Cloudflare
  • En Security → WAF, activa las Managed Rules (gratuito)
  • Activa el Bot Fight Mode o el Super Bot Fight Mode
  • En SSL/TLS → Edge Certificates, establece el modo Full (strict)
  • En Caching, activa el almacenamiento en caché de archivos estáticos

Tras configurar los tres niveles:

  • Los ataques directos a la IP del servidor son bloqueados por el cortafuegos
  • Cloudflare filtra la mayoría de las amenazas
  • Tu servidor recibe únicamente tráfico limpio y verificado

Verificación

  • Envía una solicitud o un correo de prueba — comprueba los encabezados en busca de marcadores de Cloudflare (CF-Ray, CF-Connecting-IP)
  • Intenta acceder al sitio directamente desde su IP — debe estar bloqueado
  • Comprueba la velocidad de carga de las páginas y la entrega en la bandeja de entrada

Nota

En los servidores dedicados, ten cuidado: bloquear accidentalmente el puerto SSH 22 sin una regla de excepción para tu IP te dejará sin acceso al servidor. Define las excepciones primero.

Ayuda

¿Tienes dudas o necesitas ayuda? Escríbenos a través del sistema de tickets — siempre estamos aquí para ayudarte!

¿Necesitas ayuda?Nuestros ingenieros te ayudarán gratuitamente con cualquier pregunta en minutosContáctanos