Phenquestions
Hinweis: für dieses Tutorial die Netzwerkschnittstelle enp2s0 und die IP-Adresse 192.168.0.2/7 wurden als Beispiel verwendet, ersetzen Sie sie durch die richtigen.
ufw installieren:
So installieren Sie ufw unter Debian-Ausführung:
apt installieren ufw
So aktivieren Sie den UFW-Lauf:
ufw aktivieren
So deaktivieren Sie die UFW-Ausführung:
ufw deaktivieren
Wenn Sie eine schnelle Überprüfung Ihres Firewall-Status durchführen möchten:
ufw-Status
Wo:
Status: informiert ob die Firewall aktiv ist.
Zu: zeigt den Port oder Dienst an
Aktion: zeigt die Richtlinie an
Von: zeigt die möglichen Traffic-Quellen an.
Wir können den Firewall-Status auch mit Ausführlichkeit überprüfen, indem wir Folgendes ausführen:
ufw-Status ausführlich
Dieser zweite Befehl zum Anzeigen des Firewall-Status zeigt auch die Standardrichtlinien und die Verkehrsrichtung an.
Zusätzlich zu informativen Bildschirmen mit „ufw status“ oder „ufw status verbose“ können wir alle Regeln nummeriert drucken, wenn es hilft, sie zu verwalten, wie Sie später sehen werden. Um eine nummerierte Liste Ihrer Firewall-Regeln zu erhalten, führen Sie Folgendes aus:
ufw-Status nummeriert
Wir können die UFW-Einstellungen jederzeit auf die Standardkonfiguration zurücksetzen, indem wir Folgendes ausführen:
ufw zurücksetzen
Beim Zurücksetzen von ufw-Regeln wird eine Bestätigung angefordert. Drücken Sie Ja bestätigen.
Kurze Einführung in Firewalls-Richtlinien:
Mit jeder Firewall können wir eine Standardrichtlinie festlegen, sensible Netzwerke können eine restriktive Richtlinie anwenden, was bedeutet, dass der gesamte Datenverkehr mit Ausnahme des ausdrücklich erlaubten verweigert oder blockiert wird. Im Gegensatz zu einer restriktiven Richtlinie akzeptiert eine permissive Firewall den gesamten Datenverkehr mit Ausnahme des speziell blockierten.
Wenn wir beispielsweise einen Webserver haben und dieser Server nicht mehr als eine einfache Website bedienen soll, können wir eine restriktive Richtlinie anwenden, die alle Ports außer den Ports 80 (http) und 443 (https) blockiert. Das wäre eine restriktive Richtlinie weil standardmäßig alle Ports blockiert sind, es sei denn, Sie entsperren einen bestimmten. Ein Beispiel für eine permissive Firewall wäre ein ungeschützter Server, bei dem wir nur den Login-Port blockieren, z. B. 443 und 22 für Plesk-Server als nur blockierte Ports. Zusätzlich können wir ufw verwenden, um die Weiterleitung zuzulassen oder zu verweigern.
Anwenden restriktiver und freizügiger Richtlinien mit ufw:
Um den gesamten eingehenden Datenverkehr standardmäßig mit ufw run einzuschränken:
ufw standardmäßig eingehende verweigern
Um das Gegenteil zu tun, um den gesamten eingehenden Datenverkehr zuzulassen:
ufw default eingehende zulassen
Um den gesamten ausgehenden Datenverkehr aus unserem Netzwerk zu blockieren, ist die Syntax ähnlich, um sie auszuführen:
Um den gesamten ausgehenden Datenverkehr zuzulassen, ersetzen wir einfach „verweigern" zum "ermöglichen“, um den ausgehenden Datenverkehr bedingungslos zuzulassen:
Wir können auch den Verkehr für bestimmte Netzwerkschnittstellen zulassen oder verweigern, wobei wir unterschiedliche Regeln für jede Schnittstelle beibehalten, um den gesamten eingehenden Verkehr von meiner Ethernet-Karte zu blockieren, die ich ausführen würde:
ufw verweigern enp2s0
Wo:
ufw= ruft das Programm auf
verweigern= definiert die Richtlinie
im= eingehender Verkehr
enp2s0= meine Ethernet-Schnittstelle
Jetzt werde ich eine restriktive Standardrichtlinie für eingehenden Datenverkehr anwenden und dann nur die Ports 80 und 22 zulassen:
ufw Standard Eingehend verweigernufw erlauben 22
ufw erlauben http
Wo:
Der erste Befehl blockiert den gesamten eingehenden Datenverkehr, während der zweite eingehende Verbindungen zu Port 22 und der dritte Befehl eingehende Verbindungen zu Port 80 zulässt. Beachten Sie, dass ufw ermöglicht es uns, den Dienst über seinen Standardport oder Dienstnamen aufzurufen. Wir können Verbindungen zu Port 22 oder ssh, Port 80 oder http akzeptieren oder verweigern.
