Resumo

Ubuntu Wiki

Este artigo discute o uso de um firewall no Ubuntu, concentrando -se especificamente na ferramenta UFW (Firewall não complicada). O subsistema Netfilter do Kernel Linux é responsável pela filtragem de pacotes, e iptables é usado para gerenciar as regras do firewall. No entanto, o UFW fornece uma maneira fácil de usar o firewall, simplificando o processo de criação de regras. O artigo também explica como ativar e desativar a UFW, bem como usá -lo para permitir ou negar portas específicas e endereços IP. Além disso, ele menciona a integração da UFW com os perfis de aplicativos e o conceito de ip miséria.

Pontos chave

1. Mecanismo de firewall Linux: O kernel Linux incorpora o subsistema Netfilter para filtragem de pacotes, que é gerenciada por iptables.

2. Propósito de iptables: Os iptables são usados ​​para manipular ou decidir o destino do tráfego de rede com base nas regras fornecidas pelo Usuáriospace.

3. Usando UFW: UFW (Firewall não complicado) é a ferramenta de configuração de firewall padrão para o Ubuntu, projetada para facilitar o gerenciamento de iptables.

4. Habilitando UFW: UFW está inicialmente desativado, mas pode ser ativado usando o comando “sudo ufw atabille” no terminal.

5. Permitir e negar portos: Portas específicas podem ser permitidas ou negado usando comandos como “sudo ufw permitir [port]” ou “sudo ufw negar [port]”.

6. .

7. Gerenciando as regras da UFW: O UFW fornece comandos para inserir, excluir ou verificar o status das regras, como “sudo ufw insert [regra]”, “sudo ufw delete [regra] ou” status sudo ufw “.

8. Integração de aplicativos: Os aplicativos podem incluir um perfil UFW, detalhando as portas necessárias, que podem ser gerenciadas usando comandos como “sudo ufw permitir [app]”.

9. IP mascarada: A máscara de IP permite que as máquinas com endereços IP privados em uma rede acessem a Internet através da máquina de mascarar. O Linux usa o Conntrack para modificar o endereço IP de origem dos pacotes para roteamento adequado.

10. Regras personalizadas da UFW para disfarçar: O UFW pode ser usado para implementar o IP disfarçado por meio de regras personalizadas.

Questões

1. Qual é o objetivo dos iptables no Linux?

Os iptables são usados ​​para manipular ou decidir o destino do tráfego de rede com base nas regras fornecidas pelo Usuáriospace.

2. O que é UFW e seu papel no Ubuntu?

UFW (Firewall não complicado) é a ferramenta de configuração de firewall padrão para o Ubuntu, projetada para simplificar o gerenciamento de iptables.

. Como o UFW pode ser ativado ou desativado?

UFW pode ser ativado usando o comando “sudo ufw atabille” e desativado usando “sudo ufw desativar”.

4. Quais comandos podem ser usados ​​para permitir ou negar portas específicas usando UFW?

Comandos como “sudo ufw permitir [port]” e “sudo ufw negar [port]” podem ser usados ​​para permitir ou negar portas específicas.

. É possível criar regras baseadas em IP com UFW?

Sim, a UFW suporta a criação de regras com base em endereços IP, permitindo ou negar o tráfego de IPs específicos.

6. Como se pode gerenciar as regras da UFW?

Comandos como “sudo ufw insert [regra]”, “sudo ufw excluir [regra]” ou “status sudo ufw” podem ser usados ​​para gerenciar as regras da UFW.

7. Qual é o objetivo da integração de aplicativos com a UFW?

A integração de aplicativos permite que os aplicativos incluam perfis UFW, especificando as portas necessárias para o seu funcionamento.

8. Como se pode visualizar os aplicativos que instalaram um perfil na UFW?

O comando “Sudo UFW App List” pode ser usado para visualizar os aplicativos que instalaram um perfil.

9. Qual é o conceito de ip disfarçado?

A máscara de IP permite que as máquinas com endereços IP privados em uma rede acessem a Internet através da máquina que executa o disfarce.

10. Como o UFW pode ser usado para regras de mascarar IP personalizadas?

O UFW pode ser usado para implementar o IP disfarçado, criando regras personalizadas para fins de mascaramento.

11. Como se pode verificar as informações sobre um perfil de aplicativo UFW específico?

O comando “sudo ufw app info [app]” pode ser usado para recuperar informações sobre um perfil de aplicativo UFW específico.

12. Se um aplicativo não tiver um perfil UFW, o que pode ser feito para abordar isso?

Se um aplicativo não tiver um perfil UFW, um bug contra o pacote no LaunchPad poderá ser arquivado para solicitar sua inclusão.

13. É possível usar o UFW com IPv4 e IPv6?

Sim, o UFW fornece uma maneira fácil de usar, Firewalls baseados em host IPv4 ou IPv6.

14. O que acontece com o tráfego deixando uma rede privada durante o IP disfarçado?

O tráfego deixando uma rede privada durante a malha de IP é “mascarada” como originária da máquina de gateway do Ubuntu para o roteamento adequado.

