Einführung in die UFW-Firewall unter Linux

Werfen wir einen Blick auf ufw (Uncomplicated Firewall) unter Linux, um Ihnen einige Einblicke und Befehle für Änderungen an Ihrer Firewall zu geben.

ufw (Uncomplicated FireWall) vereinfacht iptables wirklich. Seit seinem Erscheinen ist es in den letzten Jahren zur Standard-Firewall auf Systemen wie Ubuntu und Debian geworden. Und ufw ist überraschend einfach, was für neue Administratoren ein Vorteil ist, die sonst möglicherweise viel Zeit in das Erlernen der Firewall-Verwaltung investieren müssten.

Es gibt auch GUI-Clients für ufw (wie z. B. gufw), aber ufw -Befehle werden normalerweise auf der Befehlszeile ausgeführt. Dieser Artikel stellt einige Befehle zur Verwendung ufw vor und untersucht, wie es funktioniert.

Eine schnelle Möglichkeit, die Konfiguration von ufw zu überprüfen, besteht darin, zunächst einen Blick auf die Konfigurationsdatei /etc/default/ufw zu werfen. Verwenden Sie den folgenden Befehl, um die Konfiguration anzuzeigen. Grep wird verwendet, um die Anzeige von Leerzeilen und Kommentaren (Zeilen, die mit # beginnen) zu unterdrücken.

$ grep -v '^#\|^$' /etc/default/ufw
IPV6=ja
DEFAULT_INPUT_POLICY="ABLASSEN"
DEFAULT_OUTPUT_POLICY="AKZEPTIEREN"
DEFAULT_FORWARD_POLICY="ABWURF"
DEFAULT_APPLICATION_POLICY="Überspringen"
MANAGE_BUILTINS=nein
IPT_SYSCTL=/etc/ufw/sysctl.conf
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

Wie Sie sehen, besteht die Standardrichtlinie darin, die Eingabe zu löschen, die Ausgabe jedoch zuzulassen. Andere Regeln, die es Ihnen ermöglichen, bestimmte Verbindungen zu akzeptieren, müssen separat konfiguriert werden.

Die grundlegende Syntax des ufw -Befehls wird unten angezeigt. Diese Zusammenfassung bedeutet jedoch nicht, dass Sie nur ufw eingeben müssen, sondern dient als kurze Erinnerung, um Ihnen mitzuteilen, welche Parameter erforderlich sind.

ufw [--dry-run] [Optionen] [Regelsyntax]

Die Option --dry-run bedeutet, dass ufw den von Ihnen angegebenen Befehl nicht ausführt, Ihnen aber die Ergebnisse anzeigt, wenn er ausgeführt würde. Es wird jedoch der gesamte Regelsatz angezeigt, wenn er geändert wurde. Seien Sie also auf viele Ausgabezeilen gefasst.

Um den Status von ufw zu überprüfen, führen Sie den folgenden Befehl aus. Beachten Sie, dass selbst dieser Befehl die Verwendung von sudo oder root Kontos erfordert.

$ sudo ufw status
Status: aktiv
Zur Aktion von
-- ------ ----
22 ERLAUBEN 192.168.0.0/24
9090 Überall ERLAUBEN
9090 (v6) Überall ERLAUBEN (v6)

Andernfalls sehen Sie etwa Folgendes:

$ ufw-Status

FEHLER: Sie müssen Root sein, um dieses Skript auszuführen
Durch Hinzufügen der ausführlichen Option erhalten Sie einige zusätzliche Details:

$ sudo ufw status ausführlich
Status: aktiv
Protokollierung: ein (niedrig)
Standard: verweigern (eingehend), zulassen (ausgehend), deaktiviert (geroutet)
Neue Profile: überspringen
Zur Aktion von
-- ------ ----
22 ERLAUBEN IN 192.168.0.0/24
9090 ÜBERALL ERLAUBEN
9090 (v6) Überall zulassen (v6)

Mit dem folgenden Befehl können Sie Verbindungen ganz einfach nach Portnummer zulassen und ablehnen:

$ sudo ufw allow 80 <== http-Zugriff erlauben $ sudo ufw deny 25 <== SMTP-Zugriff verweigern

Sie können in der Datei /etc/services nachsehen, um die Zuordnung zwischen der Portnummer und dem Dienstnamen zu finden.

$ grep 80/ /etc/services
http 80/tcp www # Weltweites Netz HTTP
socks 1080/tcp # socks-Proxyserver
Socken 1080/udp
http-alt 8080/tcp webcache # WWW-Caching-Dienst
http-alt 8080/udp
amanda 10080/tcp # amanda-Sicherungsdienste
amanda 10080/udp
canna 5680/tcp # Cannaserver

Alternativ können Sie den Dienstnamen direkt im Befehl verwenden.

