Konfigurer Ubuntu Firewall (UFW) på Ubuntu 18.04

Installer UFW

UFW er installert som standard i Ubuntu 18.04, men du kan bekrefte dette:

which ufw

Du bør motta følgende utdata:

/usr/sbin/ufw

Hvis du ikke mottar utdata, betyr det at UFW ikke er installert. Du kan installere det selv hvis dette er tilfelle:

sudo apt-get install ufw

Tillat tilkoblinger

Hvis du kjører en webserver, vil du at verden skal kunne få tilgang til nettsiden(e). Derfor må du sørge for at standard TCP-porter for web er åpne.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Generelt kan du tillate hvilken som helst port du trenger ved å bruke følgende format:

sudo ufw allow <port>/<optional: protocol>

Avslå tilkoblinger

Hvis du trenger å nekte tilgang til en bestemt port, bruk denykommandoen:

sudo ufw deny <port>/<optional: protocol>

Du kan for eksempel nekte tilgang til din standard MySQL-port:

sudo ufw deny 3306

UFW støtter også en forenklet syntaks for de vanligste tjenesteportene:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Det anbefales sterkt at du begrenser tilgangen til SSH-porten din (som standard er dette port 22), fra hvor som helst bortsett fra dine pålitelige IP-adresser.

Tillat tilgang fra en pålitelig IP-adresse

Vanligvis må du bare tillate tilgang til offentlig åpne porter, for eksempel port 80. Tilgang til alle andre porter bør begrenses eller begrenses. Du kan hviteliste hjemme- eller kontor-IP-adressen din, (fortrinnsvis en statisk IP), for å få tilgang til serveren din via SSH eller FTP:

sudo ufw allow from 192.168.0.1 to any port 22

Du kan også gi tilgang til MySQL-porten:

sudo ufw allow from 192.168.0.1 to any port 3306

Aktiver UFW

Før du aktiverer (eller starter på nytt) UFW, må du sørge for at SSH-porten har lov til å motta tilkoblinger fra IP-adressen din. For å starte/aktivere UFW-brannmuren, bruk følgende kommando:

sudo ufw enable

Du vil se følgende utgang:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Trykk på Yog deretter på for ENTERå aktivere brannmuren:

Firewall is active and enabled on system startup

Sjekk UFW-status

Skriv ut UFW-regellisten:

sudo ufw status

Du vil se utdata som ligner på følgende:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Bruk verboseparameteren for å se en mer detaljert statusrapport:

sudo ufw status verbose

Den utgangen vil ligne følgende:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Deaktiver/last inn/start UFW på nytt

Hvis du trenger å laste inn brannmurreglene på nytt, kjør følgende:

sudo ufw reload

For å deaktivere eller stoppe UFW:

sudo ufw disable

For å starte UFW på nytt, må du først deaktivere det, og deretter aktivere det igjen:

sudo ufw disable
sudo ufw enable

Merk: Før du aktiverer UFW, sørg for at SSH-porten er tillatt for IP-adressen din.

Fjerner regler

For å administrere UFW-reglene dine må du liste dem opp. Du kan gjøre det ved å sjekke UFW-status med parameteren numbered:

sudo ufw status numbered

Du vil se utdata som ligner på følgende:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Nå, for å fjerne noen av disse reglene, må du bruke disse tallene i hakeparentesene:

sudo ufw delete [number]

For å fjerne HTTPregelen, ( 80), bruk følgende kommando:

sudo ufw delete 1

Aktiverer IPv6-støtte

Hvis du bruker IPv6 på din VPS, må du sørge for at IPv6-støtte er aktivert i UFW. For å gjøre det, åpne konfigurasjonsfilen i et tekstredigeringsprogram:

sudo vi /etc/default/ufw

Når den er åpnet, sørg for at den IPV6er satt til "ja":

IPV6=yes

Etter å ha gjort denne endringen, lagre filen. Start deretter UFW på nytt ved å deaktivere og aktivere det på nytt:

sudo ufw disable
sudo ufw enable

Tilbake til standardinnstillinger

Hvis du trenger å gå tilbake til standardinnstillingene, skriver du bare inn følgende kommando. Dette vil tilbakestille alle endringene dine:

sudo ufw reset

Gratulerer, du har nettopp satt opp noen grunnleggende brannmurregler. For å lære noen flere eksempler, sjekk ut UFW - Community Help Wiki .