15. Qual é o objetivo do mecanismo de conexão no Linux durante o IP disfarçado?

O Linux usa o Conntrack para acompanhar quais conexões pertencem a quais máquinas, permitindo redirecionamento de pacotes de retorno em cenários de mascaramento IP.

Ubuntu Wiki

Chris Hoffman é editor-chefe do ensino médio. Ele escreveu sobre tecnologia por mais de uma década e foi colunista do PCWorld por dois anos. Chris escreveu para O jornal New York Times e Digest do leitor, . Desde 2011, Chris escreveu mais de 2.000 artigos que foram lidos mais de um bilhão de vezes-e isso está aqui no How-To Geek. .

Segurança – Firewall

O kernel Linux inclui o Netfilter Subsistema, que é usado para manipular ou decidir o destino do tráfego de rede que dirige -se para ou através do seu servidor. Todas as soluções modernas de firewall linux usam este sistema para filtragem de pacotes.

O kernel’S Sistema de filtragem de pacotes seria de pouca utilidade para os administradores sem uma interface de espaço para usuários para gerenciá -lo. Esse é o objetivo dos iptables: quando um pacote atingir seu servidor, ele será entregue ao subsistema Netfilter para aceitação, manipulação ou rejeição com base nas regras fornecidas a ele do Usuário, via iptables. Assim, iptables é tudo o que você precisa para gerenciar seu firewall, se você’estou familiarizado com isso, mas muitos frontends estão disponíveis para simplificar a tarefa.

A ferramenta de configuração do firewall padrão para o Ubuntu é UFW. Desenvolvido para facilitar a configuração do firewall iptables, o UFW fornece uma maneira fácil de usar um firewall baseado em host IPv4 ou IPv6.

. Na página do UFW Man:

“A UFW não se destina a fornecer funcionalidade completa do firewall por meio de sua interface de comando, mas fornece uma maneira fácil de adicionar ou remover regras simples. Atualmente é usado principalmente para firewalls baseados em host.”

A seguir, alguns exemplos de como usar o UFW:

    Primeiro, a UFW precisa ser ativada. De um prompt de terminal, digite:

sudo ufw atability 

 

sudo ufw insert 1 permitir 80 

sudo ufw negar 22 

sudo ufw delete negar 22 

sudo ufw permitir proto tcp de 192.168.0.2 para qualquer porta 22 

 sudo ufw-run-run permitir http 

*filtro: ufw-user-input-[0: 0]: ufw-user-santput-[0: 0]: ufw-user forward-[0: 0]: ufw-user-limit-[0: 0]: ufw-user-limit-acept-[0: 0] ######### ###### ### ## ### ### ## #### ### ### ####.0.0.0/0 qualquer 0.0.0.0/0 -A ufw-user-input -p tcp --dport 80 -j ACCEPT ### END RULES ### -A ufw-user-input -j RETURN -A ufw-user-output -j RETURN -A ufw-user-forward -j RETURN -A ufw-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT]: " -A ufw-user-limit -j REJECT -A ufw-user-limit-accept -j ACCEPT COMMIT Rules updated 

sudo ufw desativar 

status sudo ufw 

sudo ufw status detalhado 

sudo ufw status numerado

Observação

Se a porta que você deseja abrir ou fechar for definida em /etc /serviços, você pode usar o nome da porta em vez do número. Nos exemplos acima, substitua 22 com ssh.

Esta é uma introdução rápida para usar o UFW. Consulte a página do UFW Man para obter mais informações.

Integração de aplicativos da UFW

Aplicativos que abrem portas podem incluir um perfil UFW, que detalha as portas necessárias para que o aplicativo funcione corretamente. Os perfis são mantidos em/etc/ufw/aplicativos.d, e pode ser editado se as portas padrão tiverem sido alteradas.

    Para ver quais aplicativos instalaram um perfil, insira o seguinte em um terminal:

 

sudo ufw permitir samba 

Ufw permitir de 192.168.0.0/24 para qualquer aplicativo samba

Substituir Samba e 192.168..0/24 com o perfil de aplicativo que você está usando e o intervalo de IP para sua rede.

Observação Não há necessidade de especificar o protocolo Para o aplicativo, porque essa informação é detalhada no perfil. Além disso, observe que o aplicativo O nome substitui o porta número.

SUDO UFW App Info Samba

Nem todos os aplicativos que exigem a abertura de uma porta de rede vêm com perfis da UFW, mas se você tiver perfilado um aplicativo e deseja que o arquivo seja incluído no pacote, registre um bug no pacote no Launchpad.

