In questo articolo, ti mostreremo come installare e configurare UFW su un Ubuntu 18.04 VPS. Per prima cosa, ci prenderemo un momento per introdurre e spiegare cosa sono i firewall, quindi ti mostreremo come utilizzare UFW e come creare la configurazione UFW appropriata.
Un firewall è un programma software che monitora il traffico di rete e impedisce l'accesso non autorizzato a o da una rete privata. Per quanto riguarda il kernel Linux, viene implementato un sottosistema Netfilter, che viene utilizzato per manipolare il traffico di rete. Quasi tutte le moderne soluzioni firewall Linux utilizzano questo sistema per filtrare i pacchetti di rete. Inoltre "iptables" - un'utilità firewall accessibile dalla riga di comando - fa anche parte del framework Netfilter. Per semplificare il processo di creazione delle regole del firewall, Canonical (i creatori di Ubuntu) ha sviluppato un'interfaccia iptables chiamata Uncomplicated Firewall (UFW).
Se stai usando Ubuntu 18.04 e vuoi proteggere la tua rete senza dover imparare a usare iptables, allora UFW potrebbe essere la soluzione appropriata che stai cercando.
Prerequisiti
Per seguire questo tutorial, avrai bisogno di un server con Ubuntu 18.04 e accesso SSH con l'utente root (o un utente con privilegi sudo). Iniziamo con il tutorial.
Fase 1:connettiti al tuo server
Prima di iniziare, dovrai connetterti al tuo server tramite SSH come root o utente con privilegi sudo. Per fare ciò, usa il seguente comando:
ssh root@IP_Address -p Port_Number
ovviamente dovrai sostituire IP_Address e Port_Number con l'indirizzo IP del tuo server effettivo e il numero di porta SSH.
Una volta effettuato l'accesso, assicurati che il tuo server sia aggiornato eseguendo i seguenti comandi:
sudo apt update sudo apt upgrade
Fase 2:installa UFW
UFW dovrebbe essere già installato di default su Ubuntu 18.04 – ma se per qualche motivo non è installato, puoi installarlo con questo comando:
sudo apt install ufw
Una volta completata l'installazione, puoi controllare lo stato UFW con il comando:
sudo ufw status verbose
UFW per impostazione predefinita è inizialmente disabilitato e se non lo hai mai attivato prima otterrai l'output:
Output Status: inactive
Se hai già attivato UFW sul tuo server, l'output apparirà molto diverso e sarà simile al seguente:
Output: Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 443/tcp ALLOW IN Anywhere 22/tcp (v6) ALLOW IN Anywhere (v6) 80/tcp (v6) ALLOW IN Anywhere (v6) 443/tcp (v6) ALLOW IN Anywhere (v6) ....
Fase 3:criteri predefiniti UFW
La prima cosa che devi sapere sono le politiche predefinite. Per impostazione predefinita, UFW è configurato per negare tutte le connessioni in entrata e consentire tutte le connessioni in uscita. In altre parole, tutte le connessioni che tenteranno di accedere al tuo server verranno rifiutate e tutte le tue applicazioni e servizi che si trovano localmente sul tuo server potranno raggiungere il mondo esterno e accedere ad altri server.
Se vuoi controllare o modificare le politiche predefinite, puoi trovarle in /etc/default/ufw file di configurazione.
Per impostare queste regole UFW come predefinite, puoi eseguire i seguenti comandi:
sudo ufw default deny incoming sudo ufw default allow outgoing
Tieni presente che i server di solito devono rispondere a una richiesta in arrivo dagli utenti di Internet. Quindi, nella maggior parte dei casi, non è possibile impostare il firewall per bloccare tutte le connessioni in entrata. Nel passaggio successivo impareremo come consentire connessioni specifiche.
Fase 4:Consenti connessioni SSH
Prima di abilitare UFW, devi consentire l'accesso SSH sul tuo server aggiungendo una regola che consentirà le connessioni SSH in entrata. In caso contrario, verrai bloccato e non sarai in grado di connetterti al tuo server Ubuntu.
