Como configurar o firewall embutido do Ubuntu

Resumo

Neste artigo, exploraremos como configurar o firewall embutido do Ubuntu usando o UFW (Firewall não complicado) e o GUFW (front end gráfico para UFW). Discutiremos o firewall pré -instalado no Ubuntu, como habilitá -lo e como trabalhar com regras para permitir ou negar tráfego específico. Além disso, abordaremos os perfis de aplicativos e como eles podem simplificar o processo de configuração do firewall.

Pontos chave

1. O Ubuntu vem com um firewall pré -instalado conhecido como UFW (Firewall não complicado).

. UFW é um front -end para os comandos padrão do Linux iptables.

3. O GUFW é um front -end gráfico para UFW, facilitando a configuração dos usuários normais do firewall.

4. O firewall está desativado por padrão no Ubuntu.

5. Para ativar o firewall, execute o comando “sudo ufw atabille” no terminal.

6. As regras podem ser adicionadas para permitir ou negar tipos específicos de tráfego.

7. Exemplo de comandos para permitir o tráfego SSH na porta 22:

  • “sudo ufw permitir 22” (permite tráfego de TCP e UDP, não é o ideal se o UDP não for necessário)
  • “sudo ufw permitir 22/tcp” (permite apenas tráfego TCP na porta 22)

8. As regras podem ser definidas para o tráfego de entrada e saída.

9. As regras podem ser visualizadas usando o comando “Sudo UFW Status”.

10. As regras podem ser excluídas usando o comando “sudo ufw delete [regra]”.

11. O firewall pode ser redefinido para seu estado padrão usando o comando “sudo ufw redefinir”.

12. O UFW suporta perfis de aplicativos para facilitar a configuração.

13. Os perfis de aplicativos podem ser listados usando o comando “Sudo UFW App List”.

14. Informações adicionais sobre um perfil de aplicativo específico podem ser obtidas usando o comando “sudo ufw app info [nome]”.

Perguntas e respostas

1. Existe um firewall pré -instalado ou automático no Ubuntu? Eu preciso de um?

Sim, o Ubuntu vem com um firewall pré -instalado conhecido como UFW (Firewall não complicado). Embora o Linux seja geralmente considerado mais seguro do que outros sistemas operacionais, ter um firewall ainda é importante para proteger seu sistema contra acesso não autorizado.

2. O que é UFW e GUFW?

O UFW é um front -end para os comandos padrão do Linux iptables e permite uma configuração mais fácil do firewall. O GUFW, por outro lado, é um front-end gráfico para UFW, tornando-o mais fácil de usar para usuários normais.

3. Como posso habilitar o firewall?

Para ativar o firewall no Ubuntu, abra o terminal e execute o comando “sudo ufw atabille”. Isso ativará o firewall e começará a aplicar as regras configuradas.

4. ?

Você pode adicionar regras para permitir tráfego específico usando o comando “sudo ufw permitir [port/protocolo]”. Por exemplo, para permitir o tráfego SSH na porta 22, você pode executar o comando “sudo ufw permitir 22” ou “sudo ufw permitir ssh”.

5. Posso ver as regras que criei?

Sim, você pode visualizar as regras que você criou executando o comando “sudo ufw status” no terminal. Isso exibirá uma lista das regras ativas.

6. Como posso excluir uma regra?

Para excluir uma regra, use o comando “sudo ufw delete [regra]”. Por exemplo, para parar de rejeitar o tráfego SSH de saída, você executaria “sudo ufw delete rejeitar ssh”.

7. Existe uma maneira de redefinir o firewall para seu estado padrão?

Sim, você pode redefinir o firewall para seu estado padrão executando o comando “sudo ufw reset”. Isso removerá todas as regras e configurações que você configurou.

8. O que são perfis de aplicativos?

Os perfis de aplicativos são configurações predefinidas que permitem configuração mais fácil do firewall para aplicações específicas. Você pode listar os perfis de aplicativos disponíveis usando o comando “Sudo UFW App List”.

. Como posso obter mais informações sobre um perfil de aplicativo específico?

Para obter mais informações sobre um perfil de aplicativo específico, use o comando “sudo ufw app info [nome]”. Isso fornecerá detalhes sobre o perfil e suas regras incluídas.

10. Como nego o tráfego específico?

Para negar o tráfego específico, você pode usar o comando “sudo ufw negar [port/protocolo]”. Por exemplo, para negar o tráfego de TCP de um endereço IP específico para a porta 22, você executaria “Sudo UFW negar proto tcp de [IP] para qualquer porta 22”.

11. O firewall pode ser gerenciado através de uma interface gráfica?

Sim, o firewall pode ser gerenciado através de uma interface gráfica usando GUFW, o front -end gráfico para UFW. Ele fornece uma maneira amigável de configurar o firewall.

12. Está o firewall funcionando por padrão, mesmo que seja exibido como desativado em GUFW?

. A mensagem Ativar/Desativar em Gufw refere -se às regras definidas com UFW, não ao status real do firewall.

13. Como posso verificar se o firewall está funcionando?

Você pode verificar se o firewall está executando o comando “sudo iptables – -list –verbose” no terminal. Isso mostrará as regras do firewall e confirmará que o firewall está ativo.

14. Posso configurar as regras do firewall sem permitir o firewall primeiro?

Sim, você pode configurar as regras do firewall sem permitir o firewall. Você pode adicionar regras enquanto o firewall estiver offline e depois ativá -lo depois de terminar de configurar as regras.

