Configureu Ubuntu Firewall (UFW) a Ubuntu 18.04

Instal·leu UFW

UFW està instal·lat per defecte a Ubuntu 18.04, però podeu verificar això:

which ufw

Hauríeu de rebre la sortida següent:

/usr/sbin/ufw

Si no rebeu sortida, vol dir que UFW no està instal·lat. Podeu instal·lar-lo vosaltres mateixos si aquest és el cas:

sudo apt-get install ufw

Permetre connexions

Si esteu executant un servidor web, voleu que el món pugui accedir als vostres llocs web. Per tant, heu d'assegurar-vos que els ports TCP predeterminats per al web estiguin oberts.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

En general, podeu permetre qualsevol port que necessiteu utilitzant el format següent:

sudo ufw allow <port>/<optional: protocol>

Negar connexions

Si necessiteu denegar l'accés a un port determinat, utilitzeu l' denyordre:

sudo ufw deny <port>/<optional: protocol>

Per exemple, podeu denegar l'accés al vostre port MySQL predeterminat:

sudo ufw deny 3306

UFW també admet una sintaxi simplificada per als ports de servei més comuns:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

És molt recomanable que restringiu l'accés al vostre port SSH (per defecte, aquest és port 22), des de qualsevol lloc excepte les vostres adreces IP de confiança.

Permet l'accés des d'una adreça IP de confiança

Normalment, hauríeu de permetre l'accés només als ports oberts públicament, com ara port 80. L'accés a tots els altres ports s'hauria de restringir o limitar. Podeu llistar la vostra adreça IP de casa o oficina, (preferiblement una IP estàtica), per poder accedir al vostre servidor mitjançant SSH o FTP:

sudo ufw allow from 192.168.0.1 to any port 22

També podeu permetre l'accés al port MySQL:

sudo ufw allow from 192.168.0.1 to any port 3306

Activa UFW

Abans d'habilitar (o reiniciar) UFW, heu d'assegurar-vos que el port SSH pugui rebre connexions des de la vostra adreça IP. Per iniciar/activar el vostre tallafoc UFW, utilitzeu l'ordre següent:

sudo ufw enable

Veureu la següent sortida:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Premeu Yi després premeu ENTERper activar el tallafoc:

Firewall is active and enabled on system startup

Comproveu l'estat de la UFW

Imprimeix la llista de regles UFW:

sudo ufw status

Veureu una sortida similar a la següent:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Utilitzeu el verboseparàmetre per veure un informe d'estat més detallat:

sudo ufw status verbose

Aquesta sortida s'assemblarà a la següent:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Desactivar/recarregar/reiniciar UFW

Si necessiteu tornar a carregar les regles del tallafoc, executeu el següent:

sudo ufw reload

Per desactivar o aturar UFW:

sudo ufw disable

Per reiniciar UFW, primer haureu de desactivar-lo i, a continuació, tornar-lo a activar:

sudo ufw disable
sudo ufw enable

Nota: abans d'activar UFW, assegureu-vos que el port SSH està permès per a la vostra adreça IP.

Eliminació de regles

Per gestionar les vostres regles UFW, heu d'enumerar-les. Podeu fer-ho comprovant l'estat d'UFW amb el paràmetre numbered:

sudo ufw status numbered

Veureu una sortida similar a la següent:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Ara, per eliminar qualsevol d'aquestes regles, haureu d'utilitzar aquests números entre claudàtors:

sudo ufw delete [number]

Per eliminar la HTTPregla, ( 80), utilitzeu l'ordre següent:

sudo ufw delete 1

Habilitant el suport d'IPv6

Si utilitzeu IPv6 al vostre VPS, heu d'assegurar-vos que el suport IPv6 estigui habilitat a UFW. Per fer-ho, obriu el fitxer de configuració en un editor de text:

sudo vi /etc/default/ufw

Un cop obert, assegureu-vos que IPV6estigui configurat en "sí":

IPV6=yes

Després de fer aquest canvi, deseu el fitxer. A continuació, reinicieu UFW desactivant-lo i tornant-lo a habilitar:

sudo ufw disable
sudo ufw enable

Torna a la configuració predeterminada

Si necessiteu tornar a la configuració predeterminada, simplement introduïu l'ordre següent. Això revertirà qualsevol dels vostres canvis:

sudo ufw reset

Enhorabona, acabeu de configurar algunes regles bàsiques del tallafoc. Per obtenir més exemples, consulteu la UFW - Community Help Wiki .