Ubuntu-bug Nameofpackage

IP disfarçado

O objetivo do IP Masquising é permitir que máquinas com endereços IP privados e não rotáveis ​​em sua rede acessem a Internet através da máquina fazendo a mascarada. O tráfego da sua rede privada destinado à Internet deve ser manipulado para que as respostas sejam rotáveis ​​de volta para a máquina que fez a solicitação. Para fazer isso, o kernel deve modificar o fonte Endereço IP de cada pacote para que as respostas sejam roteadas de volta, e não para o endereço IP privado que tornou a solicitação, o que é impossível pela Internet. Usos Linux Rastreamento de conexão (Conntrack) para acompanhar quais conexões pertencem a quais máquinas e redirecionar cada pacote de retorno de acordo. Tráfego saindo da sua rede privada é assim “mascarado” como tendo se originado na sua máquina de gateway ubuntu. Este processo é referido na documentação da Microsoft como compartilhamento de conexão com a Internet.

UFW disfarçado

A disfarce de IP pode ser alcançado usando regras UFW personalizadas. Isso é possível porque o back-end atual para UFW é iptables-Restore com os arquivos de regras localizados em/etc/ufw/*.regras . .

As regras são divididas em dois arquivos diferentes, regras que devem ser executadas antes das regras da linha de comando da UFW e regras que são executadas após as regras da linha de comando da UFW.

    Primeiro, o encaminhamento de pacotes precisa ser ativado na UFW. Dois arquivos de configuração precisarão ser ajustados, em/etc/padrão/ufw altere o Default_forward_policy para “ACEITAR”:

Default_forward_policy = "aceitar"

Em seguida, edite/etc/ufw/sysctl.conf e descomment:

net/ipv4/ip_forward = 1

Da mesma forma, para o impulso para encaminhamento IPv6:

net/ipv6/conf/default/encaminhamento = 1 

# NAT Tabela Regras *Nat: Postrouting aceita [0: 0] # tráfego encaminhado de eth1 a eth0. -Um pós -turno -s 192.168.0.0/24 -O ETH0 -J Masquerade # Não exclua a linha 'Commits' ou essas regras da tabela NAT não serão processadas

Os comentários não são estritamente necessários, mas é considerado uma boa prática documentar sua configuração. Além disso, ao modificar qualquer um dos regras Arquivos em /etc /ufw, verifique se essas linhas são a última linha para cada tabela modificada:

# Não exclua a linha 'Commit' ou essas regras não serão processadas

Para cada Mesa um correspondente COMPROMETER-SE Declaração é necessária. Nesses exemplos apenas o Nat e filtro As tabelas são mostradas, mas você também pode adicionar regras para o cru e Mangle mesas.

Observação No exemplo acima, substitua eth0, Eth1, e 192.168.0.0/24 com as interfaces apropriadas e o intervalo de IP para sua rede.

sudo ufw desabilitar && sudo ufw atable

A máscara de IP agora deve ser ativada. Você também pode adicionar regras adicionais para o/etc/ufw/antes.regras . Recomenda -se que essas regras adicionais sejam adicionadas ao ufw-se antes da frente corrente.

iptables disfarçados

iptables também podem ser usados ​​para ativar a disfarce.

    Semelhante ao UFW, a primeira etapa é ativar o encaminhamento de pacotes IPv4 editando /etc /sysctl.conf and descomment a seguinte linha:

.IPv4.ip_forward = 1

Se você deseja ativar o encaminhamento do IPv6, também o descomment:

líquido.IPv6.conf.padrão.encaminhamento = 1 

sudo sysctl -p 

sudo iptables -t nat -a postouting -s 192.168.0.0/16 -O PPP0 -J

  • -t Nat – A regra é entrar na mesa de nat
  • -Uma pós-truta-a regra deve ser anexada (-a) à cadeia pós-truta
  • -S 192.168.0.0/16 – A regra se aplica ao tráfego originário do espaço de endereço especificado
  • -o PPP0 – A regra se aplica ao tráfego programado para ser roteado através do dispositivo de rede especificado
  • -J Masquerade – o tráfego correspondente a esta regra é para “pular” (-j) ao alvo de máscaras a ser manipulado como descrito acima

sudo iptables -award -s 192.168.0.0/16 -O ppp0 -j Aceitar sudo iptables -a forward -d 192.168.0.0/16 -M Estado \ -Estado estabelecido, relacionado -i ppp0 -j aceita 

iptables -t nat -a postouting -s 192.168.0.0/16 -O PPP0 -J

Histórico

Os toras de firewall são essenciais para reconhecer ataques, solucionar suas regras de firewall e perceber atividades incomuns em sua rede. Você deve incluir regras de registro em seu firewall para que elas sejam geradas, e as regras de registro devem vir antes de qualquer regra de rescisão aplicável (uma regra com um alvo que decide o destino do pacote, como aceitar, soltar ou rejeitar).

Se você estiver usando o UFW, poderá ativar o registro digitando o seguinte em um terminal:

sudo ufw logon

Para desligar o login na UFW, basta substituir sobre com desligado No comando acima.

