Wéi installéiere a konfiguréieren UFW - Eng onkomplizéiert FireWall an Debian/Ubuntu
Zënter Computere matenee verbonne sinn, wuessen d'Servicer séier. E-Mail, Social Media, Online Shop, Chat bis Web Conferencing si Servicer déi vum Benotzer benotzt ginn. Awer op der anerer Säit gär dës Konnektivitéit just en duebelsäitem Messer. Et ass och méiglech schlecht Messagen un dës Computeren ze schécken wéi Virus, Malware, Trojan-Apps sinn ee vun hinnen.
Den Internet, wéi de gréisste Computernetzwierk ass net ëmmer mat gudde Leit gefëllt. Fir sécherzestellen datt eis Computeren/Serveren sécher sinn, musse mir et schützen.
Ee vun de Must-Have-Komponenten op Ärem Computer/Server ass Firewall. Vun Wikipedia ass eng Definitioun:
Am Informatik ass eng Firewall e Software- oder Hardware-baséiert Netzwierk Sécherheetssystem deen den erakommen an erausgoende Netzwierkverkéier kontrolléiert andeems d'Datepakete analyséiert ginn an feststellen ob se solle erlaaben oder net, baséiert op applizéiert Regelset.
Iptables ass eng vun de Firewall déi vill vu Servere benotzt gëtt. Et ass e Programm dee benotzt gëtt fir den erakommen an erausginn Traffic um Server ze managen baséiert op enger Rei vu Reegelen. Allgemeng ass nëmmen eng vertrauenswürdeg Verbindung erlaabt de Server anzeginn. Awer IPTables lafen am Konsolmodus an et ass komplizéiert. Déi, déi mat iptables Reegelen a Befehle vertraut sinn, kënnen de folgenden Artikel liesen deen beschreift wéi een iptables Firewall benotzt.
- Basis IPTables (Linux Firewall) Guide
Installatioun vun UFW Firewall an Debian/Ubuntu
Fir d'Komplexitéit vun wéi-ze Astellung IPTables reduzéieren, gëtt et vill vun fronted. Wann Dir Ubuntu Linux leeft, fannt Dir ufw als Standard Firewall Tool. Loosst eis ufänken iwwer ufw Firewall z'entdecken.
D'ufw (Uncomplicated Firewall) ass e Frontend fir déi meescht verbreet iptables Firewall an et ass gutt bequem fir Host-baséiert Firewalls. ufw gëtt e Kader fir d'Gestioun vun Netfilter, souwéi stellt eng Kommando-Linn Interface fir Kontroll vun der Firewall. Et bitt userfrëndlech an einfach ze benotzen Interface fir Linux Newbies déi net vill mat Firewall Konzepter vertraut sinn.
Wärend, op der anerer Säit, déiselwecht komplizéiert Kommandoen hëlleft den Administrateuren et komplizéiert Reegele mat Kommandozeileninterface ze setzen. Den ufw ass en Upstream fir aner Verdeelunge wéi Debian, Ubuntu a Linux Mint.
Als éischt, kontrolléiert ob ufw installéiert ass mat dem folgenden Kommando.
$ sudo dpkg --get-selections | grep ufw ufw install
Wann et net installéiert ass, kënnt Dir et mat engem apt Kommando installéieren wéi hei ënnendrënner.
$ sudo apt-get install ufw
Ier Dir benotzt, sollt Dir kontrolléieren ob ufw leeft oder net. Benotzt de folgende Kommando fir et z'iwwerpréiwen.
$ sudo ufw status
Wann Dir Status fonnt hutt: inaktiv, heescht et datt et net aktiv oder deaktivéiert ass.
Fir et z'aktivéieren, musst Dir just de folgende Kommando am Terminal tippen.
$ sudo ufw enable Firewall is active and enabled on system startup
Fir et auszeschalten, tippt einfach.
$ sudo ufw disable
Nodeems d'Firewall aktivéiert ass, kënnt Dir Är Reegelen derbäi addéieren. Wann Dir wëllt gesinn wat d'Standardregele sinn, kënnt Dir tippen.
$ sudo ufw status verbose
Status: active Logging: on (low) Default: deny (incoming), allow (outgoing) New profiles: skip $
Wéi Dir gesitt, gëtt par défaut all erakommen Verbindung refuséiert. Wann Dir Är Maschinn wëllt opmaachen, da musst Dir de passenden Hafen erlaben. Zum Beispill wëllt Dir ssh Verbindung erlaben. Hei ass de Kommando fir et z'erméiglechen.