15. Posso configurar regras complexas com ufw?

. Por exemplo, você pode negar o tráfego de um endereço IP específico para uma porta específica usando o comando “sudo ufw negar proto tcp de [ip] para qualquer porta [porta]”. Isso permite o controle de granulação fina sobre o tráfego permitido ou negado pelo firewall.

Como configurar o ubuntu’S Firewall embutido

Dessa forma, você bloqueará todo o tráfego de 192.168.100.20 à porta 53 usando o protocolo UDP, que geralmente é reservado para um serviço DNS.

Existe um firewall pré -instalado ou automático?

O Ubuntu vem com um firewall pré -instalado ou automático? Se não, eu preciso de um? Eu li alguns artigos sobre as vantagens do Linux em relação a outros sistemas operacionais sobre segurança (sem necessidade de ter antivírus, . ) mas gostaria de ter certeza.

68.8k 55 55 Crachás de ouro 214 214 Crachás de prata 325 325 Crachás de bronze

Perguntado em 24 de outubro de 2010 às 14:55

5 respostas 5

Ubuntu tem um firewall?

O Ubuntu tem um firewall incluído no kernel e está funcionando por padrão. O que você precisa para gerenciar este firewall é o iptables. Mas isso é complicado de gerenciar, para que você possa usar UFW (firewall não complicado) Para configurá -los. Mas a UFW ainda é algo difícil para usuários normais, então o que você pode fazer é instalar GUFW Isso é apenas um front end para UFW.

Se você usar o GUFW, a primeira vez que verá na parte inferior da janela . Mas isso não é verdade, seu firewall já está funcionando. Esta mensagem Ativar/Desativar refere -se às regras definidas com UFW, não para o firewall.

Se você não acredita em mim, abra um terminal e escreva

sudo iptables -lista --verbose 

Experimente com GUFW habilitado e desabilitado. Você verá que as únicas diferenças serão as regras que você definir com GUFW.

Como configurar o ubuntu’S Firewall embutido

Chris Hoffman

Chris Hoffman
Editor chefe

Chris Hoffman é editor-chefe do ensino médio. Ele escreveu sobre tecnologia por mais de uma década e foi colunista do PCWorld por dois anos. Chris escreveu para O jornal New York Times e Digest do leitor, foi entrevistado como especialista em tecnologia em estações de TV como a NBC 6 de Miami e teve seu trabalho coberto por meios de comunicação como a BBC. Desde 2011, Chris escreveu mais de 2.000 artigos que foram lidos mais de um bilhão de vezes-e isso está aqui no How-To Geek. Consulte Mais informação.

Atualizado em 10 de julho de 2017, 16:11 EDT | 2 min de leitura

O Ubuntu inclui seu próprio firewall, conhecido como UFW – abreviação de “firewall não complicado.” UFW é um front-end mais fácil de usar para os comandos padrão do Linux iptables. Você pode até controlar o UFW de uma interface gráfica. Ubuntu’S Firewall foi projetado como uma maneira fácil de executar tarefas básicas de firewall sem aprender iptables. ’T ofereceu todo o poder dos comandos padrão iptables, mas’é menos complexo.

Uso do terminal

O firewall está desativado por padrão. Para ativar o firewall, execute o seguinte comando de um terminal:

sudo ufw atability

Você não’T necessariamente tem que ativar o firewall primeiro. Você pode adicionar regras enquanto o firewall estiver offline e depois ativá -lo depois de você’acabou de configurar.

Trabalhando com regras

’s Diga que você deseja permitir o tráfego ssh na porta 22. Para fazer isso, você pode executar um dos vários comandos:

sudo ufw permitir 22 (permite tráfego de TCP e UDP – não ideal se o UDP forn’T necessário.) sudo ufw permite 22/tcp (permite apenas tráfego TCP nesta porta.) sudo ufw permite ssh (verifica o arquivo /etc /serviços no seu sistema para a porta que o ssh exige e permite. Muitos serviços comuns estão listados neste arquivo.)

UFW pressupõe que você deseja definir a regra para o tráfego recebido, mas você também pode especificar uma direção. Por exemplo, para bloquear o tráfego SSH de saída, execute o seguinte comando:

sudo ufw rejeitar ssh

Você pode ver as regras que você’

status sudo ufw

Para excluir uma regra, adicione a palavra excluir antes da regra. Por exemplo, para parar de rejeitar o tráfego SSH de saída, execute o seguinte comando:

sudo ufw delete rejeitar ssh

Ufw’S sintaxe permite regras bastante complexas. Por exemplo, esta regra nega o tráfego TCP do IP 12.34.56.78 à porta 22 no sistema local:

sudo ufw negar proto tcp de 12.34.56.78 para qualquer porta 22

Para redefinir o firewall em seu estado padrão, execute o seguinte comando:

SUDO UFW Reset

. Para ver os perfis de aplicativos disponíveis no sistema local, execute o seguinte comando:

Lista de aplicativos sudo ufw

Veja as informações sobre um perfil e suas regras incluídas com o seguinte comando:

Nome de informações do aplicativo sudo ufw

Permitir um perfil de aplicativo com o comando permitir:

sudo ufw permitir nome

Mais Informações

O registro está desativado por padrão, mas você também pode permitir que o log para imprimir mensagens de firewall no log do sistema:

sudo ufw logon

Para mais informações, execute o homem ufw comando para ler ufw’S Página manual.

Interface gráfica GUFW

GUFW é uma interface gráfica para UFW. Ubuntu não’Não vem com uma interface gráfica, mas o GUFW está incluído no Ubuntu’s Repositórios de software. Você pode instalá -lo com o seguinte comando:

sudo apt-get install gufw

GUFW aparece no painel como um aplicativo chamado Firewall Configuration. Como o próprio UFW, o GUFW fornece uma interface simples e fácil de usar. Você pode ativar ou desativar facilmente o firewall, controlar a política padrão para tráfego de entrada ou saída e adicionar regras.

