In questo tutorial, ti mostreremo come installare e utilizzare il sistema firewall UFW su un VPS Linux che esegue Debian 9. La sicurezza è una cosa molto importante da considerare quando esegui il tuo server.
UFW (Uncomplicated Firewall) è un front-end semplice e intuitivo per la gestione delle regole del firewall iptables:UFW mira a fornire un'interfaccia facile da usare per l'utente, rendendo un server sicuro più accessibile a più utenti. È appositamente progettato per utenti principianti che non hanno familiarità con i concetti di firewall.
Iniziamo con l'installazione.
Prerequisiti
- Per gli scopi di questo tutorial, useremo un VPS Debian 9.
- È richiesto anche l'accesso root SSH completo o un utente con privilegi sudo.
Passaggio 1:connessione tramite SSH e aggiornamento del sistema operativo
Collegati al tuo server tramite SSH come utente root usando il seguente comando:
ssh root@IP_ADDRESS -p PORT_NUMBER
Ricorda di sostituire "IP_ADDRESS" e "PORT_NUMBER" con il rispettivo indirizzo IP e numero di porta SSH del tuo server.
Prima di iniziare con l'installazione, dovrai aggiornare i pacchetti del tuo sistema operativo alle versioni più recenti. È facile da fare e non ci vorranno più di pochi minuti.
Puoi farlo eseguendo il seguente comando:
apt-get update apt-get upgrade
Una volta completati gli aggiornamenti, possiamo passare al passaggio successivo.
Fase 2:installa UFW
Per impostazione predefinita, UFW non è installato su Debian 9. Possiamo installare UFW eseguendo il seguente comando:
apt-get install ufw
Una volta completata l'installazione, possiamo controllare lo stato di UFW utilizzando il seguente comando:
ufw status verbose
L'output dovrebbe essere simile a quello seguente:
Status: inactive
UFW è disabilitato per impostazione predefinita per evitare un blocco dal server.
Fase 3:Consenti connessioni SSH
Per impostazione predefinita, tutte le connessioni in entrata al tuo Debian VPS sono bloccate da UFW:nessuno può connettersi ad esso. Pertanto, dovremo consentire le connessioni SSH in entrata prima di abilitare il firewall UFW.
ufw allow ssh
o
ufw allow 22/tcp
Fase 4:Abilita UFW
Per abilitare UFW, possiamo usare il comando seguente:
ufw enable
Una volta abilitato, UFW bloccherà tutte le connessioni in entrata e consentirà tutte le connessioni in uscita. Per verificare la configurazione di default, possiamo utilizzare il seguente comando:
ufw show raw
Oppure
grep 'DEFAULT_' /etc/default/ufw
L'output sarà simile a questo:
DEFAULT_INPUT_POLICY="DROP" DEFAULT_OUTPUT_POLICY="ACCEPT" DEFAULT_FORWARD_POLICY="DROP" DEFAULT_APPLICATION_POLICY="SKIP"
Questo è tutto! Il tuo server ora ha UFW installato e abilitato. Come puoi vedere, per impostazione predefinita, ogni connessione in entrata viene negata. Abbiamo specificamente bisogno di aprire una porta se vogliamo accedere al server da remoto.
Consentire altri servizi
Potrebbe essere necessario consentire anche altre connessioni in entrata.
ufw allow 21/tcp ufw allow 80/tcp ufw allow 443/tcp
Possiamo controllare lo stato UFW usando il seguente comando:
ufw status
L'output dovrebbe essere simile a quello di seguito:
Status: active To Action From -- ------ ---- 22/tcp ALLOW Anywhere 21/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6) 21/tcp (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6) 443/tcp (v6) ALLOW Anywhere (v6)
Se vogliamo negare l'accesso alla porta 80, ad esempio, dobbiamo eseguire il seguente comando:
ufw deny 80/tcp
Per eliminare la regola che consente le connessioni in entrata sulla porta 21, eseguire il seguente comando:
ufw delete allow 21/tcp
Consentire connessioni da indirizzi IP e intervalli di porte specifici
Possiamo anche consentire connessioni da un indirizzo IP specifico con il seguente comando:
ufw allow 192.168.10.100
Possiamo utilizzare una maschera di sottorete per ampliare l'intervallo:
ufw allow 192.168.10.0/24
Possiamo anche combinare l'indirizzo IP, la porta e il protocollo con un unico comando. Ad esempio, per consentire la connessione solo dall'IP 192.168.10.100, protocollo tcp, e alla porta 22, dobbiamo eseguire il seguente comando:
ufw allow from 192.168.10.100 proto tcp to any port 22
Possiamo anche specificare gli intervalli di porte con UFW. Ad esempio, per consentire le porte TCP da 1100 a 1200, eseguire il comando seguente:
ufw allow 1100:1200/tcp
Se vogliamo consentire l'UDP sulle porte da 1100 a 1200, ad esempio, dobbiamo utilizzare il seguente comando:
ufw allow 1100:1200/udp
Rifiuto delle connessioni in entrata
L'UFW con sintassi di negazione ignora semplicemente il traffico. Per far sapere al mittente quando il traffico viene negato, esegui il comando seguente:
ufw reject 443
Se qualcuno tenta di connettersi alla porta 443 riceverà il seguente messaggio di rifiuto:
telnet: Unable to connect to remote host: Connection refused
Visualizzazione dei rapporti UFW
Possiamo elencare le regole così come sono state aggiunte con il seguente comando:
ufw show added
L'output dovrebbe essere simile a quello di seguito:
Added user rules (see 'ufw status' for running firewall): ufw allow 22/tcp ufw allow 21/tcp ufw allow 80/tcp ufw allow 443/tcp
Disabilitazione UFW
Se per qualche motivo abbiamo bisogno di disabilitare UFW, possiamo eseguire il seguente comando:
ufw disable
Per ripristinare tutte le regole alle impostazioni predefinite, utilizzare il comando seguente:
ufw reset
Possiamo usare il flag –help per ulteriori comandi di utilizzo:
ufw --help
Questo è tutto:in questo tutorial abbiamo imparato come installare e abilitare il sistema firewall UFW e abbiamo anche spiegato come aggiungere e rimuovere regole su di esso, con diversi livelli di criteri.
Ovviamente, non devi configurare un firewall con UFW su Debian 9 se utilizzi uno dei nostri servizi di hosting Debian VPS gestiti, nel qual caso puoi semplicemente chiedere ai nostri esperti amministratori Linux di installare e configurare UFW su Debian 9 per te . Sono disponibili 24 ore su 24, 7 giorni su 7 e si prenderanno immediatamente cura della tua richiesta.
PS . Se ti è piaciuto questo post su come configurare un firewall con UFW su Debian 9 , per favore condividilo con i tuoi amici sui social network usando le scorciatoie di condivisione qui sotto, o semplicemente lascia un commento in basso nella sezione commenti. Grazie.