$ sudo ufw allow ssh [sudo] password for pungki : Rule added Rule added (v6) $
Wann Dir de Status nach eng Kéier iwwerpréift, gesitt Dir en Ausgang wéi dëst.
$ sudo ufw status To Action From -- ----------- ------ 22 ALLOW Anywhere 22 ALLOW Anywhere (v6)
Wann Dir hutt vill Regelen, a wëllt Zuelen op all Regelen op der fléien, benotzen Parameter nummeréiert.
$ sudo ufw status numbered To Action From ------ ----------- ------ [1] 22 ALLOW Anywhere [2] 22 ALLOW Anywhere (v6)
Déi éischt Regel seet datt eng erakommen Verbindung mam Hafen 22 vun Anywhere, souwuel tcp oder udp Pakete erlaabt sinn. Wat wann Dir nëmmen tcp Paket erlaabt? Da kënnt Dir de Parameter tcp no der Portnummer addéieren. Hei ass e Beispill mat Probeoutput.
$ sudo ufw allow ssh/tcp To Action From ------ ----------- ------ 22/tcp ALLOW Anywhere 22/tcp ALLOW Anywhere (v6)
Déiselwecht Tricks ginn op d'Regel vun deny ugewannt. Loosst Iech soen, Dir wëllt ftp Regel verleegnen. Also musst Dir nëmmen tippen.
$ sudo ufw deny ftp To Action From ------ ----------- ------ 21/tcp DENY Anywhere 21/tcp DENY Anywhere (v6)
Heiansdo hu mir e personaliséierten Hafen deen keng Standards befollegt. Loosst eis soen datt mir den ssh Hafen op eiser Maschinn änneren vun 22, an 2290. Dann fir den Hafen 2290 z'erméiglechen, kënne mir et esou addéieren.
$ sudo ufw allow To Action From -- ----------- ------ 2290 ALLOW Anywhere 2290 ALLOW Anywhere (v6)
Et ass och méiglech fir Iech Port-Range an d'Regel ze addéieren. Wa mir de Port vun 2290 - 2300 mat tcp Protokoll opmaachen wëllen, da wäert de Kommando esou sinn.
$ sudo ufw allow 2290:2300/tcp To Action From ------ ----------- ------ 2290:2300/tcp ALLOW Anywhere 2290:2300/tcp ALLOW Anywhere (v6)
wärend wann Dir udp wëllt benotzen, benotzt just de folgende Kommando.
$ sudo ufw allow 2290:2300/udp To Action From ------ ----------- ------ 2290:2300/udp ALLOW Anywhere 2290:2300/udp ALLOW Anywhere (v6)
Denkt w.e.g. datt Dir 'tcp' oder 'udp' explizit muss setzen soss kritt Dir eng Fehlermeldung ähnlech wéi hei drënner.
ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports
Virdru hu mir Reegele bäigefüügt baséiert op Service oder Port. Ufw erlaabt Iech och Reegelen op Basis vun der IP Adress ze addéieren. Hei ass de Probe Kommando.
$ sudo ufw allow from 192.168.0.104
Dir kënnt och eng Subnetzmaske benotze fir d'Gamme breet ze maachen.
$ sudo ufw allow form 192.168.0.0/24 To Action From -- ----------- ------ Anywhere ALLOW 192.168.0.104 Anywhere ALLOW 192.168.0.0/24
Wéi Dir gesitt kann, vun Parameter gëtt nëmmen d'Quell vun Verbindung Limite. Wärend d'Destinatioun - déi duerch To Kolonn vertruede gëtt - iwwerall ass. Dir kënnt och d'Destinatioun verwalten mam Parameter 'To'. Loosst eis d'Probe gesinn fir Zougang zum Port 22 (ssh) z'erméiglechen.
$ sudo ufw allow to any port 22
Deen uewe genannte Kommando erlaabt Zougang vun iwwerall a vun all Protokoll op den Hafen 22.
Fir méi spezifesch Regelen, kënnt Dir och IP Adress kombinéieren, Protokoll an port. Loosst d'soen mir wëllen Regel ze schafen, datt d'Verbindung limitéiert nëmmen aus IP 192.168.0.104, nëmmen Protokoll tcp an port 22. Da wäert de Kommando wéi ënnendrënner ginn.
$ sudo ufw allow from 192.168.0.104 proto tcp to any port 22
Syntax fir d'Regel ze erstellen ass ähnlech mat der Erlaabnesregel. Dir musst just de Parameter änneren vun erlaabt ze verleegnen.