È possibile utilizzare il comando seguente per configurare il firewall UFW per consentire tutte le connessioni SSH in entrata:
sudo ufw allow ssh
Quindi riceverai il seguente output:
Rules updated Rules updated (v6)
Tieni presente che questo comando è solo se il tuo server ascolta la porta SSH standardizzata:22. Se il servizio SSH utilizza una porta non standard personalizzata, dovrai aprire quella porta. Se il servizio SSH sul tuo server utilizza una porta univoca, ad esempio la porta 900, puoi utilizzare il comando seguente:
sudo ufw allow 900
Tieni presente che dovrai sapere quale numero di porta utilizza attualmente il tuo servizio.
Fase 5:abilita UFW
Ora il tuo firewall è configurato per consentire le connessioni SSH e sei sicuro che la tua attuale connessione SSH non sarà influenzata, puoi continuare ad abilitare il firewall UFW.
sudo ufw enable
Dopo di che riceverai il seguente output:
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Riceverai un avviso che ti dice che devi aver configurato le regole SSH che consentono, altrimenti la connessione SSH esistente verrà chiusa. Dato che l'hai già fatto, digita [y] e continua con [Enter].
Fase 6:Consenti connessioni su porte specifiche
Potrebbe essere necessario aprire le porte delle applicazioni e dei servizi che utilizzi per le connessioni in entrata e in uscita, a seconda dello scopo dell'applicazione. Le porte più comuni che devi sbloccare sono le porte 80 e 443, utilizzate dal server web, e 25, 110, 143, 587 e 993, utilizzate dal server di posta.
Ti mostreremo alcuni esempi di come consentire le connessioni in entrata per alcuni servizi comuni.
Per consentire tutte le connessioni HTTP (porta 80), esegui questo comando:
sudo ufw allow http
Inoltre, se vuoi specificare la porta, puoi applicare quella che è essenzialmente la stessa regola ma con una sintassi diversa:
sudo ufw allow 80
Per consentire tutte le connessioni HTTPS (porta 443), esegui il comando:
sudo ufw allow https
Inoltre, se desideri specificare la porta HTTPS, puoi applicare la regola con una sintassi diversa:
sudo ufw allow 443
Se stai utilizzando un server di posta, alcune delle prossime regole potrebbero essere utili.
Per consentire tutti gli SMTP in entrata puoi eseguire il comando:
sudo ufw allow 25
Per consentire tutte le connessioni IMAP in entrata, esegui il comando:
sudo ufw allow 143
E per consentire tutte le richieste IMAPS in arrivo, puoi utilizzare il comando:
sudo ufw allow 993
Se invece stai usando POP3, questo comando di seguito consentirà tutte le connessioni in entrata:
sudo ufw allow 110
E per tutte le richieste POP3S in arrivo, usa questo comando successivo:
sudo ufw allow 995
Infine, se stai eseguendo un programma specifico che richiede l'accesso al Web, dovrai abilitare anche la porta specifica per quel programma. Ad esempio, se esegui Tomcat sul tuo server, avrai bisogno della porta 8080. Puoi consentire tutte le connessioni in entrata a questa porta con il comando:
sudo ufw allow <port number>
Puoi farlo per tutte le porte specifiche di cui potresti aver bisogno.
Passaggio 7:Consenti intervalli di porte
UFW può anche consentire l'accesso agli intervalli di porte invece di consentire l'accesso a una singola porta. Quando vuoi consentire intervalli di porte sulla porta UFW, devi specificare l'intervallo della porta e il protocollo, TCP o UDP.
Ad esempio, se vuoi consentire le porte da 8069 a 8080 sia per TCP che per UDP, puoi utilizzare i seguenti comandi:
sudo ufw allow 8069:8080/tcp sudo ufw allow 8069:8080/udp
Passaggio 8:Consenti indirizzi IP specifici
Se vuoi consentire a un solo indirizzo IP (ad esempio una macchina affidabile trovata sulla tua rete locale) per poter accedere a tutte le porte, puoi usare il comando:
sudo ufw allow from 206.207.208.209
Inoltre, puoi anche consentire un indirizzo IP specifico a una porta particolare! Supponiamo che tu voglia consentire a un indirizzo IP specifico di utilizzare la porta MySQL (MySQL usa la porta 3306), quindi puoi semplicemente usare questo comando:
sudo ufw allow from 206.207.208.209 to any port 3306
Fase 9:nega le connessioni
Come accennato in precedenza nel Passaggio 3 , il criterio predefinito per le connessioni in entrata è impostato su "nega". Tuttavia, a volte potrebbe essere necessario negare connessioni specifiche in base all'indirizzo IP di origine o alla porta specifica.
