Cómo bloquear conexiones sospechosas desde CMD

Cuando notas picos raros de tráfico, sesiones abiertas sin sentido o puertos escuchando donde no deberían, lo ideal es reaccionar sin perder tiempo desde la consola. Bloquear conexiones sospechosas desde CMD (o terminal) es rápido, auditable y no depende de interfaces gráficas, así que te saca del apuro tanto en Windows como en Linux.

En esta guía vas a encontrar desde el uso de netstat para descubrir qué está hablando en tu máquina, hasta reglas de Firewall de Windows con netsh y PowerShell, junto a alternativas como UFW y firewalld en Linux, bloqueo por .htaccess, casos en FortiGate y advertencias sobre SEO y rendimiento. Todo con comandos claros, buenas prácticas y opciones para automatizar.

Netstat: qué es, para qué sirve y cómo sacarle partido

El nombre de netstat viene de Network + Statistics y su propósito es mostrarte, en crudo, el estado de tus conexiones y puertos. Está integrado desde hace décadas en Windows, Linux, macOS y sistemas Unix, no tiene interfaz gráfica y es perfecto para diagnósticos rápidos o auditorías básicas.

Además de listar conexiones y sockets TCP/UDP (IPv4/IPv6), netstat ofrece tablas de enrutamiento, métricas por protocolo y errores. Antes de un análisis serio, cierra software innecesario o incluso reinicia y lanza netstat con lo mínimo levantado, así evitas ruido en la salida. Si prefieres algo visual en Windows, TCPView muestra la misma película con interfaz.

Impacto en el rendimiento al usar netstat

Netstat por sí mismo no rompe nada, pero ejecutarlo en bucle con mil parámetros puede consumir CPU y memoria si tienes muchísimas conexiones. Para minimizar el impacto, úsalo cuando toque, filtra justo lo que necesitas y evita lanzarlo cada pocos segundos sin motivo.

• Limita su uso a momentos de diagnóstico o verificación.
• Emplea parámetros concretos para no tragarte listados enormes.
• Si necesitas monitorización continua, valora herramientas específicas de red.

En entornos grandes o críticos, revisa el procedimiento con el equipo de sistemas. Planificar cómo, cuándo y con qué filtros lanzar netstat evita costes y retrasos.

Ventajas y desventajas de netstat

Entre sus puntos fuertes están la visibilidad de todas las conexiones activas, el seguimiento de sesiones y la monitorización por protocolo. Ayuda a detectar intrusiones, cuellos de botella y a resolver incidencias.

• Visibilidad y control de puertos y procesos en escucha.
• Monitorización del uso de red y detección de congestión.
• Identificación de conexiones no autorizadas para cortar a tiempo.
• Diagnóstico de problemas de rendimiento y conexiones persistentes.

Como contras, su salida es densa para usuarios no técnicos, no cifra nada y en entornos gigantes se queda corto. Además, en sistemas modernos muchas tareas se han movido a PowerShell en Windows, que es más flexible y scriptable.

• Curva de aprendizaje si no dominas redes.
• Falta de escalabilidad para redes enormes.
• Análisis limitado: para profundidad real necesitas otras suites (p. ej., Wireshark).

Usar netstat en Windows: parámetros útiles y ejemplos

Abre CMD o Terminal como administrador y ejecuta netstat. Verás Proto (TCP/UDP), direcciones local/remota y estado (LISTENING, ESTABLISHED, etc.). Para ver puertos en números, usa netstat -n; si quieres refresco automático, añade un intervalo al final (por ejemplo 7 segundos).

Parámetros clave para investigar más fino: -a (todas las conexiones y puertos en escucha), -e (estadísticas de interfaz), -f (FQDN de remotos), -n (numérico), -o (PID por conexión), -p X (filtra por protocolo), -q (puertos vinculados), -r (tabla de rutas), -s (estadísticas por protocolo), -t (descarga), -x (NetworkDirect)

• netstat -ano muestra puertos abiertos, conexiones y PID para cruzarlo con el Administrador de tareas. Ideal para cazar procesos raros.
• netstat -p IP lista conexiones del protocolo IPv4 según la salida del sistema. Si solo te interesan IPv4, filtras ruido.
• netstat -a enseña todo lo que está activo y escuchando.
• netstat | findstr ESTABLISHED filtra las conexiones establecidas (cambia por LISTENING, CLOSE_WAIT o TIME_WAIT según toque). Un grep rápido para estados.
• netstat -s y netstat -e sacan estadísticas por protocolo e interfaces.
• netstat -r muestra rutas activas; netstat -f resuelve FQDN (combínalo con findstr por dominio para aislar resultados).

Bloquear IPs y conexiones sospechosas desde CMD/Terminal

Cuando detectas una IP extraña en netstat o en tus logs, lo razonable es cortarla en el firewall. En Windows puedes hacerlo con netsh y también con PowerShell; en Linux, con ip route, UFW o iptables/firewalld. Si tu web corre con Apache, hasta puedes negar desde .htaccess.

Windows: netsh (Firewall de Windows)

Ejecuta CMD como administrador y entra en el contexto avanzado: netsh advfirewall. Para habilitar el firewall en el perfil activo: set currentprofile state on. Así te aseguras de que las reglas se apliquen.