Se estiver usando iptables em vez de ufw, digite:

sudo iptables -a input -m state -estatal novo -p tcp - -dport 80 \ -j log - -log -prefix "new_http_conn:"

Uma solicitação na porta 80 da máquina local, então, geraria um logon DMESG que se parece com essa (uma linha única dividida em 3 para se ajustar a este documento):

[4304885.870000] new_http_conn: in = lo out = mac = 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 08: 00 src = 127.0.0.1 dst = 127.0.0.1 len = 60 tos = 0x00 prec = 0x00 ttl = 64 df proto = tcp spt = 53981 dpt = 80 janela = 32767 res = 0x00 syn urgp = 0

O log acima também aparecerá em/var/log/mensagens,/var/log/syslog e/var/log/kern.registro . Este comportamento pode ser modificado pela edição /etc /syslog.confer. O daemon ULOGD é um servidor de space de usuários que escuta as instruções de registro do kernel especificamente para firewalls e podem fazer login em qualquer arquivo que desejar, ou mesmo em um banco de dados PostGresql ou MySQL. Compreendendo seus toros de firewall podem ser simplificados usando uma ferramenta de análise de log, como logwatch, fwanalog, fwlogwatch ou lire.

Outras ferramentas

Existem muitas ferramentas disponíveis para ajudá -lo a construir um firewall completo sem conhecimento íntimo de iptables. Uma ferramenta de linha de comando com arquivos de configuração de texto simples:

  • Shorewall é uma solução muito poderosa para ajudá -lo a configurar um firewall avançado para qualquer rede.

Referências

  • A página Wiki do Ubuntu Firewall contém informações sobre o desenvolvimento da UFW.
  • Além disso, a página manual do UFW contém algumas informações muito úteis: homem ufw .
  • Consulte o pacote que filtrou-se para obter mais informações sobre o uso de iptables.
  • O Nat-Howto contém mais detalhes sobre disfarce.
  • Os iptables Howto no Ubuntu Wiki são um ótimo recurso.

Ubuntu Wiki

O kernel Linux no Ubuntu fornece um sistema de filtragem de pacotes chamado Netfilter, e a interface tradicional para manipular Netfilter são as iptables conjunto de comandos. iptables Forneça uma solução completa de firewall que seja altamente configurável e altamente flexível.

Tornando -se proficiente em iptables leva tempo e começando com Netfilter Firewalling usando apenas iptables pode ser uma tarefa assustadora. Como resultado, muitos frontends para iptables foram criados ao longo dos anos, cada um tentando alcançar um resultado diferente e direcionando um público diferente.

O firewall não complicado (ufw) é um front -end para iptables e é particularmente adequado para firewalls baseados em host. ufw fornece uma estrutura para gerenciar Netfilter, bem como uma interface de linha de comando para manipular o firewall. ufw tem como objetivo fornecer uma interface fácil de usar para pessoas não familiarizadas com conceitos de firewall, enquanto ao mesmo tempo simplifica iptables comandos para ajudar um administrador que sabe o que ele ou ela está fazendo. ufw é um upstream para outras distribuições e frontends gráficos.

Ufw no Ubuntu

Ubuntu 8.04 LTS introduzido ufw, e está disponível por padrão em todas as instalações do Ubuntu após 8.04 LTS.

Versões disponíveis em versões suportadas do Ubuntu

  • Ubuntu 12.04 ESM: 0.31.1-1
  • Ubuntu 14.04 ESM: 0.34 ~ rc-0ubuntu2
  • Ubuntu 16.04 LTS: 0.
  • Ubuntu 18.04 LTS: 0.36-0ubuntu0.18.04.1
  • Ubuntu 20.04: 0.36-6
  • Ubuntu 21.04: 0.36-7.1
  • Ubuntu 21.10: 0.36.1-1,
  • Ubuntu 22.04: 0.36.1-4,
  • Ubuntu Core: 0.36pre

Características

ufw tem os seguintes recursos:

Como configurar o ubuntu’S Firewall embutido

Chris Hoffman

Chris Hoffman
Editor chefe

Chris Hoffman é editor-chefe do ensino médio. Ele escreveu sobre tecnologia por mais de uma década e foi colunista do PCWorld por dois anos. Chris escreveu para O jornal New York Times e Digest do leitor, foi entrevistado como especialista em tecnologia em estações de TV como a NBC 6 de Miami e teve seu trabalho coberto por meios de comunicação como a BBC. Desde 2011, Chris escreveu mais de 2.000 artigos que foram lidos mais de um bilhão de vezes-e isso está aqui no How-To Geek. Consulte Mais informação.

Atualizado em 10 de julho de 2017, 16:11 EDT | 2 min de leitura

O Ubuntu inclui seu próprio firewall, conhecido como UFW – abreviação de “firewall não complicado.” UFW é um front-end mais fácil de usar para os comandos padrão do Linux iptables. Você pode até controlar o UFW de uma interface gráfica. Ubuntu’S Firewall foi projetado como uma maneira fácil de executar tarefas básicas de firewall sem aprender iptables. Não’T ofereceu todo o poder dos comandos padrão iptables, mas’é menos complexo.

Uso do terminal

O firewall está desativado por padrão. Para ativar o firewall, execute o seguinte comando de um terminal:

sudo ufw atability

Você não’T necessariamente tem que ativar o firewall primeiro. Você pode adicionar regras enquanto o firewall estiver offline e depois ativá -lo depois de você’acabou de configurar.

