So richten Sie eine Firewall mit ufw unter Ubuntu ein 18.04

Eine ordnungsgemäß konfigurierte Firewall ist einer der wichtigsten Aspekte der Gesamtsystemsicherheit. Standardmäßig wird Ubuntu mit einem Firewall-Konfigurationstool namens UFW (Uncomplicated Firewall) ausgeliefert. UFW ist ein benutzerfreundliches Front-End für die Verwaltung von iptables-Firewall-Regeln. Das Hauptziel besteht darin, die Verwaltung von iptables zu vereinfachen oder, wie der Name schon sagt, unkompliziert zu gestalten.

Voraussetzungen

Bevor Sie mit diesem Lernprogramm beginnen, stellen Sie sicher, dass Sie mit einem Benutzerkonto mit Sudo-Berechtigungen oder mit dem Root-Benutzer auf Ihrem Server angemeldet sind. Am besten führen Sie administrative Befehle als sudo-Benutzer anstelle von root aus. Wenn Sie keinen sudo-Benutzer auf Ihrem Ubuntu-System haben, können Sie einen erstellen, indem Sie diese Anweisungen befolgen.

Installieren Sie UFW

Die unkomplizierte Firewall sollte standardmäßig in Ubuntu 18.04 installiert sein. Wenn sie jedoch nicht auf Ihrem System installiert ist, können Sie das Paket installieren, indem Sie Folgendes eingeben:

sudo apt install ufw

Überprüfen Sie den UFW-Status

Nach Abschluss der Installation können Sie den Status von UFW mit dem folgenden Befehl überprüfen:

sudo ufw status verbose

UFW ist standardmäßig deaktiviert. Wenn Sie UFW noch nie aktiviert haben, sieht die Ausgabe folgendermaßen aus:

Status: inactive

Wenn UFW aktiviert ist, sieht die Ausgabe folgendermaßen aus:

UFW-Standardrichtlinien

Standardmäßig blockiert UFW alle eingehenden Verbindungen und lässt alle ausgehenden Verbindungen zu. Dies bedeutet, dass jeder, der versucht, auf Ihren Server zuzugreifen, keine Verbindung herstellen kann, es sei denn, Sie öffnen speziell den Port, während alle Anwendungen und Dienste, die auf Ihrem Server ausgeführt werden, auf die Außenwelt zugreifen können.

Die Standardrichtlinien sind in der Datei /etc/default/ufw und können mit dem sudo ufw default geändert werden Befehl.

Firewall-Richtlinien bilden die Grundlage für die Erstellung detaillierterer und benutzerdefinierter Regeln. In den meisten Fällen sind die anfänglichen UFW-Standardrichtlinien ein guter Ausgangspunkt.

Anwendungsprofile

Bei der Installation eines Pakets mit dem Befehl apt wird ein Anwendungsprofil zum Verzeichnis /etc/ufw/applications.d . Das Profil beschreibt den Dienst und enthält UFW-Einstellungen.

Sie können alle auf Ihrem Server verfügbaren Anwendungsprofile auflisten, indem Sie Folgendes eingeben:

sudo ufw app list

Abhängig von den auf Ihrem System installierten Paketen sieht die Ausgabe folgendermaßen aus:

Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission

Verwenden Sie den folgenden Befehl, um weitere Informationen zu einem bestimmten Profil und den darin enthaltenen Regeln zu erhalten:

sudo ufw app info 'Nginx Full'

Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp

Wie Sie der Ausgabe oben entnehmen können, öffnet das Profil "Nginx Full" die Ports 80 und 443 .

SSH-Verbindungen zulassen

Bevor wir die UFW-Firewall aktivieren, müssen wir eine Regel hinzufügen, die eingehende SSH-Verbindungen zulässt. Wenn Sie von einem entfernten Standort aus eine Verbindung zu Ihrem Server herstellen, was fast immer der Fall ist, und Sie die UFW-Firewall aktivieren, bevor Sie eingehende SSH-Verbindungen explizit zulassen, können Sie keine Verbindung mehr zu Ihrem Ubuntu-Server herstellen.

Geben Sie den folgenden Befehl ein, um Ihre UFW-Firewall so zu konfigurieren, dass eingehende SSH-Verbindungen zugelassen werden:

sudo ufw allow ssh

Rules updated Rules updated (v6)

Wenn Sie den SSH-Port in einen benutzerdefinierten Port anstelle von Port 22 geändert haben, müssen Sie diesen Port öffnen.

Wenn Ihr ssh-Daemon beispielsweise Port 4422 , können Sie den folgenden Befehl verwenden, um Verbindungen an diesem Port zuzulassen:

sudo ufw allow 4422/tcp

Aktivieren Sie UFW

Nachdem Ihre UFW-Firewall so konfiguriert wurde, dass eingehende SSH-Verbindungen zugelassen werden, können Sie sie aktivieren, indem Sie Folgendes eingeben:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

Sie werden gewarnt, dass durch das Aktivieren der Firewall möglicherweise vorhandene SSH-Verbindungen Enter . Enter einfach y und drücken Sie die Enter .

Erlaube Verbindungen an anderen Ports

Abhängig von den Anwendungen, die auf Ihrem Server ausgeführt werden, und Ihren spezifischen Anforderungen müssen Sie auch den eingehenden Zugriff auf einige andere Ports zulassen.

