Como configurar o UFW Firewall no Ubuntu e Debian
- 4945
- 825
- Robert Wunsch DVM
Um firewall de funcionamento correto é a parte mais crucial da segurança completa do sistema Linux. Por padrão, a distribuição Debian e Ubuntu vem com uma ferramenta de configuração de firewall chamada Ufw (Firewall não complicado), é uma ferramenta de linha de comando mais popular e fácil de usar para configurar e gerenciar um firewall Ubuntu e Debian distribuições.
Neste artigo, explicaremos como instalar e configurar um Ufw firewall ligado Ubuntu e Debian distribuições.
Pré -requisitos
Antes de começar com este artigo, verifique se você está conectado ao seu servidor Ubuntu ou Debian com o usuário sudo ou com a conta raiz. Se você não tem um usuário sudo, pode criar um usando as seguintes instruções como usuário root.
# Adduser Nome de usuário # UserMod -AG SUDO Nome de usuário # SU - Nome de usuário $ sudo whoami
Instale o Firewall do UFW no Ubuntu e Debian
O Ufw (Firewall não complicado) deve ser instalado por padrão no Ubuntu e Debian, se não, instale -o usando o gerenciador de pacotes APT usando o seguinte comando.
$ sudo apt install ufw
Verifique o Firewall do UFW
Depois que a instalação for concluída, você poderá verificar o status da UFW digitando.
$ sudo ufw status detalhado
Na primeira instalação, o Firewall do UFW está desativado por padrão, a saída será semelhante a abaixo.
Status: inativo
Ative o firewall do UFW
Você pode ativar ou ativar o Firewall do UFW usando o seguinte comando, que deve carregar o firewall e permitir que ele inicie na inicialização.
$ sudo ufw habilitar
Para desativar o Firewall do UFW, use o seguinte comando, que descarrega o firewall e o desativa de iniciar na inicialização.
$ sudo ufw desativar
Políticas padrão da UFW
Por padrão, o Firewall do UFW nega todas as conexões recebidas e permite apenas todas as conexões de saída ao servidor. Isso significa que ninguém pode acessar seu servidor, a menos que você abra especificamente a porta, enquanto todos os serviços ou aplicativos em execução em seu servidor podem acessar a rede externa.
As políticas de firewall do UFW padrão são colocadas no /etc/default/ufw arquivo e pode ser alterado usando o seguinte comando.
$ sudo ufw padrão negar
Perfis de aplicativos da UFW
Ao instalar um pacote de software usando Apt Gerenciador de pacotes, ele incluirá um perfil de aplicativo em /etc/ufw/aplicações.d diretório que define o serviço e segura as configurações da UFW.
Você pode listar todos os perfis de aplicativos disponíveis no seu servidor usando o seguinte comando.
Lista de aplicativos $ sudo ufw
Dependendo das instalações do pacote de software em seu sistema, a saída será semelhante ao seguinte:
Aplicações disponíveis: Apache Apache Full Apache Secure Cups OpenSsh Postfix Postfix SMTPS Postfix Submission
Se você deseja obter mais informações sobre um perfil específico e regras definidas, você pode usar o seguinte comando.
$ sudo ufw info 'apache'
Perfil: Apache Título: Web Server Descrição: Apache V2 é a próxima geração f O onipresente servidor da Web Apache. Portas: 80/TCP
Ativar IPv6 com UFW
Se o seu servidor estiver configurado com IPv6, Certifique -se de que o seu Ufw está configurado com IPv6 e IPv4 apoiar. Para verificar, abra o arquivo de configuração do UFW usando seu editor favorito.
$ sudo vi/etc/default/ufw
Então tenha certeza "IPv6" está configurado para "sim" No arquivo de configuração, como mostrado.
Ipv6 = sim
Salvar e desistir. Em seguida, reinicie seu firewall com os seguintes comandos:
$ sudo ufw desativar $ sudo ufw habilitar
Permitir conexões SSH na UFW
Se você já habilitou o Firewall do UFW, ele bloquearia todas as conexões recebidas e se você estiver conectado ao seu servidor sobre SSH de um local remoto, você não poderá mais conectá -lo novamente.
Vamos ativar as conexões SSH com nosso servidor para impedir que isso aconteça usando o seguinte comando:
$ sudo ufw permitir ssh
Se você estiver usando a porta SSH personalizada (por exemplo, porta 2222), então você precisa abrir essa porta no Firewall do UFW usando o seguinte comando.
$ sudo ufw permitir 2222/tcp
Para bloquear todas as conexões SSH, digite o seguinte comando.
$ sudo ufw negar ssh/tcp $ sudo ufw negar 2222/tcp [se estiver usando porta ssh personalizada]
Ativar portas específicas na UFW
Você também pode abrir uma porta específica no firewall para permitir conexões por meio de um determinado serviço. Por exemplo, se você deseja configurar um servidor da web que escuta na porta 80 (Http) e 443 (Https) por padrão.
Abaixo estão os poucos exemplos de como permitir conexões de entrada nos serviços Apache.