• Bloquear una IP entrante en todos los programas: netsh advfirewall firewall add rule name=Bloqueo_IP dir=in action=block remoteip=203.0.113.5
• Bloquear un rango: ... remoteip=203.0.113.0/24
• Eliminar una regla: netsh advfirewall firewall delete rule name=Bloqueo_IP
• Restaurar valores por defecto: netsh advfirewall reset

Si prefieres la consola gráfica: abre «Firewall de Windows con seguridad avanzada» y crea una Regla de entrada personalizada para bloquear una IP o rango en «Ámbito». Marca “Bloquear la conexión” y aplica a Dominio/Privado/Público.

Windows: GUI clásica paso a paso (bloquear IP)

Otra vía, muy cómoda, es crear una regla desde el Firewall (MMC): selecciona «Nueva regla» > «Personalizada», aplica a «Todos los programas», protocolo «Cualquiera», y en «Ámbito» añade la IP o rango a bloquear. Elige “Bloquear la conexión”, aplica a los tres perfiles y nómbrala.

Linux: bloquear con ruta “blackhole”

Si quieres descartar tráfico de una IP o un rango a nivel de routing, puedes crear rutas negras. Es rápido y efectivo, ideal ante ataques ruidosos.

• IP específica: ip route add blackhole 24.92.120.34/32
• Rango /24: ip route add blackhole 22.118.20.0/24
• Ver tabla: ip route
• Eliminar: ip route del blackhole 22.118.20.0/24

En sistemas antiguos verás route add -host 24.92.120.34 reject, pero hoy lo habitual es usar ip route. Ambas aproximaciones apuntan a lo mismo: agujero negro.

Bloquear desde .htaccess (hosting Apache)

Si lo que te molesta es el acceso web (comentarios spam, intentos al panel), puedes cortar por IP en tu hosting (Plesk/Apache). Edita el .htaccess de httpdocs tras hacer copia.

Order Allow,Deny
Deny from 192.168.10.10
Allow from all

Para varios orígenes, añade más líneas Deny. Saca siempre copia del .htaccess antes de tocar, te ahorras sustos.

Geobloqueo y SEO

Con módulos GeoIP puedes redirigir por país desde .htaccess, por ejemplo a una página de error si el código de país coincide. Úsalo solo si el servidor soporta geobloqueo y sabiendo que afecta a SEO y usuarios con VPN.

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Evita bloquear bots de buscadores o te cargarás la indexación. Controla excepciones para Googlebot/Bingbot y revisa Search Console.

Alternativas al bloqueo directo

Antes de ir a la piqueta, valora fricción inteligente: CAPTCHAs, limitación de tasa (rate limiting) y CDNs que absorben picos y filtran DDoS. Son medidas menos intrusivas y más escalables.

Automatizar reglas con PowerShell (Windows) e IPsec

PowerShell te permite crear, cambiar, exportar a GPO y auditar reglas del firewall con precisión. Y si necesitas seguridad de red a nivel de paquete, súmale IPsec.

Crear una regla de bloqueo saliente por app y puerto en un GPO: New-NetFirewallRule -DisplayName Block_Out_Telnet -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block -PolicyStore domain.contoso.com\gpo_name

Para reducir carga en controladores, cachea el GPO en sesión, aplica cambios y guarda: Open-NetGPO, New-NetFirewallRule -GPOSession, Save-NetGPO. Evitas viajes innecesarios al DC.

Modificar reglas existentes es tan fácil como consultarlas con Get-NetFirewallRule y sus filtros asociados (puertos, direcciones) y encadenar con Set-NetFirewallRule. También puedes habilitar por grupo con Enable-NetFirewallRule -DisplayGroup.

Para limpieza controlada: Remove-NetFirewallRule -Action Block o consulta primero, guarda en variable y elimina con confirmación. -ErrorAction SilentlyContinue evita ruido si algo ya no existe.

Gestión remota: usa -CimSession para consultar o cambiar reglas en otros equipos (New-CimSession y actúa). WinRM viene habilitado por defecto.

IPsec: crea reglas de transporte, define propuestas criptográficas, usa IKEv2 si tu contraparte lo requiere y aplica aislamiento de dominio (Kerberos). Puedes exigir “permitir si es seguro” en firewall y respaldarlo con reglas IPsec de autenticación y cifrado.

Para segmentar acceso por grupos, construye cadenas SDDL con los SID de usuarios/equipos y referencia en la regla. Así solo un subconjunto legítimo accede y el tráfico va cifrado.

Registros, qué bloquea el firewall y pruebas de puertos

Conviene activar el registro de paquetes descartados en «Firewall de Windows con seguridad avanzada» > Propiedades del firewall > Inicio de sesión > «Registrar paquetes descartados: Sí». El log por defecto es %systemroot%\system32\LogFiles\Firewall\pfirewall.log.

Ahí verás qué, cuándo y por qué se bloquea. Útil para ajustar reglas o detectar falsos positivos.

Para comprobar puertos abiertos de tu IP pública desde fuera, YouGetSignal te da un veredicto rápido (Port Forwarding Tester). Introduce el puerto y en segundos sabrás si responde.

Si sospechas que el firewall está cerrando una app, ve a «Permitir una aplicación o característica a través de Firewall de Windows Defender» y ajusta casillas por red (Privada/Pública). Gestiona bien lista blanca y así evitas bloqueos tontos.