O editor de regras pode ser usado para adicionar regras simples ou mais complicadas.

Lembre -se de que você pode’Fado tudo com UFW – para tarefas de firewall mais complicadas, você’Eu terá que sujar as mãos com iptables.

Comandos Linux
arquivos alcatrão · PV · gato · TAC · chmod · grep · · sed · ar · homem · pushd · popd · fsck · testDisk · Seq fd · pandoc · cd · $ Caminho · Awk · juntar · JQ · dobrar · Uniq · JournalCtl · cauda · Estado · ls · fstab · eco · menos · chgrp · chown · Rev · olhar · cordas · tipo Renomear · fecho eclair · descompactar · montar · Umount · instalar · fdisk · mkfs · · rmdir · rsync · df · gpg · vi · Nano mkdir · du · ln · correção · converter · rclone Destruir · srm · SCP · gzip · chattr · corte · encontrar · Umask · Banheiro · tr
Processos Alias · tela · principal · legal · Renice · progresso · strace · Systemd · tmux · chsh · história · no · lote · livre · qual · DMESG · chfn · Usermod · ps · chroot · · tty · Pinky · LSOF · vmstat · tempo esgotado · parede · sim · matar · dormir · sudo su · tempo · grupo · Usermod · grupos · LSHW · desligar · reinício · HALT · desligar · Passwd · LSCPU · Crontab · data · bg · FG · pidof · nohup · PMAP
Networking netstat · ping · Traceroute · · ss · quem é · Fail2ban · BMON · escavação · dedo · NMAP · ftp · ondulação · wget · Quem · Quem sou eu · c · iptables · ssh-keygen · · arping · Firewalld

RELACIONADO: Melhores laptops Linux para desenvolvedores e entusiastas

  • › Como começar com o firewalld no Linux
  • › Como construir seu próprio arquivo em nuvem com o NextCloud
  • › Seu Mac’s firewall está desligado por padrão: você precisa ativá -lo?
  • › Samsung Galaxy Z Fold 4 hits Novo preço baixo de todos os tempos, além de mais ofertas
  • ›
  • › Agora você pode ligar para um número para obter um passeio de Uber
  • › A Amazon revela nova “Echo pop” e exibições inteligentes atualizadas
  • › Como consertar o “Algo não’não vá como planejado” Erro no Windows 11

Foto de perfil para Chris Hoffman

Chris Hoffman
Chris Hoffman é editor-chefe do ensino médio. Ele escreveu sobre tecnologia por mais de uma década e foi colunista do PCWorld por dois anos. Chris escreveu para O jornal New York Times e Digest do leitor, foi entrevistado como especialista em tecnologia em estações de TV como a NBC 6 de Miami e teve seu trabalho coberto por meios de comunicação como a BBC. Desde 2011, Chris escreveu mais de 2.000 artigos que foram lidos mais de um bilhão de vezes-e isso está aqui no How-To Geek.
Leia a biografia completa »

Como configurar um firewall com UFW no Ubuntu 22.04

Como configurar um firewall com UFW no Ubuntu 22.04

O UFW, ou firewall não complicado, é uma interface de gerenciamento de firewall simplificada que oculta a complexidade de tecnologias de filtragem de pacotes de nível inferior, como iptables e nftables . Se você’estou procurando começar a proteger sua rede e você’Não tenho certeza de qual ferramenta usar, o UFW pode ser a escolha certa para você.

Este tutorial mostrará como configurar um firewall com o UFW no Ubuntu 22.04.

Pré -requisitos

Para seguir este tutorial, você precisará:

  • Um Ubuntu 22.04 servidor com um usuário não raiz sudo, que você pode configurar seguindo nossa configuração inicial do servidor com o Ubuntu 22.04 Tutorial.

UFW é instalado por padrão no Ubuntu. Se foi desinstalado por algum motivo, você pode instalá -lo com sudo apt install ufw .

Etapa 1 – Usando IPv6 com UFW (opcional)

Este tutorial está escrito com o IPv4 em mente, mas funcionará para o IPv6, além de permitir. Se o seu servidor Ubuntu tiver ativado o IPv6, verifique se o UFW está configurado para suportar IPv6, para que ele gerencie regras de firewall para IPv6, além do IPv4. Para fazer isso, abra a configuração do UFW com Nano ou seu editor favorito.

Então verifique se o valor do IPv6 é sim . Deve ser assim:

/etc/default/ufw trecho

Ipv6 =sim 

Salve e feche o arquivo. Agora, quando o UFW estiver ativado, será configurado para escrever regras de firewall IPv4 e IPv6. No entanto, antes de ativar a UFW, vamos querer garantir que seu firewall esteja configurado para permitir que você se conecte via SSH. Deixar’s começar com a definição das políticas padrão.

Etapa 2 – Configurando políticas padrão

Se você’Estou apenas começando com o seu firewall, as primeiras regras a definir são suas políticas padrão. Essas regras controlam como lidar com o tráfego que não corresponde explicitamente a nenhuma outra regras. Por padrão, o UFW está definido para negar todas as conexões recebidas e permitir todas as conexões de saída. Isso significa que qualquer pessoa que tenta alcançar seu servidor não seria capaz de se conectar, enquanto qualquer aplicativo dentro do servidor seria capaz de alcançar o mundo exterior.