Abra a porta 80 http na UFW
$ sudo ufw permitir http [por nome do serviço] $ sudo ufw permitir 80/tcp [por número da porta] $ sudo ufw permitir 'apache' [por perfil do aplicativo]
Porta aberta 443 https na UFW
$ sudo ufw permitir https $ sudo ufw permitir 443/tcp $ sudo ufw permitir 'apache seguro'
Permitir intervalos de porta na UFW
Supondo que você tenha alguns aplicativos que deseja executar em uma variedade de portas (5000-5003), você pode adicionar todas essas portas usando os seguintes comandos.
sudo ufw permitir 5000: 5003/tcp sudo ufw permitir 5000: 5003/udp
Permitir endereços IP específicos
Se você deseja permitir conexões em todas as portas de endereço IP específico 192.168.56.1, Então você precisa especificar antes do endereço IP.
$ sudo ufw permitir de 192.168.56.1
Permitir endereços IP específicos em porta específica
Para permitir a conexão em uma porta específica (por exemplo, porta 22) da sua máquina doméstica com endereço IP de 192.168.56.1, Então você precisa adicionar qualquer porta e a número da porta Após o endereço IP, como mostrado.
$ sudo ufw permitir de 192.168.56.1 para qualquer porta 22
Permitir sub -redes de rede em porta específica
Para permitir conexões para endereços IP específicos que variam de 192.168.1.1 para 192.168.1.254 para porta 22 (Ssh), execute o seguinte comando.
$ sudo ufw permitir de 192.168.1.0/24 para qualquer porta 22
Permitir uma interface de rede específica
Para permitir conexões com interface de rede específica eth2 Para um determinado porto 22 (Ssh), execute o seguinte comando.
$ sudo ufw permitir em eth2 a qualquer porta 22
Negar conexões na UFW
Por padrão, todas as conexões recebidas estão bloqueadas, a menos que você tenha aberto especificamente a conexão no UFW. Por exemplo, você abriu as portas 80 e 443 e seu servidor da web está sob ataque da rede desconhecida 11.12.13.0/24.
Para bloquear todas as conexões deste particular 11.12.13.0/24 Faixa de rede, você pode usar o seguinte comando.
$ sudo ufw negar de 11.12.13.0/24
Se você deseja bloquear apenas as conexões nas portas 80 e 443, Você pode usar os seguintes comandos.
$ sudo ufw negar de 11.12.13.0/24 para qualquer porta 80 $ sudo ufw negar de 11.12.13.0/24 para qualquer porta 443
Exclua as regras da UFW
Existem 2 maneiras de excluir as regras da UFW, por Número da regra e por regra real.
Para excluir as regras da UFW usando Número da regra, Primeiro você precisa listar regras por números usando o seguinte comando.
$ sudo ufw status numerado
Saída de amostra
Status: ativo à ação de------- ---- [1] 22/TCP Permitir em qualquer lugar [2] 80/TCP permitir em qualquer lugar
Para excluir o número da regra 1, Use o seguinte comando.
$ sudo ufw delete 1
O segundo método é excluir uma regra usando o regra real, Por exemplo, para excluir uma regra, especifique o número da porta com o protocolo como mostrado.
$ sudo ufw delete permitir 22/tcp
Regras da UFW de corrida a seco
Você pode executar quaisquer comandos UFW sem realmente fazer alterações no firewall do sistema usando o --funcionamento a seco Flag, isso simplesmente mostra as mudanças que onde supõe acontecer.
$ sudo ufw-atabilizar-se-run
Redefinir o Firewall do UFW
Por um motivo ou outro, se você deseja excluir / redefinir todas as regras do firewall, digite os seguintes comandos, ele reverterá todas as suas alterações e iniciará o novo.
$ sudo ufw reset $ sudo ufw status
UFW Funcionalidade avançada
O Ufw O firewall pode conseguir fazer qualquer coisa que iptables faça. Isso pode ser feito com diferentes conjuntos de arquivos de regras, que não são nada, mas simples iptables-Restore arquivos de texto.
O ajuste do firewall do UFW ou a adição de comandos iptables adicionais não são permitidos via comando ufw, é uma questão de alterar os seguintes arquivos de texto
- /etc/default/ufw: O principal arquivo de configuração com regras predefinidas.
- /etc/ufw/antes [6].regras: Neste arquivo, as regras são calculadas antes de adicionar via comando ufw.
- /etc/ufw/depois [6].regras: Neste arquivo, as regras são calculadas após a adição do comando ufw.
- /etc/ufw/sysctl.conf: Este arquivo é usado para ajustar a rede de kernel.
- /etc/ufw/ufw.conf: Este arquivo ativa o UFW na inicialização.
É isso! Ufw é um excelente front-end para iptables com uma interface amigável para definir regras complexas com um único comando ufw.
Se você tiver alguma dúvida ou pensamento para compartilhar sobre este artigo da UFW, use o formulário de comentário abaixo para alcançar -nos.
- « ZZUPDATE - Atualize totalmente o Ubuntu PC/servidor para uma versão mais recente
- Como instalar o Gitlab no Ubuntu e Debian »