How to configure Firewall on Linux Mint (Ubuntu)
Sommario:
- Prerequisiti
- Installa UFW
- Controlla lo stato UFW
- Politiche predefinite UFW
- Profili applicativi
- Consenti connessioni SSH
- Abilita UFW
- Consenti connessioni su altre porte
- Apri la porta 80 - HTTP
- Apri la porta 443 - HTTPS
- Porta aperta 8080
- Consenti intervalli di porte
- Consenti indirizzi IP specifici
- Consenti indirizzi IP specifici su una porta specifica
- Consenti sottoreti
- Consenti connessioni a un'interfaccia di rete specifica
- Nega connessioni
- Elimina le regole UFW
- Disabilita UFW
- Ripristina UFW
- Conclusione
Un firewall correttamente configurato è uno degli aspetti più importanti della sicurezza generale del sistema. Per impostazione predefinita, Ubuntu viene fornito con uno strumento di configurazione del firewall chiamato UFW (Uncomplicated Firewall). UFW è un front-end intuitivo per la gestione delle regole del firewall di iptables e il suo obiettivo principale è quello di semplificare la gestione di iptables o come dice il nome senza complicazioni.
Prerequisiti
Prima di iniziare con questa esercitazione, assicurarsi di aver effettuato l'accesso al server con un account utente con privilegi sudo o con l'utente root. La migliore pratica è eseguire comandi amministrativi come utente sudo anziché root. Se non hai un utente sudo sul tuo sistema Ubuntu puoi crearne uno seguendo queste istruzioni.
Installa UFW
Firewall semplice dovrebbe essere installato di default in Ubuntu 18.04, ma se non è installato sul tuo sistema, puoi installare il pacchetto digitando:
Controlla lo stato UFW
Una volta completata l'installazione è possibile verificare lo stato di UFW con il seguente comando:
sudo ufw status verbose
UFW è disabilitato per impostazione predefinita. Se non hai mai attivato UFW prima, l'output sarà simile al seguente:
Status: inactive
Se UFW è attivato, l'output sarà simile al seguente:
Politiche predefinite UFW
Per impostazione predefinita, UFW bloccherà tutte le connessioni in entrata e consentirà tutte le connessioni in uscita. Ciò significa che chiunque tenti di accedere al proprio server non sarà in grado di connettersi se non si apre specificamente la porta, mentre tutte le applicazioni e i servizi in esecuzione sul server saranno in grado di accedere al mondo esterno.
Le politiche di default sono definite nel
/etc/default/ufw
e possono essere cambiate usando il
sudo ufw default
Le politiche del firewall sono la base per la creazione di regole più dettagliate e definite dall'utente. Nella maggior parte dei casi, i criteri predefiniti UFW iniziali sono un buon punto di partenza.
Profili applicativi
Quando si installa un pacchetto con il comando
apt
, verrà aggiunto un profilo dell'applicazione alla directory
/etc/ufw/applications.d
. Il profilo descrive il servizio e contiene le impostazioni UFW.
Puoi elencare tutti i profili delle applicazioni disponibili sul tuo server digitando:
sudo ufw app list
A seconda dei pacchetti installati sul tuo sistema, l'output sarà simile al seguente:
Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission
Per trovare ulteriori informazioni su un profilo specifico e regole incluse, utilizzare il comando seguente:
sudo ufw app info 'Nginx Full'
Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp
Come si può vedere dall'output sopra il profilo 'Nginx Full' si aprono le porte
80
e
443
.
Consenti connessioni SSH
Prima di abilitare il firewall UFW è necessario aggiungere una regola che consenta le connessioni SSH in entrata. Se ti stai connettendo al tuo server da una posizione remota, il che è quasi sempre il caso e abiliti il firewall UFW prima di consentire esplicitamente le connessioni SSH in arrivo, non sarai più in grado di connetterti al tuo server Ubuntu.
Per configurare il firewall UFW per consentire le connessioni SSH in entrata, digitare il comando seguente:
sudo ufw allow ssh
Rules updated Rules updated (v6)
Se hai cambiato la porta SSH in una porta personalizzata invece della porta 22, dovrai aprire quella porta.
Ad esempio, se il demone ssh è in ascolto sulla porta
4422
, è possibile utilizzare il comando seguente per consentire le connessioni su quella porta:
Abilita UFW
Ora che il firewall UFW è configurato per consentire connessioni SSH in entrata, possiamo abilitarlo digitando:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Sarai avvisato che l'attivazione del firewall potrebbe interrompere le connessioni ssh esistenti, basta digitare
y
e
Enter
.
Consenti connessioni su altre porte
A seconda delle applicazioni in esecuzione sul tuo server e delle tue esigenze specifiche dovrai anche consentire l'accesso in entrata ad alcune altre porte.