Trabalhando com regras

Deixar’s Diga que você deseja permitir o tráfego ssh na porta 22. Para fazer isso, você pode executar um dos vários comandos:

sudo ufw permitir 22 (permite tráfego de TCP e UDP – não ideal se o UDP forn’T necessário.) sudo ufw permite 22/tcp (permite apenas tráfego TCP nesta porta.) sudo ufw permite ssh (verifica o arquivo /etc /serviços no seu sistema para a porta que o ssh exige e permite. Muitos serviços comuns estão listados neste arquivo.)

UFW pressupõe que você deseja definir a regra para o tráfego recebido, mas você também pode especificar uma direção. Por exemplo, para bloquear o tráfego SSH de saída, execute o seguinte comando:

sudo ufw rejeitar ssh

Você pode ver as regras que você’criou com o seguinte comando:

status sudo ufw

Para excluir uma regra, adicione a palavra excluir antes da regra. Por exemplo, para parar de rejeitar o tráfego SSH de saída, execute o seguinte comando:

sudo ufw delete rejeitar ssh

Ufw’S sintaxe permite regras bastante complexas. Por exemplo, esta regra nega o tráfego TCP do IP 12.34.56.78 à porta 22 no sistema local:

sudo ufw negar proto tcp de 12.34.56.78 para qualquer porta 22

Para redefinir o firewall em seu estado padrão, execute o seguinte comando:

SUDO UFW Reset

Perfis de aplicação

Algumas aplicações que exigem portas abertas vêm com perfis UFW para facilitar ainda mais isso. Para ver os perfis de aplicativos disponíveis no sistema local, execute o seguinte comando:

Lista de aplicativos sudo ufw

Veja as informações sobre um perfil e suas regras incluídas com o seguinte comando:

Nome de informações do aplicativo sudo ufw

Permitir um perfil de aplicativo com o comando permitir:

sudo ufw permitir nome

Mais Informações

O registro está desativado por padrão, mas você também pode permitir que o log para imprimir mensagens de firewall no log do sistema:

sudo ufw logon

Para mais informações, execute o homem ufw comando para ler ufw’S Página manual.

Interface gráfica GUFW

GUFW é uma interface gráfica para UFW. Ubuntu não’Não vem com uma interface gráfica, mas o GUFW está incluído no Ubuntu’s Repositórios de software. Você pode instalá -lo com o seguinte comando:

sudo apt-get install gufw

GUFW aparece no painel como um aplicativo chamado Firewall Configuration. Como o próprio UFW, o GUFW fornece uma interface simples e fácil de usar. Você pode ativar ou desativar facilmente o firewall, controlar a política padrão para tráfego de entrada ou saída e adicionar regras.

O editor de regras pode ser usado para adicionar regras simples ou mais complicadas.

Lembre -se de que você pode’Fado tudo com UFW – para tarefas de firewall mais complicadas, você’Eu terá que sujar as mãos com iptables.

Comandos Linux
arquivos alcatrão · PV · gato · TAC · chmod · grep · Dif · sed · ar · homem · pushd · popd · fsck · testDisk · Seq · fd · pandoc · cd · $ Caminho · Awk · juntar · JQ · dobrar · Uniq · JournalCtl · cauda · Estado · ls · fstab · eco · menos · chgrp · chown · Rev · olhar · cordas · tipo · Renomear · fecho eclair · descompactar · montar · Umount · instalar · fdisk · mkfs · rm · rmdir · rsync · df · gpg · vi · Nano · mkdir · du · ln · correção · converter · rclone · Destruir · srm · · gzip · chattr · corte · encontrar · Umask · Banheiro
Processos Alias · tela · principal · legal · Renice · progresso · strace · Systemd · tmux · chsh · história · no · lote · livre · qual · DMESG · chfn · Usermod · ps · chroot · Xargs · tty · Pinky · LSOF · vmstat · tempo esgotado · parede · sim · matar · dormir · sudo · su · tempo · grupo · Usermod · grupos LSHW · desligar · reinício · HALT · desligar · Passwd · LSCPU · Crontab · data · bg · FG · pidof · nohup · PMAP
Networking netstat · ping · Traceroute · IP · ss · quem é · Fail2ban · BMON · escavação · dedo · NMAP · ftp · ondulação · wget · Quem · Quem sou eu · c · iptables · ssh-keygen · ufw · arping · Firewalld

RELACIONADO: Melhores laptops Linux para desenvolvedores e entusiastas

  • › Como construir seu próprio arquivo em nuvem com o NextCloud
  • › Como começar com o firewalld no Linux
  • › Seu Mac’s firewall está desligado por padrão: você precisa ativá -lo?
  • › As melhores bandas de relógio do Google Pixel de 2023
  • › Construa seu próprio PC minúsculo com esta placa -mãe
  • › 10 Recursos de assistente do Google que você deveria estar usando
  • › Como abrir arquivos zip no iPhone e iPad
  • › Amazonas’S Omni Qled TVs tem três novos tamanhos, comece em US $ 450

Foto de perfil para Chris Hoffman

Chris Hoffman
Chris Hoffman é editor-chefe do ensino médio. Ele escreveu sobre tecnologia por mais de uma década e foi colunista do PCWorld por dois anos. Chris escreveu para O jornal New York Times e Digest do leitor, foi entrevistado como especialista em tecnologia em estações de TV como a NBC 6 de Miami e teve seu trabalho coberto por meios de comunicação como a BBC. Desde 2011, Chris escreveu mais de 2.000 artigos que foram lidos mais de um bilhão de vezes-e isso está aqui no How-To Geek.
Leia a biografia completa »

Existe um firewall pré -instalado ou automático?

