Ubuntu

Installieren und Einrichten von UFW in Ubuntu 20.04 LTS

Installieren und Einrichten von UFW in Ubuntu 20.04 LTS
UFW oder Uncomplicated Firewall ist ein benutzerfreundliches Frontend für Linux iptables. UFW ist in Python geschrieben (unterstützt Python 3.5 und höher) und ist das aktuelle De-facto-Firewall-Management-Dienstprogramm in Ubuntu-Systemen. Dieses Dienstprogramm ist sehr benutzerfreundlich und fungiert als großartige hostbasierte Firewall.

Dieser Artikel zeigt Ihnen, wie Sie UFW auf Ihrem Ubuntu 20 installieren und verwenden.04 LTS-System.

Installation

UFW ist auf den meisten Ubuntu-Systemen vorinstalliert. Wenn Ihr Build dieses Programm noch nicht installiert hat, können Sie es entweder mit dem Snap- oder dem apt-Paketmanager installieren install.$ sudo snap install ufw

$ sudo apt install ufw

Ich persönlich bevorzuge dafür den apt-Paketmanager, da Snap weniger beliebt ist und ich diese zusätzliche Komplexität nicht haben möchte. Zum Zeitpunkt dieses Schreibens ist die für UFW veröffentlichte Version 0.36 für die 20.04 Veröffentlichung.

Eingehend vs. Ausgehender Verkehr

Wenn Sie ein Anfänger in der Welt des Netzwerks sind, müssen Sie zunächst den Unterschied zwischen eingehendem und ausgehendem Datenverkehr klären clarify.

Wenn Sie Updates mit apt-get installieren, im Internet surfen oder Ihre E-Mails abrufen, senden Sie „ausgehende“ Anfragen an Server wie Ubuntu, Google usw. Um auf diese Dienste zuzugreifen, benötigen Sie nicht einmal eine öffentliche IP. Normalerweise wird eine einzige öffentliche IP-Adresse beispielsweise für eine Heimbreitbandverbindung zugewiesen, und jedes Gerät erhält seine eigene private IP. Der Router verarbeitet dann den Datenverkehr mithilfe von NAT oder Network Address Translation.

Die Details zu NAT und privaten IP-Adressen würden den Rahmen dieses Artikels sprengen, aber das oben verlinkte Video ist ein ausgezeichneter Ausgangspunkt. Wenn Sie zu UFW zurückkehren, lässt UFW standardmäßig den gesamten regulären ausgehenden Webverkehr zu. Ihre Browser, Paketmanager und andere Programme wählen eine zufällige Portnummer - normalerweise eine Zahl über 3000 - und so kann jede Anwendung ihre Verbindung(en) verfolgen.

Wenn Sie Server in der Cloud betreiben, verfügen sie normalerweise über eine öffentliche IP-Adresse und die oben genannten Regeln zum Zulassen des ausgehenden Datenverkehrs gelten weiterhin still. Da Sie weiterhin Dienstprogramme wie Paketmanager verwenden, die als "Client" mit dem Rest der Welt kommunizieren, lässt UFW dies standardmäßig zu.

Der Spaß beginnt mit dem eingehenden Verkehr. Anwendungen, wie der OpenSSH-Server, mit dem Sie sich bei Ihrer VM anmelden, lauschen an bestimmten Ports (wie 22) auf eingehend Anfragen, wie auch andere Anwendungen. Webserver benötigen Zugriff auf die Ports 80 und 443.

Es ist Teil der Aufgabe einer Firewall, es bestimmten Anwendungen zu ermöglichen, bestimmten eingehenden Datenverkehr mitzuhören und gleichzeitig alle unnötigen zu blockieren. Möglicherweise ist auf Ihrer VM ein Datenbankserver installiert, der jedoch normalerweise nicht auf eingehende Anfragen an der Schnittstelle mit einer öffentlichen IP lauschen muss. Normalerweise hört es einfach auf der Loopback-Schnittstelle auf Anfragen interface.

Es gibt viele Bots im Web, die ständig Server mit gefälschten Anfragen bombardieren, um sich mit Brute Force einzudringen oder einen einfachen Denial-of-Service-Angriff durchzuführen. Eine gut konfigurierte Firewall sollte die meisten dieser Spielereien mithilfe von Plugins von Drittanbietern wie Fail2ban blockieren können.

Aber vorerst konzentrieren wir uns auf ein sehr grundlegendes Setup.