Deixar’s Defina suas regras da UFW de volta aos padrões para que possamos ter certeza de que você’Será capaz de acompanhar este tutorial. Para definir os padrões usados ​​pelo UFW, use estes comandos:

Você receberá a produção como o seguinte:

Saída

A política de entrada padrão foi alterada para 'negar' (atualize suas regras de acordo) Política de saída padrão alterada para 'permitir' (certifique -se de atualizar suas regras de acordo)

Esses comandos definem os padrões para negar a entrada e permitir conexões de saída. Somente esses padrões de firewall podem ser suficientes para um computador pessoal, mas os servidores normalmente precisam responder às solicitações recebidas de usuários externos. Nós’eu procurará isso a seguir.

Etapa 3 – permitindo conexões SSH

Se permitissemos o nosso firewall do UFW agora, isso negaria todas as conexões recebidas. Isso significa que precisaremos criar regras que permitam explicitamente conexões legítimas – conexões SSH ou HTTP, por exemplo – se queremos que nosso servidor responda a esses tipos de solicitações. Se você’Estando usando um servidor em nuvem, você provavelmente desejará permitir conexões SSH de entrada para que você possa se conectar e gerenciar seu servidor.

Para configurar seu servidor para permitir conexões SSH de entrada, você pode usar este comando:

Isso criará regras de firewall que permitirão todas as conexões na porta 22, que é a porta que o daemon ssh escuta por padrão. UFW sabe o que a porta permite ssh significa porque’s listado como um serviço no arquivo /etc /serviços.

No entanto, podemos realmente escrever a regra equivalente especificando a porta em vez do nome do serviço. Por exemplo, este comando funciona da mesma forma que o acima:

. Por exemplo, se o seu servidor SSH estiver ouvindo na porta 2222, você poderá usar este comando para permitir conexões nessa porta:

.

Etapa 4 – Ativando UFW

Para ativar o UFW, use este comando:

Você receberá um aviso que diz que o comando pode interromper as conexões SSH existentes. Você já configurou uma regra de firewall que permite conexões SSH, por isso deve ser bom continuar. Responda ao prompt com y e acerte Enter .

O firewall agora está ativo. Execute o comando sudo ufw status detalhado para ver as regras definidas. O restante deste tutorial abrange como usar a UFW com mais detalhes, como permitir ou negar diferentes tipos de conexões.

Etapa 5 – permitindo outras conexões

Neste ponto, você deve permitir todas as outras conexões às quais seu servidor precisa responder. As conexões que você deve permitir depende de suas necessidades específicas. Felizmente, você já sabe escrever regras que permitem conexões com base em um nome ou porta de serviço; Já fizemos isso por ssh na porta 22 . Você também pode fazer isso para:

  • HTTP na porta 80, que é o que os servidores da web não criptografados usam, usando sudo ufw permitir http ou sudo ufw permitir 80
  • Https na porta 443, que é o que os servidores da web criptografados usam, usando sudo ufw permitir https ou sudo ufw permitir 443

Existem várias outras maneiras de permitir outras conexões, além de especificar uma porta ou serviço conhecido.

Intervalos de porta específicos

Você pode especificar intervalos de porta com UFW. Algumas aplicações usam várias portas, em vez de uma única porta.

Por exemplo, para permitir conexões X11, que usam portas 6000 – 6007, use estes comandos:

Ao especificar as variações de porta com UFW, você deve especificar o protocolo (TCP ou UDP) que as regras devem se aplicar a. Nós temos’T mencionou isso antes, porque não especificando o protocolo permite automaticamente os dois protocolos, o que é bom na maioria dos casos.

Ao trabalhar com a UFW, você também pode especificar endereços IP. Por exemplo, se você deseja permitir conexões de um endereço IP específico, como um endereço IP de trabalho ou casa de 203.0.113.4, você precisa especificar a partir do endereço IP:

Você também pode especificar uma porta específica à qual o endereço IP pode se conectar adicionando a qualquer porta seguida pelo número da porta. Por exemplo, se você quiser permitir 203.0.113.4 Para conectar -se à porta 22 (ssh), use este comando:

Sub -redes

Se você deseja permitir uma sub -rede de endereços IP, pode fazê -lo usando a notação CIDR para especificar uma máscara de rede. Por exemplo, se você deseja permitir que todos os endereços IP que variam de 203.0.113.1 a 203.0.113.254 Você pode usar este comando:

Da mesma forma, você também pode especificar a porta de destino que a sub -rede 203.0.113.0/24 tem permissão para se conectar a. Novamente, nós’Uso a porta 22 (ssh) como exemplo:

Conexões com uma interface de rede específica

Se você deseja criar uma regra de firewall que se aplique apenas a uma interface de rede específica, você pode fazê -lo especificando “permitir” seguido pelo nome da interface de rede.

Você pode querer procurar suas interfaces de rede antes de continuar. Para fazer isso, use este comando:

Trecho de saída

2: ENP0S3: MTU 1500 qdisc pfifo_fast State . . . 3: ENP0S4: MTU 1500 qdisc Noop State Down Group Padrão . . .

A saída destacada indica os nomes da interface de rede. Eles geralmente são chamados de algo como ETH0, Ens1 ou Enp3s2 .

Portanto, se o seu servidor tiver uma interface de rede pública chamada ENS3, você poderá permitir o tráfego HTTP (porta 80) com este comando:

Fazer isso permitiria que seu servidor recebesse solicitações HTTP da Internet pública.

Ou, se você deseja que o seu servidor de banco de dados MySQL (porta 3306) ouça as conexões na interface de rede privada Eth1, por exemplo, você pode usar este comando:

Isso permitiria que outros servidores em sua rede privada se conectassem ao seu banco de dados MySQL.