O Ubuntu vem com um firewall pré -instalado ou automático? Se não, eu preciso de um? Eu li alguns artigos sobre as vantagens do Linux em relação a outros sistemas operacionais sobre segurança (sem necessidade de ter antivírus, . ) mas gostaria de ter certeza.

68.8k 55 55 Crachás de ouro 214 214 Crachás de prata 325 325 Crachás de bronze

Perguntado em 24 de outubro de 2010 às 14:55

Pedroo Pedroo

5 respostas 5

Instale o GUFW

O Ubuntu tem um firewall incluído no kernel e está funcionando por padrão. O que você precisa para gerenciar este firewall é o iptables. Mas isso é complicado de gerenciar, para que você possa usar UFW (firewall não complicado) Para configurá -los. Mas a UFW ainda é algo difícil para usuários normais, então o que você pode fazer é instalar GUFW Isso é apenas um front end para UFW.

Se você usar o GUFW, a primeira vez que verá na parte inferior da janela ‘Firewall desativado’. Mas isso não é verdade, seu firewall já está funcionando. Esta mensagem Ativar/Desativar refere -se às regras definidas com UFW, não para o firewall.

Se você não acredita em mim, abra um terminal e escreva

sudo iptables -lista --verbose

Experimente com GUFW habilitado e desabilitado. Você verá que as únicas diferenças serão as regras que você definir com GUFW.

Como configurar um firewall com UFW no Ubuntu 22.04

Como configurar um firewall com UFW no Ubuntu 22.04

O UFW, ou firewall não complicado, é uma interface de gerenciamento de firewall simplificada que oculta a complexidade de tecnologias de filtragem de pacotes de nível inferior, como iptables e nftables . Se você’estou procurando começar a proteger sua rede e você’Não tenho certeza de qual ferramenta usar, o UFW pode ser a escolha certa para você.

Este tutorial mostrará como configurar um firewall com o UFW no Ubuntu 22.04.

Pré -requisitos

Para seguir este tutorial, você precisará:

  • Um Ubuntu 22.04 servidor com um usuário não raiz sudo, que você pode configurar seguindo nossa configuração inicial do servidor com o Ubuntu 22.04 Tutorial.

UFW é instalado por padrão no Ubuntu. Se foi desinstalado por algum motivo, você pode instalá -lo com sudo apt install ufw .

Etapa 1 – Usando IPv6 com UFW (opcional)

Este tutorial está escrito com o IPv4 em mente, mas funcionará para o IPv6, além de permitir. Se o seu servidor Ubuntu tiver ativado o IPv6, verifique se o UFW está configurado para suportar IPv6, para que ele gerencie regras de firewall para IPv6, além do IPv4. Para fazer isso, abra a configuração do UFW com Nano ou seu editor favorito.

Então verifique se o valor do IPv6 é sim . Deve ser assim:

/etc/default/ufw trecho

Ipv6 =sim

Salve e feche o arquivo. Agora, quando o UFW estiver ativado, será configurado para escrever regras de firewall IPv4 e IPv6. No entanto, antes de ativar a UFW, vamos querer garantir que seu firewall esteja configurado para permitir que você se conecte via SSH. Deixar’s começar com a definição das políticas padrão.

Etapa 2 – Configurando políticas padrão

Se você’Estou apenas começando com o seu firewall, as primeiras regras a definir são suas políticas padrão. Essas regras controlam como lidar com o tráfego que não corresponde explicitamente a nenhuma outra regras. Por padrão, o UFW está definido para negar todas as conexões recebidas e permitir todas as conexões de saída. Isso significa que qualquer pessoa que tenta alcançar seu servidor não seria capaz de se conectar, enquanto qualquer aplicativo dentro do servidor seria capaz de alcançar o mundo exterior.

Deixar’s Defina suas regras da UFW de volta aos padrões para que possamos ter certeza de que você’Será capaz de acompanhar este tutorial. Para definir os padrões usados ​​pelo UFW, use estes comandos:

Você receberá a produção como o seguinte:



Saída
A política de entrada padrão foi alterada para 'negar' (atualize suas regras de acordo) Política de saída padrão alterada para 'permitir' (certifique -se de atualizar suas regras de acordo)

Esses comandos definem os padrões para negar a entrada e permitir conexões de saída. Somente esses padrões de firewall podem ser suficientes para um computador pessoal, mas os servidores normalmente precisam responder às solicitações recebidas de usuários externos. Nós’eu procurará isso a seguir.