Im Folgenden zeigen wir Ihnen einige Beispiele, wie Sie eingehende Verbindungen zu einigen der gängigsten Dienste zulassen können:

Öffnen Sie Port 80 - HTTP

HTTP-Verbindungen können mit dem folgenden Befehl zugelassen werden:

sudo ufw allow

Anstelle von http können Sie auch die Portnummer 80 verwenden:

sudo ufw allow 80/tcp

oder Sie können das Anwendungsprofil verwenden, in diesem Fall 'Nginx

sudo ufw allow 'Nginx

Öffnen Sie Port 443 - HTTPS

HTTP-Verbindungen können mit dem folgenden Befehl zugelassen werden:

sudo ufw allow

Um dasselbe anstelle des https Profils zu erreichen, können Sie die Portnummer 443 :

sudo ufw allow 443/tcp

oder Sie können das Anwendungsprofil 'Nginx HTTPS' verwenden:

sudo ufw allow 'Nginx

Öffnen Sie den Port 8080

sudo ufw allow 8080/tcp

Portbereiche zulassen

Anstatt den Zugriff auf einzelne Ports zuzulassen, können wir mit UFW den Zugriff auf Portbereiche zulassen. Wenn Sie Portbereiche mit UFW zulassen, müssen Sie das Protokoll entweder tcp oder udp angeben. Wenn Sie beispielsweise Ports von 7100 bis 7200 sowohl auf tcp als auch auf udp zulassen möchten, führen Sie den folgenden Befehl aus:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

Bestimmte IP-Adressen zulassen

Um den Zugriff auf alle Ports von Ihrem Heimcomputer mit der IP-Adresse 64.63.62.61 zuzulassen, geben Sie from gefolgt von der IP-Adresse an, die Sie in die Whitelist aufnehmen möchten:

sudo ufw allow from 64.63.62.61

Bestimmte IP-Adressen für bestimmten Port zulassen

Um den Zugriff auf einen bestimmten Port zuzulassen, sagen wir, Port 22 von Ihrem Arbeitscomputer mit der IP-Adresse 64.63.62.61, verwenden Sie to any port gefolgt von der Portnummer:

sudo ufw allow from 64.63.62.61 to any port 22

Subnetze zulassen

Der Befehl zum Zulassen der Verbindung zu einem Teilnetz von IP-Adressen ist der gleiche wie bei Verwendung einer einzelnen IP-Adresse. Der einzige Unterschied besteht darin, dass Sie die Netzmaske angeben müssen. Wenn Sie beispielsweise den Zugriff auf IP-Adressen von 192.168.1.1 bis 192.168.1.254 für Port 3360 (MySQL) zulassen möchten, können Sie diesen Befehl verwenden:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Verbindungen zu einer bestimmten Netzwerkschnittstelle zulassen

Um den Zugriff auf einen bestimmten Port zuzulassen, sagen wir Port 3360 nur für die bestimmte Netzwerkschnittstelle eth2 , müssen Sie allow in on und den Namen der Netzwerkschnittstelle angeben:

sudo ufw allow in on eth2 to any port 3306

Verbindungen verweigern

Die Standardrichtlinie für alle eingehenden Verbindungen ist auf deny Wenn Sie sie nicht geändert haben, blockiert UFW alle eingehenden Verbindungen, sofern Sie die Verbindung nicht ausdrücklich öffnen.

23.24.25.0/24 , Sie haben die Ports 80 und 443 geöffnet und Ihr Server wird vom 23.24.25.0/24 . Um alle Verbindungen von 23.24.25.0/24 zu verweigern, können Sie den folgenden Befehl verwenden:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

Das Schreiben von Ablehnungsregeln entspricht dem Schreiben von Zulassungsregeln. Sie müssen lediglich allow durch deny ersetzen.

Löschen Sie die UFW-Regeln

Es gibt zwei verschiedene Möglichkeiten, um UFW-Regeln zu löschen, und zwar nach Regelnummer und Angabe der tatsächlichen Regel.

Das Löschen von UFW-Regeln anhand der Regelnummer ist einfacher, insbesondere wenn Sie mit UFW noch nicht vertraut sind. Um eine Regel nach einer Regelnummer zu löschen, müssen Sie zuerst die Nummer der Regel ermitteln, die Sie löschen möchten. Dies können Sie mit dem folgenden Befehl tun:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

Verwenden Sie den folgenden Befehl, um die Regel Nummer 3 zu löschen, die Verbindungen zu Port 8080 zulässt:

sudo ufw delete 3

Die zweite Methode ist das Löschen einer Regel durch Angeben der eigentlichen Regel. Wenn Sie beispielsweise eine Regel zum Öffnen von Port 8069 , können Sie diese löschen mit:

sudo ufw delete allow 8069

UFW deaktivieren

Wenn Sie UFW aus irgendeinem Grund stoppen und alle Regeln deaktivieren möchten, die Sie verwenden können:

sudo ufw disable

Wenn Sie später UTF wieder aktivieren und alle Regeln aktivieren möchten, geben Sie einfach Folgendes ein:

sudo ufw enable

UFW zurücksetzen

Durch das Zurücksetzen von UFW wird UFW deaktiviert und alle aktiven Regeln werden gelöscht. Dies ist hilfreich, wenn Sie alle Änderungen rückgängig machen und neu starten möchten.

Um UFW zurückzusetzen, geben Sie einfach den folgenden Befehl ein:

sudo ufw reset

Fazit

Sie haben gelernt, wie Sie die UFW-Firewall auf Ihrem Ubuntu 18.04-Server installieren und konfigurieren. Stellen Sie sicher, dass alle eingehenden Verbindungen zugelassen sind, die für den ordnungsgemäßen Betrieb Ihres Systems erforderlich sind, und begrenzen Sie alle unnötigen Verbindungen.

ufw Firewall iptables Ubuntu Sicherheit