Introduzione
Il kernel Linux include Netfilter sottosistema, che viene utilizzato per manipolare o decidere il destino del traffico di rete diretto o tramite il server. Tutte le moderne soluzioni firewall Linux utilizzano questo sistema per il filtraggio dei pacchetti.
UFW – Firewall semplice
Lo strumento di configurazione del firewall predefinito per Ubuntu è UFW. Sviluppato per semplificare la configurazione del firewall iptables, UFW fornisce un modo intuitivo per creare un firewall basato su host IPv4 o IPv6.
UFW per impostazione predefinita è inizialmente disabilitato. Dalla pagina man di UFW:
“UFW non ha lo scopo di fornire funzionalità firewall complete tramite la sua interfaccia di comando, ma fornisce invece un modo semplice per aggiungere o rimuovere semplici regole. Attualmente è utilizzato principalmente per i firewall basati su host."
Come installare UFW in Ubuntu \ Debian?
UFW fa parte dell'installazione standard di Ubuntu 20.04 e dovrebbe essere presente sul tuo sistema. Se per qualche motivo non è installato, puoi installare il pacchetto digitando:
# Install UFW
sudo apt update
sudo apt install ufw
Code language: PHP (php)Come abilitare o disabilitare UFW
Con questo comando possiamo abilitare o disabilitare l'agente UFW nel nostro sistema operativo, inoltre abbiamo una terza opzione di ripristino che abbiamo elencato di seguito in questo articolo.
# Enable uncomplicated firewall
sudo ufw enable
# Disable uncomplicated firewall
sudo ufw disable
Code language: PHP (php)Impostazione di criteri predefiniti
Il comportamento predefinito di UFW Firewall consiste nel bloccare tutto il traffico in entrata e in uscita e consentire tutto il traffico in uscita. Ciò significa che chiunque tenti di accedere al tuo server non sarà in grado di connettersi a meno che tu non apra specificamente la porta. Le applicazioni e i servizi in esecuzione sul tuo server potranno accedere al mondo esterno.
# Setting Up Default Policies
sudo ufw default deny incoming
sudo ufw default allow outgoing
Code language: PHP (php)Come aggiungere o negare una porta specifica
Consentire una porta consentirà connessioni a quella porta specifica. In questo caso consentiremo le connessioni ssh alla porta 22 o, se vogliamo, le negheremo.
# Add port
sudo ufw allow 22
# Deny port
sudo ufw deny 22
Code language: PHP (php)Come rimuovere una regola specifica
A volte non abbiamo bisogno di alcune delle regole che abbiamo creato, quindi possiamo eliminarle con questo semplice comando.
# Remove rule
sudo ufw delete deny 22
Code language: PHP (php)Consenti porta solo da un IP specifico
In questo caso consentiremo l'accesso al nostro server solo dall'indirizzo IP 192.168.0.2, altri indirizzi IP verranno rifiutati.
# Allow 192.168.0.2 to access our server
sudo ufw allow proto tcp from 192.168.0.2 to any port 22
Code language: CSS (css)Controlla lo stato del firewall
UFW è disabilitato per impostazione predefinita. Puoi controllare lo stato del servizio UFW con il seguente comando:
# Check status
sudo ufw status
Code language: PHP (php)Lavorare con le applicazioni
Un profilo dell'applicazione è un file di testo in formato INI che descrive il servizio e contiene le regole del firewall per il servizio. I profili delle applicazioni vengono creati in /etc/ufw/applications.d directory durante l'installazione del pacchetto.
# View which applications have installed a profile
sudo ufw app list
# Allow application
sudo ufw allow samba
# Allow only specific IP or IP-range to enter application
ufw allow from 192.168.0.0/24 to any app samba
ufw allow from 192.168.0.2 to any app samba
# Details about which ports, protocols, etc., are defined for an application
sudo ufw app info samba
Code language: PHP (php)Abilita i log per UFW
I registri del firewall sono essenziali per riconoscere gli attacchi, risolvere i problemi delle regole del firewall e notare attività insolite sulla rete. Tuttavia, è necessario includere le regole di registrazione nel firewall affinché vengano generate e le regole di registrazione devono precedere qualsiasi regola di terminazione applicabile (una regola con una destinazione che decide il destino del pacchetto, come ACCEPT, DROP o REJECT).
# Enable logs
sudo ufw logging on
# Disable logs
sudo ufw loggin off
Code language: PHP (php)Connessioni a un'interfaccia di rete specifica
Se desideri creare una regola del firewall che si applichi solo a un'interfaccia di rete specifica, puoi farlo specificando "consenti accesso" seguito dal nome dell'interfaccia di rete.
# Check what is your card name
ip addr
# Example
1: <strong>eth0</strong>: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
# Allow card to port name
sudo ufw allow in on eth0 to any port 80
Code language: PHP (php)Ripristino dell'UFW
Ciò disabiliterà UFW ed eliminerà tutte le regole precedentemente definite. Tieni presente che le politiche predefinite non cambieranno alle loro impostazioni originali, se le hai modificate in qualsiasi momento. Questo dovrebbe darti un nuovo inizio con UFW.
# Reset UFW
sudo ufw reset
Code language: PHP (php)