$ sudo ufw http zulassen
Regel hinzugefügt
Regel hinzugefügt (v6)
$ sudo ufw https zulassen
Regel hinzugefügt
Regel hinzugefügt (v6)

Nach jeder Änderung solltest Du den Status noch einmal prüfen, um zu sehen, ob die Änderungen übernommen wurden:

$ sudo ufw status
Status: aktiv
Zur Aktion von
-- ------ ----
22 ERLAUBEN 192.168.0.0/24
9090 Überall ERLAUBEN
80/tcp Überall ERLAUBEN <==
443/tcp Überall ERLAUBEN <==
9090 (v6) Überall ERLAUBEN (v6)
80/tcp (v6) Überall ERLAUBEN (v6) <==
443/tcp (v6) Überall ERLAUBEN (v6) <==

Die von ufw befolgten Regeln werden im Verzeichnis /etc/ufw gespeichert. Beachten Sie, dass Sie Root-Zugriff benötigen, um diese Dateien anzuzeigen, von denen jede eine große Anzahl Regeln enthält.

$ ls -ltr /etc/ufw
insgesamt 48
-rw-r--r-- 1 root root 1391 15. August 2017 sysctl.conf
-rw-r----- 1 root root 1004 17. August 2017 nach Regeln
-rw-r----- 1 root root 915 17. August 2017 after6.rules
-rw-r----- 1 root root 1130 5. Januar 2018 before.init
-rw-r----- 1 root root 1126 5. Januar 2018 after.init
-rw-r----- 1 root root 2537 25. März 2019 before.rules
-rw-r----- 1 root root 6700 25. März 2019 before6.rules
drwxr-xr-x 3 root root 4096 12. Nov 08:21 Anwendungen.d
-rw-r--r-- 1 root root 313 18. März 17:30 ufw.conf
-rw-r----- 1 root root 1711 Mär 19 10:42 Benutzerregeln
-rw-r----- 1 root root 1530 Mär 19 10:42 user6.rules

Die zuvor in diesem Artikel vorgenommenen Änderungen, bei denen Port 80 für den HTTP-Zugriff und Port 443 für den HTTPS-Zugriff hinzugefügt wurden, würden in den Dateien user.rules und user6.rules folgendermaßen aussehen:

# grep " 80 " Benutzer*.Regeln
user6.rules:### Tupel ### erlauben TCP 80 ::/0 beliebig ::/0 in
user6.rules: -A ufw6-user-input -p tcp --dport 80 -j AKZEPTIEREN
user.rules:### Tupel ### erlauben TCP 80 0.0.0.0/0 beliebig 0.0.0.0/0 in
Benutzerregeln: -A ufw-user-input -p tcp --dport 80 -j AKZEPTIEREN
Sie haben neue E-Mails in /var/mail/root
# grep 443 Benutzer*.Regeln
user6.rules:### Tupel ### erlauben TCP 443 ::/0 beliebig ::/0 in
user6.rules: -A ufw6-user-input -p tcp --dport 443 -j AKZEPTIEREN
user.rules:### Tupel ### erlauben TCP 443 0.0.0.0/0 beliebig 0.0.0.0/0 in
Benutzerregeln: -A ufw-user-input -p tcp --dport 443 -j AKZEPTIEREN

Mit ufw können Sie Verbindungen von einer IP-Adresse auch ganz einfach blockieren, indem Sie den folgenden Befehl verwenden:

$ sudo ufw deny von 208.176.0.50

Regel hinzugefügt

Der Statusbefehl zeigt die Änderungen an:

$ sudo ufw status ausführlich
Status: aktiv
Protokollierung: ein (niedrig)
Standard: verweigern (eingehend), zulassen (ausgehend), deaktiviert (geroutet)
Neue Profile: überspringen
Zur Aktion von
-- ------ ----
22 ERLAUBEN IN 192.168.0.0/24
9090 ÜBERALL ERLAUBEN
80/tcp Überall ERLAUBEN
443/tcp Überall zulassen
Überall DENY IN 208.176.0.50 <== neu
9090 (v6) Überall zulassen (v6)
80/tcp (v6) Überall zulassen (v6)
443/tcp (v6) Überall zulassen (v6)

Alles in allem ist ufw nicht nur einfach zu konfigurieren, sondern auch leicht zu verstehen.

Zusammenfassen

Dies ist das Ende dieses Artikels über die Einführung der Linux-Firewall ufw. Weitere relevante Inhalte zur Linux-Firewall ufw finden Sie in den vorherigen Artikeln von 123WORDPRESS.COM oder in den folgenden verwandten Artikeln. Ich hoffe, dass jeder 123WORDPRESS.COM in Zukunft unterstützen wird!