Etapa 6 – negando conexões

Se você não tiver’T mudou a política padrão para conexões recebidas, o UFW está configurado para negar todas as conexões recebidas. Geralmente, isso simplifica o processo de criação de uma política de firewall segura, exigindo que você crie regras que permitam explicitamente portas e endereços IP por meio.

No entanto, às vezes você deseja negar conexões específicas com base no endereço IP ou sub -rede de origem, talvez porque você saiba que seu servidor está sendo atacado a partir daí. Além disso, se você deseja alterar sua política de entrada padrão para permitir (que não é recomendado), você precisaria criar negar Regras para quaisquer serviços ou endereços IP que você não’quero permitir conexões para.

Escrever negar regras, você pode usar os comandos descritos acima, substituindo permitir com negar.

Por exemplo, para negar conexões HTTP, você pode usar este comando:

Ou se você quiser negar todas as conexões de 203.0.113.4 Você pode usar este comando:

Agora deixe’s Dê uma olhada em como excluir regras.

Etapa 7 – Excluindo regras

Saber como excluir as regras do firewall é tão importante quanto saber como criá -las. Existem duas maneiras diferentes de especificar quais regras excluir: por número da regra ou pela regra real (semelhante à maneira como as regras foram especificadas quando foram criadas). Nós’Começará com o Excluir pelo número da regra método porque é mais fácil.

Pelo número da regra

Se você’estar usando o número da regra para excluir as regras do firewall, a primeira coisa que você’Eu quero fazer é obter uma lista de suas regras de firewall. O comando de status da UFW tem a opção de exibir números ao lado de cada regra, como demonstrado aqui:

Saída numerada:

Status: ativo à ação de------- ---- [1] 22 Permitir em 15.15.15.0/24 [2] 80 Permitir em qualquer lugar

Se você decidir que deseja excluir a regra 2, aquela que permite conexões da porta 80 (http), você pode especificá -lo em um comando UFW Excluir como este:

Isso mostraria um prompt de confirmação e exclua a regra 2, que permite conexões http. Observe que se você tiver IPv6 ativado, também desejará excluir a regra IPv6 correspondente.

Por regra real

A alternativa aos números de regras é especificar a regra real para excluir.

Você também pode especificar a regra por permitir 80, em vez do nome do serviço:

Este método excluirá as regras IPv4 e IPv6, se elas existirem.

Etapa 8 – Verificando o status e as regras da UFW

A qualquer momento, você pode verificar o status da UFW com este comando:

Se o UFW estiver desativado, o que é por padrão, você’verei algo assim:

Saída

Status: inativo

Se o UFW estiver ativo, o que deve ser se você seguisse a etapa 3, a saída dirá que’está ativo e listará quaisquer regras definidas. Por exemplo, se o firewall estiver definido para permitir conexões SSH (porta 22) de qualquer lugar, a saída pode parecer algo assim:

Saída

Status: Loging ativo: ON (BAIXO) PADRÃO: Negar (receber), permitir (sair), negar (roteado) Novos perfis: Pule à ação de------- ---- 22/TCP Permitir em qualquer lugar 22 (v6) permitir em qualquer lugar (V6)

Use o comando de status se você deseja verificar como o UFW configurou o firewall.

Etapa 9 – Desativando ou redefinindo UFW (opcional)

Se você decidir que não’quero usar o UFW, você pode desativá -lo com este comando:

Quaisquer regras que você criou com a UFW não estará mais ativo. Você sempre pode executar sudo ufw ativar se precisar ativá -lo mais tarde.

Se você já possui regras da UFW configuradas, mas decide que deseja começar de novo, pode usar o comando Redefinir:

Isso desativará a UFW e excluirá todas as regras que foram definidas anteriormente. Lembre -se de que as políticas padrão venceram’T mude para suas configurações originais, se você as modificou em qualquer momento. Isso deve dar um novo começo com UFW.

Conclusão

Seu firewall agora está configurado para permitir (pelo menos) conexões SSH. Certifique -se de permitir quaisquer outras conexões recebidas que seu servidor precisa, enquanto limita qualquer conexão desnecessária, para que seu servidor seja funcional e seguro.

Para aprender sobre configurações mais comuns da UFW, consulte os itens essenciais da UFW: Tutorial de Regras e Comandos do Firewall comum.

Obrigado por aprender com a comunidade digital. Confira nossas ofertas de bancos de dados de computação, armazenamento, rede e gerenciamento.

Série tutorial: começar a computação em nuvem

Este currículo apresenta computação em nuvem de código aberto para um público em geral, juntamente com as habilidades necessárias para implantar aplicativos e sites com segurança na nuvem.

Série de navegação: 39 artigos

  • 1/39 servidores em nuvem: uma introdução
  • 2/39 Uma introdução geral à computação em nuvem
  • 3/39 Configuração inicial do servidor com o Ubuntu 22.04

Como configurar o Firewall do Ubuntu com UFW

Como configurar o Firewall do Ubuntu com UFW

Um firewall é um sistema de segurança para redes que monitora todo o tráfego de entrada e saída. Ele permite ou bloqueia pacotes de dados com base em regras de segurança predefinidas.

Se você está executando um sistema de produção, é vital para você entender como configurar um firewall. Os sistemas protegidos por firewall têm menos probabilidade de serem infectados por informações prejudiciais, porque estão menos expostas à Internet, pois o tráfego de entrada e saída é estritamente filtrado de acordo com as regras de segurança.

#O que é ufw?