Der Befehl "ufw-Status ausführlich“ zeigt das Ergebnis:
Der gesamte eingehende Datenverkehr wird verweigert, während die beiden von uns zugelassenen Dienste (22 und http) verfügbar sind.
Wenn wir eine bestimmte Regel entfernen möchten, können wir dies mit dem Parameter „löschen”. So entfernen Sie unsere letzte Regel, die eingehenden Datenverkehr zum Port http run erlaubt:
ufw löschen erlauben http
Lassen Sie uns überprüfen, ob die http-Dienste weiterhin verfügbar sind oder durch Ausführen blockiert werden ufw-Status ausführlich:
Der Port 80 taucht nicht mehr als Ausnahme auf, da der Port 22 der einzige ist.
Sie können eine Regel auch löschen, indem Sie einfach ihre numerische ID aufrufen, die durch den Befehl "ufw-Status nummeriert” bereits erwähnt, werde ich in diesem Fall die VERWEIGERN Richtlinie für eingehenden Datenverkehr zur Ethernet-Karte enp2s0:
ufw löschen 1
Es wird um Bestätigung gebeten und wird fortgesetzt, wenn es bestätigt wird.
Zusätzlich zu VERWEIGERN Wir können den Parameter verwenden ABLEHNEN die die andere Seite darüber informiert, dass die Verbindung abgelehnt wurde, um ABLEHNEN Verbindungen zu ssh können wir ausführen:
ufw ablehnen 22 
Wenn dann jemand versucht, auf unseren Port 22 zuzugreifen, wird er benachrichtigt, dass die Verbindung wie im Bild unten verweigert wurde.
Zu jedem Zeitpunkt können wir die hinzugefügten Regeln über die Standardkonfiguration überprüfen, indem wir Folgendes ausführen:
ufw-Show hinzugefügt
Wir können alle Verbindungen verweigern und gleichzeitig bestimmte IP-Adressen zulassen. Im folgenden Beispiel werde ich alle Verbindungen zu Port 22 ablehnen, mit Ausnahme der IP 192.168.0.2, die als einzige eine Verbindung herstellen kann:
ufw verweigern 22ufw erlauben ab 192.168.0.2
Wenn wir nun den ufw-Status überprüfen, sehen Sie, dass der gesamte eingehende Datenverkehr an Port 22 verweigert wird (Regel 1), während er für die angegebene IP-Adresse zulässig ist (Regel 2)
Wir können die Anmeldeversuche begrenzen, um Brute-Force-Angriffe zu verhindern, indem wir ein Limit festlegen, das ausgeführt wird:
ufw-Grenze ssh
Um dieses Tutorial zu beenden und die Großzügigkeit von ufw zu schätzen, erinnern wir uns daran, wie wir mit iptables den gesamten Datenverkehr außer einer einzelnen IP verweigern konnten:
iptables -A AUSGANG -d 192.168.0.2 -j AKZEPTIEREN
iptables -P INPUT DROP
iptables -P OUTPUT DROP
Das gleiche kann mit nur 3 kürzeren und einfachsten Zeilen mit ufw gemacht werden:
ufw standardmäßig eingehende verweigernufw Standard ausgehende verweigern
ufw erlauben ab 192.168.0.2
Ich hoffe, Sie fanden diese Einführung in ufw nützlich. Zögern Sie nicht, uns vor einer Anfrage zu UFW oder einer Linux-bezogenen Frage über unseren Support-Kanal unter https://support . zu kontaktieren.linuxhint.com.
Zum Thema passende Artikel
Iptables für Anfänger
Snort IDS konfigurieren und Regeln erstellen