Irgendwann musst Dir Är existent Regel läschen. Nach eng Kéier mat ufw ass et einfach Regelen ze läschen. Vun uewen Prouf hutt Dir eng Regel hei drënner an Dir wëllt se läschen.
To Action From -- ----------- ------ 22/tcp ALLOW 192.168.0.104 21/tcp ALLOW Anywhere 21/tcp ALLOW Anywhere (v6)
Et ginn zwou Methoden fir Regelen ze läschen.
De Kommando ënnen läscht Reegelen déi mat Service ftp passen. Also den 21/tcp wat den ftp Hafen bedeit gëtt geläscht.
$ sudo ufw delete allow ftp
Awer wann Dir probéiert déi éischt Regel am uewe genannte Beispill ze läschen andeems Dir de Kommando ënnen benotzt.
$ sudo ufw delete allow ssh Or $ sudo ufw delete allow 22/tcp
Dir kënnt eng Fehlermeldung fannen wéi z.
Could not delete non-existent rule Could not delete non-existent rule (v6)
Da kënnt Dir dësen Trick maachen. Wéi mir uewen ernimmt, kënnt Dir d'Zuel vun der Regel weisen fir unzeginn, wéi eng Regel déi mir wëllen läschen. Loosst eis et Iech weisen.
$ sudo ufw status numbered To Action From -- ----------- ------ [1] 22/tcp ALLOW 192.168.0.104 [2] 21/tcp ALLOW Anywhere [3] 21/tcp ALLOW Anywhere (v6)
Da kënnt Dir déi éischt Regel läschen benotzt. Dréckt \y wäert d'Regel permanent läschen.
$ sudo ufw delete 1 Deleting : Allow from 192.168.0.104 to any port 22 proto tcp Proceed with operation (y|n)? y
Vun deene Methoden gesitt Dir den Ënnerscheed. Method 2 freet d'Benotzer Bestätegung ier Dir d'Regel läscht, während Method 1 net ass.
An e puer Situatiounen wëllt Dir vläicht all Regelen läschen/zrécksetzen. Dir kënnt et maachen andeems Dir tippt.
$ sudo ufw reset Resetting all rules to installed defaults. Proceed with operation (y|n)? y
Wann Dir op \y dréckt, da wäert ufw all existent Regelen backup maachen ier Dir Är ufw zrécksetzt. D'Regele zrécksetzen wäert och Är Firewall auszeschalten. Dir musst et erëm aktivéieren wann Dir se benotze wëllt.
Wéi ech uewe gesot hunn, kann d'ufw Firewall alles maachen wat iptables maache kënnen. Dëst gëtt erreecht andeems Dir verschidde Sets vu Regelendateien benotzt, déi näischt méi wéi iptables-Restauréieren passend Textdateien sinn. D'Feintunéierung vun ufw an/oder zousätzlech iptables Kommandoen ze placéieren, déi net iwwer de ufw Kommando erlaabt sinn, ass eng Saach vu verschiddenen Textdateien z'änneren.
- /etc/default/ufw: D'Haaptkonfiguratioun fir Standardpolitiken, IPv6 Support a Kernel Moduler.
- /etc/ufw/before[6].rules: Regelen an dëse Fichier gi berechent ier all Reegelen iwwer de ufw Kommando bäigefüügt ginn.
- /etc/ufw/after[6].rules: Regelen an dëse Fichier gi berechent no all Reegelen, déi iwwer de ufw Kommando bäigefüügt ginn.
- /etc/ufw/sysctl.conf: Kernel Netzwierk tunables.
- /etc/ufw/ufw.conf: setzt op ob ufw beim Boot aktivéiert ass oder net a setzt de LOGLEVEL.
Conclusioun
UFW als Frontend zu iptables mécht sécher eng einfach Interface fir de Benotzer. De Benotzer brauch net komplizéiert iptables Syntax ze erënneren. UFW benotzt och 'einfach Englesch' als säi Parameter.
Erlaabt, verleegnen, zrécksetzen sinn ee vun hinnen. Ech gleewen datt et vill méi iptables Frontend dobaussen sinn. Awer definitiv ass ufw eng vun de beschten Alternativen fir Benotzer déi hir Firewall séier, einfach an natierlech sécher wëllen opbauen. Besicht w.e.g. d'ufw Handbuch Säit andeems Dir man ufw schreift fir méi Detailer.