O UFW, também chamado de firewall não complicado, é uma estrutura front -end que fornece uma interface simples para usar o utilitário iptables para gerenciar o Netfilter – um sistema de filtragem de pacotes de kernel linux padrão. É um sistema de firewall embutido para o Ubuntu 20.04 que simplifica os comandos iptables complicados e permite criar configurações básicas de firewall mais facilmente.

UFW usa uma interface de linha de comando com um pequeno número de comandos simples. Ele suporta todas as regras básicas do firewall, vários protocolos de rede, log e muitos outros recursos. Você pode verificar uma extensa lista de recursos na documentação oficial da UFW.

#Preewishits

Para configurar a UFW, você precisa ter as seguintes coisas de antemão:

  • Ubuntu 20.04 Sistema com privilégios de raiz
  • Conhecimento básico da interface da linha de comando (CLI)

OBSERVAÇÃO: Este tutorial não é apenas aplicável ao Ubuntu 20.04, mas outras versões LTS também. As primeiras versões da UFW estavam disponíveis desde o Ubuntu 12.04.

#Install ufw firewall

UFW vem pré-instalado com o sistema operacional Ubuntu. No entanto, você pode ter a versão mais recente da UFW tentando instalá -la usando o seguinte comando:

APT Instale UFW

Agora que você tem a versão mais recente do UFW instalado, deixe’s Verifique seu status usando o seguinte comando:

status da UFW

Como você pode ver, o UFW está inativo por padrão. Vamos habilitá -lo depois de fazer algumas mudanças importantes primeiro.

#UFW Políticas de firewall padrão

. Para fazer isso, verifique o arquivo de configuração padrão do UFW:

Por padrão, o UFW está configurado para negar todo o tráfego recebido e permitir todo o tráfego de saída. Isso significa que ninguém é capaz de alcançar seu sistema, enquanto você pode fazer solicitações de saída de qualquer aplicativo ou serviço.

As políticas padrão da UFW podem ser alteradas com o seguinte padrão de comando:

Por exemplo, se você deseja permitir que todo o tráfego recebido use o seguinte comando:

UFW Padrão permitir a entrada

Enquanto o comando a seguir negará todo o tráfego de saída:

UFW Padrão negar de saída

Uma mensagem de confirmação será mostrada após cada mudança de política, por exemplo:

Política padrão da UFW

#Arlow conexões SSH

Por padrão, a UFW bloqueará todo o tráfego de entrada, incluindo SSH e HTTP. Se você habilitar o firewall antes de definir uma exceção, sua sessão remota atual será encerrada e você venceu’É possível conectar mais ao seu servidor.

Para evitar isso, você precisa permitir conexões SSH de entrada usando o seguinte comando:

Ele abrirá a porta 22, que é a porta padrão. Como você pode ver, duas novas regras de firewall foram adicionadas para os protocolos IPv4 e IPv6, respectivamente:

Ufw permite ssh

Se você configurou o SSH para usar outra porta, use um comando mais específico para criar uma regra de permitir conexões SSH. Por exemplo, se você tiver serviço SSH ouvindo a porta 4422, use o seguinte comando:

ufw permitir 4422/tcp

Esta regra de firewall permite conexões TCP para porta 4422.

#Firewall da UFW

Agora que sua UFW foi configurada, você precisa ativá -lo usando o seguinte comando:

UFW Ativar

Isso vai iniciar imediatamente o UFW Daemon e habilitá -lo na inicialização do sistema. Aceite o prompt fornecido digitando y e pressione Enter para continuar.

Você pode verificar se ele está em execução usando o SystemCTL Service Manager:

status Systemctl ufw

Status do processo da UFW

#Add UFW Firewall Rules

Existem várias regras de firewall que você pode aplicar ao seu sistema através da UFW:

  • Permitir – permitir o tráfego
  • negar – descarte silenciosamente o tráfego
  • Rejeitar – rejeitar o tráfego e enviar de volta um pacote de erro ao remetente
  • Limite – Limite conexões de um endereço IP específico que tentou iniciar 6 ou mais conexões nos últimos 30 segundos

Você pode aplicar essas regras de firewall em um escopo genérico ou mais específico. O escopo genérico aplica a regra da UFW ao tráfego de entrada e saída. Você pode usá -lo com o seguinte padrão de comando:

ufw [regra] [Target]

Por outro lado, você pode querer aplicar a regra à entrada ou no tráfego especificamente. Nesse caso, você deve usar os seguintes padrões de comando de acordo:

ufw [regra] em [Target]

ufw [regra] Out [Target]

Vamos passar por alguns exemplos práticos mais tarde, para que você possa ver algumas aplicações da vida real.

As regras de firewall da UFW podem operar em muitos alvos diferentes. Você pode segmentar nomes de serviços, endereços IP, portas e até interfaces de rede. Deixar’agora passa por cada um desses padrões de segmentação para ver o que é possível.

#Perfis de aplicativos do Target

Quando o UFW é instalado, a maioria dos aplicativos que dependem da rede para comunicação registrarem seu perfil com a UFW, permitindo que os usuários permitam rapidamente ou negue acesso externo a esse aplicativo.