Etapa 3 – permitindo conexões SSH

Se permitissemos o nosso firewall do UFW agora, isso negaria todas as conexões recebidas. Isso significa que precisaremos criar regras que permitam explicitamente conexões legítimas – conexões SSH ou HTTP, por exemplo – se queremos que nosso servidor responda a esses tipos de solicitações. Se você’Estando usando um servidor em nuvem, você provavelmente desejará permitir conexões SSH de entrada para que você possa se conectar e gerenciar seu servidor.

Para configurar seu servidor para permitir conexões SSH de entrada, você pode usar este comando:

Isso criará regras de firewall que permitirão todas as conexões na porta 22, que é a porta que o daemon ssh escuta por padrão. UFW sabe o que a porta permite ssh significa porque’s listado como um serviço no arquivo /etc /serviços.

No entanto, podemos realmente escrever a regra equivalente especificando a porta em vez do nome do serviço. Por exemplo, este comando funciona da mesma forma que o acima:

Se você configurou seu daemon ssh para usar uma porta diferente, precisará especificar a porta apropriada. Por exemplo, se o seu servidor SSH estiver ouvindo na porta 2222, você poderá usar este comando para permitir conexões nessa porta:

Agora que seu firewall está configurado para permitir conexões SSH de entrada, podemos ativá -lo.

Etapa 4 – Ativando UFW

Para ativar o UFW, use este comando:

Você receberá um aviso que diz que o comando pode interromper as conexões SSH existentes. . Responda ao prompt com y e acerte Enter .

O firewall agora está ativo. Execute o comando sudo ufw status detalhado para ver as regras definidas. O restante deste tutorial abrange como usar a UFW com mais detalhes, como permitir ou negar diferentes tipos de conexões.

Etapa 5 – permitindo outras conexões

Neste ponto, você deve permitir todas as outras conexões às quais seu servidor precisa responder. As conexões que você deve permitir depende de suas necessidades específicas. Felizmente, você já sabe escrever regras que permitem conexões com base em um nome ou porta de serviço; Já fizemos isso por ssh na porta 22 . Você também pode fazer isso para:

  • HTTP na porta 80, que é o que os servidores da web não criptografados usam, usando sudo ufw permitir http ou sudo ufw permitir 80
  • Https na porta 443, que é o que os servidores da web criptografados usam, usando sudo ufw permitir https ou sudo ufw permitir 443

Existem várias outras maneiras de permitir outras conexões, além de especificar uma porta ou serviço conhecido.

Intervalos de porta específicos

Você pode especificar intervalos de porta com UFW. Algumas aplicações usam várias portas, em vez de uma única porta.

Por exemplo, para permitir conexões X11, que usam portas 6000 – 6007, use estes comandos:

Ao especificar as variações de porta com UFW, você deve especificar o protocolo (TCP ou UDP) que as regras devem se aplicar a. Nós temos’T mencionou isso antes, porque não especificando o protocolo permite automaticamente os dois protocolos, o que é bom na maioria dos casos.

Endereços IP específicos

Ao trabalhar com a UFW, você também pode especificar endereços IP. Por exemplo, se você deseja permitir conexões de um endereço IP específico, como um endereço IP de trabalho ou casa de 203.0.113.4, você precisa especificar a partir do endereço IP:

Você também pode especificar uma porta específica à qual o endereço IP pode se conectar adicionando a qualquer porta seguida pelo número da porta. Por exemplo, se você quiser permitir 203.0.113.4 Para conectar -se à porta 22 (ssh), use este comando:

Sub -redes

Se você deseja permitir uma sub -rede de endereços IP, pode fazê -lo usando a notação CIDR para especificar uma máscara de rede. Por exemplo, se você deseja permitir que todos os endereços IP que variam de 203.0.113.1 a 203.0.113.254 Você pode usar este comando:

Da mesma forma, você também pode especificar a porta de destino que a sub -rede 203.0.113.0/24 tem permissão para se conectar a. Novamente, nós’Uso a porta 22 (ssh) como exemplo:

Conexões com uma interface de rede específica

Se você deseja criar uma regra de firewall que se aplique apenas a uma interface de rede específica, você pode fazê -lo especificando “permitir” seguido pelo nome da interface de rede.

Você pode querer procurar suas interfaces de rede antes de continuar. Para fazer isso, use este comando:



Trecho de saída
2: ENP0S3: MTU 1500 qdisc pfifo_fast State . . . 3: ENP0S4: MTU 1500 qdisc Noop State Down Group Padrão . . .

A saída destacada indica os nomes da interface de rede. Eles geralmente são chamados de algo como ETH0, Ens1 ou Enp3s2 .

Portanto, se o seu servidor tiver uma interface de rede pública chamada ENS3, você poderá permitir o tráfego HTTP (porta 80) com este comando:

Fazer isso permitiria que seu servidor recebesse solicitações HTTP da Internet pública.