La regola di negazione è molto utile se hai un attacco al tuo server da un indirizzo IP specifico e le tue porte 80 e 443 sono aperte. In questo caso, puoi bloccare quell'indirizzo IP usando il seguente esempio. Ovviamente, non dimenticare di modificare l'indirizzo IP 24.25.26.27 con l'indirizzo IP effettivo che desideri bloccare:
sudo ufw deny from 24.25.26.27
Ciò impedirà all'indirizzo IP di accedere a tutte le porte aperte. Tuttavia, se desideri impedire all'indirizzo IP di accedere a una determinata porta, puoi utilizzare il seguente esempio:
sudo ufw deny from 24.25.26.27 to any port 80 sudo ufw deny from 24.25.26.27 to any port 443
Come puoi notare, la creazione di regole di negazione è simile alle regole per consentire.
Passaggio 10:elimina le regole UFW
L'importanza di eliminare le regole UFW è importante quanto la loro creazione. Esistono due modi diversi per rimuovere una regola UFW. Il primo metodo consiste nell'utilizzare il numero della regola e il secondo consiste nello specificare la regola effettiva.
Se vuoi eliminare la regola UFW con i numeri, dovrai conoscere il numero della regola. Per elencare i numeri delle regole, puoi usare il comando:
sudo ufw status numbered
Output:
Status: active
To Action From
-- ------ ----
[ 1] 80 ALLOW IN Anywhere
[ 2] 443 ALLOW IN Anywhere
[ 3] 22 ALLOW IN Anywhere
[ 4] Anywhere ALLOW IN 206.207.208.209
[ 5] 7022 ALLOW IN Anywhere
[ 6] 8069 ALLOW IN Anywhere
... Per rimuovere la regola etichettata come regola numero 4, che consente connessioni dall'indirizzo IP 206.207.208.209, puoi utilizzare il comando:
sudo ufw delete 4
Se si desidera utilizzare il secondo metodo, ovvero rimuovere una regola specificando la regola effettiva. Diciamo che vuoi chiudere la porta 8069 per esempio, in tal caso dovresti usare il seguente comando:
sudo ufw delete allow 8069
Fase 11:disabilita o ripristina UFW
Se per qualsiasi motivo devi interrompere tutte le regole UFW sul tuo server, puoi disabilitarlo usando il comando:
sudo ufw disable
Ciò interromperà tutte le regole attualmente attive sul tuo server. Tuttavia, se hai bisogno di riattivare le regole del firewall, puoi semplicemente abilitarlo di nuovo.
sudo ufw enable
Se per qualche motivo desideri eliminare tutte le regole e iniziare con un nuovo UFW, puoi utilizzare il seguente comando:
sudo ufw reset
Tieni presente che le norme predefinite non cambieranno alle impostazioni originali se sono già state modificate.
In questo articolo, ti abbiamo mostrato come installare UFW e quindi utilizzarlo per configurare un firewall su Ubuntu 18.04. Ora puoi utilizzare la conoscenza di questa guida per iniziare a creare le tue regole firewall UFW e proteggere il tuo server.
Ovviamente, se sei uno dei nostri clienti di Managed Ubuntu Hosting, non devi configurare il firewall con UFW sul tuo server:chiedi semplicemente ai nostri amministratori, siediti e rilassati. I nostri amministratori configureranno immediatamente le regole del firewall sul tuo server.
PS. Se ti è piaciuto questo post su come configurare un firewall con UFW su Ubuntu 18.04, condividilo con i tuoi amici sui social network utilizzando i pulsanti di condivisione qui sotto, o semplicemente lascia un commento nella sezione commenti. Grazie.