Você pode verificar quais aplicativos estão registrados na UFW com o seguinte comando:

Veja como sua saída pode ser:

Lista de aplicativos da UFW

Para permitir o acesso de entrada e saída a qualquer um desses aplicativos, use o seguinte padrão de comando:

UFW permite [nome do aplicativo]

Por exemplo, você pode permitir conexões OpenSSH com o seguinte comando:

UFW permite o OpenSSH

ufw permitir SSH aberto

Esta regra de firewall permite todo o tráfego de entrada e saída para o OpenSSH Application. Você pode ser mais específico e permitir apenas tráfego SSH de entrada com o seguinte comando:

ufw permitir em OpenSsh

No entanto, a melhor prática para ativar o acesso SSH em um servidor remoto é usar o conjunto de regras do limite. Ele permite apenas 6 conexões do mesmo endereço IP dentro da janela de 30 segundos, salvando você de um potencial ataque de força bruta. Limite de uso em vez de permitir o conjunto de regras para aplicação OpenSSH no ambiente de produção:

Limite do UFW OpenSSH

#Endereços IP da Target

Na UFW, você pode permitir ou negar um endereço IP específico com o seguinte padrão de comando:

UFW [regra] de [ip_address]

Por exemplo, se você viu alguma atividade maliciosa do endereço IP 192.168.100.20, você pode bloquear todo o tráfego dele usando o seguinte comando:

ufw negar de 192.168.100.20

Embora você tenha bloqueado todo o tráfego de entrada deste endereço IP malicioso, ele ainda pode chegar ao seu servidor em alguns casos. Isso pode acontecer porque a UFW aplica suas regras de cima para Buttom. Por exemplo, sua primeira regra pode permitir que todo o tráfego de entrada na porta 22 e sua nega de 192.168..20 regra pode ser um passo de um passo.

Para evitar essas situações, use a opção de precaução para adicionar as regras de firewall mais específicas ao topo da sua lista de regras. O comando final seria assim:

ufw precend nega de 192.168.100.20

#Target Ports

Você também pode segmentar portas ou intervalos de porta específicos com UFW. Por exemplo, você pode permitir conexões para a porta 8080 usando qualquer protocolo:

Geralmente, você pode querer ser mais específico e permitir apenas conexões a uma porta específica usando um protocolo de rede específico. Forn Instância, você pode permitir conexões TCP à porta 8080 apenas com o seguinte comando:

ufw permitir 8080/tcp

No entanto, às vezes seu aplicativo pode usar uma variedade de portas para diferentes atividades. Nesse caso, você pode usar o seguinte comando para a lista de permissões de um intervalo de portas:

UFW permite 8080: 9090/TCP

Lembre -se de uma possibilidade de segmentar endereços IP? Se você não deseja bloquear todo o tráfego de um endereço IP, pode ser um pouco mais específico e bloquear apenas o tráfego para uma porta específica:

ufw negar de 192.168.100.20 para qualquer porta 53 Proto UDP

Dessa forma, você bloqueará todo o tráfego de 192.168.100.20 à porta 53 usando o protocolo UDP, que geralmente é reservado para um serviço DNS.

Veja como seria sua saída:

ufw negar porta udp

#Target Network Interfaces

Alguns sistemas têm várias interfaces de rede configuradas que podem exigir regras de firewall distintas. Forutnatelly, o UFW permite que você segmente uma interface de rede específica e aplique apenas a regra do firewall a ele. Deixar’está experimentando.

Primeiro, liste seu sistema’s interface o seguinte comando:

saída IP Addr

Como você pode ver, atualmente existem três interfaces de rede em configuração em um Ubuntu 20.04 Sistema. Deixar’s Target o segundo chamado eth0 . Para fazer isso, você deve usar a opção ON ETH0 no seu comando UFW:

.168.100.255

Agora todo o tráfego de 192.168.100.255 é permitido apenas para a interface da rede ETH0:

UFW permite interface de rede

#Verifique as regras do firewall ufw

Agora que você terminou de adicionar suas regras de firewall, é uma boa ideia verificar a tabela de regras para ver os resultados. Você pode verificar suas regras ativas da UFW usando o seguinte comando:

status da UFW

Para ver uma versão mais detalhada das regras do firewall do UFW, use a opção detalhada:

status ufw detalhado

status ufw detalhado

E se você quiser simplesmente ver uma lista de regras de uma maneira que você as digitou primeiro, use o seguinte comando:

UFW Show adicionado

Em contraste com o status da UFW, o comando da UFW exibe as regras do firewall, mesmo quando o UFW está desativado.

#Delete UFW Firewall Regras

Agora que você terminou de adicionar regras de firewall, e se você quisesse remover alguns deles? Para esse fim, temos dois métodos disponíveis: você pode excluir uma regra por seu número ou excluí -lo pelo seu nome. Deixar’S passar por cada um deles.

#Delete por número

Você pode excluir as regras da UFW numberando sua tabela de regras e excluindo uma regra específica usando seu número associado.

Primeiro, verifique uma lista numerada das regras da UFW usando o seguinte comando:

status da UFW numerado

status da UFW numerado

Como você pode ver, suas regras de firewall agora têm números atribuídos a eles que você pode usar para atingir -os. Por exemplo, vamos’S Remova agora a regra número 6 usando o seguinte comando:

ufw excluir regra por número

Basta pressionar y para aceitar o prompt de confirmação e a regra 3 será excluída.

#Delete por nome de regra

O segundo método para excluir uma regra da UFW é especificá -la pelo seu nome. Liste as regras primeiro de uma maneira que você as digitou primeiro:

UFW Show Regras adicionadas

Deixar’s Diga que você deseja remover a regra que nega todo o tráfego de 192.168.100.20 Endereço IP. Para fazer isso, você deve usar o comando delete com um nome de regra negar de 192.168.100.20 . O comando final seria assim:

ufw delete negar de 192.168.100.20

ufw excluir regra por nome

#Manage UFW Logs

A UFW suporta vários níveis de registro, para que você possa dar uma olhada em sua atividade de rede. Por padrão, os logs da UFW todos os pacotes bloqueados não correspondem à política definida, bem como pacotes que correspondem às suas regras definidas. Este é um baixo nível de registro que você pode modificar se necessário.