Di seguito ti mostreremo alcuni esempi su come consentire le connessioni in entrata ad alcuni dei servizi più comuni:
Apri la porta 80 - HTTP
Le connessioni HTTP possono essere consentite con il seguente comando:
sudo ufw allow
invece di http è possibile utilizzare il numero di porta, 80:
sudo ufw allow 80/tcp
oppure puoi utilizzare il profilo dell'applicazione, in questo caso 'Nginx
Apri la porta 443 - HTTPS
Le connessioni HTTP possono essere consentite con il seguente comando:
sudo ufw allow
Per ottenere lo stesso invece del profilo
https
è possibile utilizzare il numero di porta,
443
:
sudo ufw allow 443/tcp
oppure puoi utilizzare il profilo dell'applicazione, 'Nginx
Porta aperta 8080
Consenti intervalli di porte
Invece di consentire l'accesso a singole porte UFW ci consente di consentire l'accesso agli intervalli di porte. Quando si consentono intervalli di porte con UFW, è necessario specificare il protocollo,
tcp
o
udp
. Ad esempio, se si desidera consentire porte da
7100
a
7200
su
tcp
e
udp
eseguire il comando seguente:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Consenti indirizzi IP specifici
Per consentire l'accesso su tutte le porte dal tuo computer di casa con un indirizzo IP di 64.63.62.61, specifica
from
seguito dall'indirizzo IP che desideri inserire nella whitelist:
sudo ufw allow from 64.63.62.61
Consenti indirizzi IP specifici su una porta specifica
Per consentire l'accesso su una porta specifica, supponiamo che la porta 22 dalla tua macchina di lavoro con indirizzo IP 64.63.62.61, usi
to any port
seguita dal numero di porta:
sudo ufw allow from 64.63.62.61 to any port 22
Consenti sottoreti
Il comando per consentire la connessione a una sottorete di indirizzi IP è lo stesso di quando si utilizza un singolo indirizzo IP, l'unica differenza è che è necessario specificare la maschera di rete. Ad esempio, se si desidera consentire l'accesso per gli indirizzi IP che vanno da 192.168.1.1 a 192.168.1.254 alla porta 3360 (MySQL) è possibile utilizzare questo comando:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Consenti connessioni a un'interfaccia di rete specifica
Per consentire l'accesso su una porta specifica, supponiamo che la porta 3360 sia solo per l'interfaccia di rete specifica
eth2
, quindi è necessario specificare
allow in on
e il nome dell'interfaccia di rete:
sudo ufw allow in on eth2 to any port 3306
Nega connessioni
Il criterio predefinito per tutte le connessioni in entrata è impostato su
deny
e, se non è stato modificato, UFW bloccherà tutte le connessioni in entrata a meno che non si apra specificamente la connessione.
Supponiamo che tu abbia aperto le porte
80
e
443
e che il tuo server sia sotto attacco dalla rete
23.24.25.0/24
. Per negare tutte le connessioni da
23.24.25.0/24
è possibile utilizzare il seguente comando:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
La scrittura delle regole di negazione è la stessa della scrittura delle regole di autorizzazione, è sufficiente sostituire
allow
con
deny
.
Elimina le regole UFW
Esistono due modi diversi per eliminare le regole UFW, in base al numero della regola e specificando la regola effettiva.
L'eliminazione delle regole UFW in base al numero della regola è più semplice, soprattutto se non si conosce UFW. Per eliminare una regola in base a un numero di regola, prima devi trovare il numero della regola che desideri eliminare, puoi farlo con il seguente comando:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
Per eliminare la regola numero 3, la regola che consente le connessioni alla porta 8080, utilizzare il comando seguente:
sudo ufw delete 3
Il secondo metodo consiste nell'eliminare una regola specificando la regola effettiva, ad esempio se è stata aggiunta una regola per aprire la porta
8069
è possibile eliminarla con:
Disabilita UFW
Se per qualsiasi motivo desideri interrompere l'UFW e disattivare tutte le regole puoi utilizzare:
sudo ufw disable
In seguito, se si desidera riattivare UTF e attivare tutte le regole, digitare:
Ripristina UFW
Il ripristino di UFW disabiliterà UFW ed eliminerà tutte le regole attive. Ciò è utile se si desidera ripristinare tutte le modifiche e ricominciare da capo.
Per ripristinare UFW è sufficiente digitare il seguente comando:
Conclusione
Hai imparato come installare e configurare il firewall UFW sul tuo server Ubuntu 18.04. Assicurarsi di consentire tutte le connessioni in entrata necessarie per il corretto funzionamento del sistema, limitando al contempo tutte le connessioni non necessarie.
uww firewall iptables sicurezza di UbuntuCome elencare ed eliminare le regole del firewall ufw
UFW è l'acronimo di Uncomplicated Firewall ed è un frontend intuitivo per la gestione delle regole del firewall iptables (netfilter). In questo tutorial, tratteremo come elencare ed eliminare le regole del firewall UFW.
Come impostare un firewall con firewalld su centos 7
FirewallD è una soluzione firewall completa che gestisce le regole iptables del sistema e fornisce un'interfaccia D-Bus per operare su di esse. In questo tutorial, ti mostriamo come impostare un firewall con FirewallD sul tuo sistema CentOS 7 e ti spieghiamo i concetti di base di FirewallD.
Come impostare un firewall con ufw su debian 9
UFW (Uncomplicated Firewall) è un front-end intuitivo per la gestione delle regole del firewall di iptables e il suo obiettivo principale è quello di semplificare la gestione di iptables o come dice il nome senza complicazioni. In questo tutorial ti mostreremo come configurare un firewall con UFW su Debian 9.