Ou, se você deseja que o seu servidor de banco de dados MySQL (porta 3306) ouça as conexões na interface de rede privada Eth1, por exemplo, você pode usar este comando:

Isso permitiria que outros servidores em sua rede privada se conectassem ao seu banco de dados MySQL.

Etapa 6 – negando conexões

Se você não tiver’T mudou a política padrão para conexões recebidas, o UFW está configurado para negar todas as conexões recebidas. Geralmente, isso simplifica o processo de criação de uma política de firewall segura, exigindo que você crie regras que permitam explicitamente portas e endereços IP por meio.

No entanto, às vezes você deseja negar conexões específicas com base no endereço IP ou sub -rede de origem, talvez porque você saiba que seu servidor está sendo atacado a partir daí. Além disso, se você deseja alterar sua política de entrada padrão para permitir (que não é recomendado), você precisaria criar negar Regras para quaisquer serviços ou endereços IP que você não’quero permitir conexões para.

Escrever negar regras, você pode usar os comandos descritos acima, substituindo permitir com negar.

Por exemplo, para negar conexões HTTP, você pode usar este comando:

Ou se você quiser negar todas as conexões de 203.0.113.4 Você pode usar este comando:

Agora deixe’s Dê uma olhada em como excluir regras.

Etapa 7 – Excluindo regras

Saber como excluir as regras do firewall é tão importante quanto saber como criá -las. Existem duas maneiras diferentes de especificar quais regras excluir: por número da regra ou pela regra real (semelhante à maneira como as regras foram especificadas quando foram criadas). Nós’Começará com o Excluir pelo número da regra método porque é mais fácil.

Pelo número da regra

Se você’estar usando o número da regra para excluir as regras do firewall, a primeira coisa que você’Eu quero fazer é obter uma lista de suas regras de firewall. O comando de status da UFW tem a opção de exibir números ao lado de cada regra, como demonstrado aqui:



Saída numerada:
Status: ativo à ação de------- ---- [1] 22 Permitir em 15.15.15.0/24 [2] 80 Permitir em qualquer lugar

Se você decidir que deseja excluir a regra 2, aquela que permite conexões da porta 80 (http), você pode especificá -lo em um comando UFW Excluir como este:

Isso mostraria um prompt de confirmação e exclua a regra 2, que permite conexões http. Observe que se você tiver IPv6 ativado, também desejará excluir a regra IPv6 correspondente.

Por regra real

A alternativa aos números de regras é especificar a regra real para excluir. Por exemplo, se você deseja remover a regra de permitir http, poderá escrever assim:

Você também pode especificar a regra por permitir 80, em vez do nome do serviço:

Este método excluirá as regras IPv4 e IPv6, se elas existirem.

Etapa 8 – Verificando o status e as regras da UFW

A qualquer momento, você pode verificar o status da UFW com este comando:

Se o UFW estiver desativado, o que é por padrão, você’verei algo assim:



Saída
Status: inativo

Se o UFW estiver ativo, o que deve ser se você seguisse a etapa 3, a saída dirá que’está ativo e listará quaisquer regras definidas. Por exemplo, se o firewall estiver definido para permitir conexões SSH (porta 22) de qualquer lugar, a saída pode parecer algo assim:



Saída
Status: Loging ativo: ON (BAIXO) PADRÃO: Negar (receber), permitir (sair), negar (roteado) Novos perfis: Pule à ação de------- ---- 22/TCP Permitir em qualquer lugar 22 (v6) permitir em qualquer lugar (V6)

Use o comando de status se você deseja verificar como o UFW configurou o firewall.

Etapa 9 – Desativando ou redefinindo UFW (opcional)

Se você decidir que não’quero usar o UFW, você pode desativá -lo com este comando:

Quaisquer regras que você criou com a UFW não estará mais ativo. Você sempre pode executar sudo ufw ativar se precisar ativá -lo mais tarde.

Se você já possui regras da UFW configuradas, mas decide que deseja começar de novo, pode usar o comando Redefinir:

Isso desativará a UFW e excluirá todas as regras que foram definidas anteriormente. Lembre -se de que as políticas padrão venceram’T mude para suas configurações originais, se você as modificou em qualquer momento. Isso deve dar um novo começo com UFW.

Conclusão

. Certifique -se de permitir quaisquer outras conexões recebidas que seu servidor precisa, enquanto limita qualquer conexão desnecessária, para que seu servidor seja funcional e seguro.

Para aprender sobre configurações mais comuns da UFW, consulte os itens essenciais da UFW: Tutorial de Regras e Comandos do Firewall comum.

Obrigado por aprender com a comunidade digital. Confira nossas ofertas de bancos de dados de computação, armazenamento, rede e gerenciamento.

Série tutorial: começar a computação em nuvem

Este currículo apresenta computação em nuvem de código aberto para um público em geral, juntamente com as habilidades necessárias para implantar aplicativos e sites com segurança na nuvem.

Série de navegação: 39 artigos

  • 1/39 servidores em nuvem: uma introdução
  • 2/39 Uma introdução geral à computação em nuvem
  • 3/39 Configuração inicial do servidor com o Ubuntu 22.04