Você pode verificar sua atividade de registro com o seguinte comando:

status ufw detalhado

UFW Verifique o nível de log

A segunda linha da saída mostra que o registro está ativado com o nível de registro definido como baixo.

#Set UFW Nível de log

Existem cinco níveis de registro da UFW. Cada um deles tem uma política de registro diferente e coleta cada vez mais dados. Observe que os níveis de log acima do meio podem gerar muita saída de log e podem preencher rapidamente um disco em um sistema movimentado; portanto, use -os cuidadosamente.

  • OFF – desativa o log gerenciado da UFW.
  • Low – logs todos os pacotes bloqueados que não correspondem à política padrão, bem como pacotes que correspondem às regras predefinidas.
  • Médio – o mesmo que acima, além de todos os pacotes permitidos que não correspondessem à política definida, a todos os pacotes inválidos e todas as novas conexões.
  • alto – o mesmo que acima, apenas sem limitação de taxa, além de todos os pacotes com limitação de taxa.
  • cheio – o mesmo que acima, apenas sem a limitação da taxa.

Você pode alterar o nível de registro baixo padrão com o seguinte padrão de comando:

UFW Logging [nível]

Por exemplo, use o seguinte comando para alterar o nível de registro para médio:

UFW Medium de log

Altere o log de UFW para médio

Dessa forma, você ativou o nível de registro médio com um aumento no escopo de registro.

#Iuncia os logs da UFW

Os arquivos de log são armazenados no/var/log/diretório. Você pode usar o comando ls para listar todos os arquivos de log criados pelo UFW:

Arquivos de log da UFW iluminados

Agora você pode inspecionar seus arquivos de log para encontrar informações relevantes sobre a atividade da UFW, por exemplo:

Inspecione os arquivos de log UFW

Como você pode ver, há uma extensa quantidade de informações disponíveis para você entender a atividade da UFW. Uma única linha pode ser assim:

2 de janeiro 00:00:14 kernel Ubuntu-Sandbox: [142705.160851] [UFW Block] in = eth0 out = Mac = 52: 54: 21: 9a: CA: D7: Fe: 54: 21: 9a: ca: d7: 08: 00 src = 198.144.159.22 dst = 5.199.162.56 len = 40 TOS = 0x00 prec = 0x00 ttl = 239 proto = tcp spt = 49194 dpt = 10164 janela = 1024 res = 0x00 syn urgp = 0

Deixar’agora está emitindo esta linha de logs da UFW para entender melhor seu significado. As variáveis ​​mais informativas são provavelmente os endereços IP SRC e DST com seus números de porta associados SPT e DPT, mas é útil entender todos eles:

  • [UFW Block]: indicou que o pacote estava bloqueado
  • In = eth0: dispositivo de tráfego de entrada.
  • Out =: O dispositivo de tráfego de saída está vazio, já que o tráfego estava recebendo.
  • Mac = 52: 54: 21: 9a: CA: D7: Fe: 54: 21: 9a: ca: d7: 08: 00: O dispositivo’s endereço MAC.
  • SRC = 198.144.159.22: Endereço IP de origem de um remetente de pacotes.
  • Dst = 5.199.162.56: Endereço IP de destino destinado a receber um pacote. Nesse caso, era meu endereço IP.
  • Len = 40: Comprimento do pacote.
  • TOS = 0x00 e Prec = 0x00: variáveis ​​depreciadas que não são relevantes e definidas como 0.
  • TTL = 239: Hora de viver para um pacote. Cada pacote só pode saltar pelo número de roteadores antes de ser encerrado.
  • Id = 61187: ID exclusivo para o datagrama IP, compartilhado por fragmentos do mesmo pacote.
  • Proto = tcp: protocolo usado.
  • SPT = 49194: Porta de origem de uma conexão. Esta porta pode indicar qual serviço iniciou a tentativa de conexão.
  • DPT = 10164: Porta de destino de uma conexão. Esta porta pode indicar o que o serviço deveria receber a tentativa de conexão.
  • Janela = 1024: O tamanho do pacote que o remetente está disposto a receber.
  • Res = 0x00: Este bit é reservado para uso futuro. Atualmente é irrelevante e definido como 0.
  • Syn urgp = 0: syn indicou que essa conexão requer um aperto de mão de três vias, o URGP significa relevância urgente do ponteiro que é irrelevante e definido como 0.

Redefina a configuração do UFW

Há momentos em que você precisa iniciar sua configuração do zero. Caso você queira redefinir sua configuração UFW para configurações padrão, existe um comando para esse fim:

Regras da UFW Redefinir

Digite y quando solicitado e pressione Enter para redefinir todas as regras do firewall ativo e desligar o daemon do UFW. Como você pode ver, a UFW cria automaticamente arquivos de backup para as regras que você acabou de redefinir, caso você mude de idéia ou queira revisá -las no futuro.

Agora você sabe como configurar e gerenciar o sistema de firewall da UFW no Ubuntu 20.04. Para referência futura, sinta -se à vontade para usar a documentação oficial do Ubuntu para atualizar sua memória sobre os recursos básicos e aprender sobre a funcionalidade avançada da UFW: https: // wiki.Ubuntu.com/não complicadofirewall

Mantas Levinas

Ajudando os engenheiros a aprender �� sobre novas tecnologias e casos de uso de automação de TI engenhosos para construir melhores sistemas ��

Junte -se à comunidade de servidores Cherry

Obtenha guias práticos mensais sobre a construção de sistemas mais seguros, eficientes e mais fáceis de escalar em um ecossistema de nuvem aberta.