Grundlegende Verwendung

Nachdem Sie nun UFW auf Ihrem System installiert haben, werden wir uns einige grundlegende Verwendungen für dieses Programm ansehen. Da Firewall-Regeln systemweit angewendet werden, werden die folgenden Befehle als Root-Benutzer ausgeführt. Wenn Sie möchten, können Sie sudo mit den entsprechenden Berechtigungen für dieses Verfahren verwenden.

# ufw-Status
Status: inaktiv

Standardmäßig befindet sich UFW in einem inaktiven Zustand, was gut ist. Sie möchten nicht den gesamten eingehenden Datenverkehr auf Port 22 blockieren, dem Standard-SSH-Port. Wenn Sie über SSH an einem Remote-Server angemeldet sind und Port 22 blockieren, werden Sie vom Server ausgesperrt.

UFW macht es uns leicht, nur für OpenSSH ein Loch zu bohren. Führen Sie den folgenden Befehl aus:

[email protected]:~# ufw-App-Liste
Verfügbare Anwendungen:
OpenSSH

Beachten Sie, dass ich die Firewall immer noch nicht aktiviert habe. Wir werden nun OpenSSH zu unserer Liste der erlaubten Apps hinzufügen und dann die Firewall aktivieren. Geben Sie dazu die folgenden Befehle ein:

# ufw OpenSSH zulassen
Regeln aktualisiert
Regeln aktualisiert (v6)
#ufw aktivieren

Der Befehl kann bestehende SSH-Verbindungen unterbrechen. Weiter mit Operation (j|n)? ja.

Die Firewall ist jetzt aktiv und beim Systemstart aktiviert.

Herzlichen Glückwunsch, UFW ist jetzt aktiv und läuft. UFW erlaubt jetzt nur OpenSSH, eingehende Anfragen an Port 22 abzuhören. Um den Status Ihrer Firewall jederzeit zu überprüfen, führen Sie den folgenden Code aus:

# ufw-Status
Status: aktiv
Zur Aktion von
-- ------ ----
OpenSSH überall zulassen
OpenSSH (v6) Überall zulassen (v6)

Wie Sie sehen, kann OpenSSH jetzt Anfragen von überall im Internet empfangen, vorausgesetzt, es erreicht es auf Port 22. Die Zeile v6 zeigt an, dass die Regeln auch für IPv6 gelten.

Sie können natürlich bestimmte IP-Bereiche verbieten oder nur einen bestimmten IP-Bereich zulassen, abhängig von den Sicherheitsbeschränkungen, innerhalb derer Sie arbeiten.

Anwendungen hinzufügen

Für die gängigsten Anwendungen aktualisiert der Befehl ufw app list automatisch seine Richtlinienliste bei der Installation. Bei der Installation des Nginx-Webservers werden beispielsweise die folgenden neuen Optionen angezeigt:

# apt nginx installieren
# ufw-App-Liste
Verfügbare Anwendungen:
Nginx voll
Nginx-HTTP
Nginx-HTTPS
OpenSSH

Probieren Sie es aus und experimentieren Sie mit diesen Regeln. Beachten Sie, dass Sie Portnummern einfach zulassen können, anstatt darauf zu warten, dass das Profil einer Anwendung angezeigt wird. Um beispielsweise Port 443 für HTTPS-Datenverkehr zuzulassen, verwenden Sie einfach den folgenden Befehl:

#ufw erlauben 443
# ufw-Status
Status: aktiv
Zur Aktion von
-- ------ ----
OpenSSH überall zulassen
443 Überall ERLAUBEN
OpenSSH (v6) Überall zulassen (v6)
443 (v6) Überall ERLAUBEN (v6)

Fazit

Nachdem Sie nun die Grundlagen von UFW sortiert haben, können Sie andere leistungsstarke Firewall-Funktionen erkunden, angefangen beim Zulassen und Blockieren von IP-Bereichen range. Klare und sichere Firewall-Richtlinien sorgen dafür, dass Ihre Systeme sicher und geschützt sind.

Die 5 besten Ubuntu-Bildschirmrekorder für jeden Benutzer
Tools wie Bildschirmschreiber werden von normalen Computerbenutzern nicht verwendet, aber es gibt eine bestimmte Gruppe von Benutzern, deren Arbeit st...
So installieren und arbeiten Sie mit Xournal unter Ubuntu, um PDFs zu kommentieren und zu signieren
Einführung in Xournal Xournal ist eine Anwendung, die entwickelt wurde, um Notizen zu machen, Pläne zu machen oder ein Tagebuch zu führen, wie von den...
Installieren von Komodo IDE und Komodo Edit unter Ubuntu
Komodo IDE stammt von ActiveState, dem Unternehmen hinter der ActiveState Perl-, Python- und Ruby-Distribution. Komodo IDE unterstützt viele Programmi...