Ubuntu Firewall Howto

Introdução

Ubuntu é um sistema operacional Linux bastante popular entre os administradores de servidor devido aos recursos avançados fornecidos com ele por padrão. Um desses recursos é o firewall, que é um sistema de segurança que monitora as conexões de rede de entrada e saída para tomar decisões de acordo com as regras de segurança predefinidas. Para definir tais regras, o firewall deve ser configurado antes de seu uso, e este guia demonstra como habilitar e configurar o firewall no Ubuntu com facilidade junto com outras dicas úteis na configuração do firewall.

Como habilitar o firewall

Por padrão, o Ubuntu vem com um firewall, conhecido como UFW (firewall não complicado), que é suficiente, junto com alguns outros pacotes de terceiros para proteger o servidor de ameaças externas. No entanto, como o firewall não está ativado, ele deve ser ativado antes de qualquer coisa. Use o seguinte comando para habilitar o UFW padrão no Ubuntu.

1. Em primeiro lugar, verifique o status atual do firewall para ter certeza de que ele está realmente desativado. Para obter o status detalhado, use-o junto com o comando verbose.
   sudo ufw status
   sudo ufw status verbose

2. Se estiver desabilitado, o seguinte comando habilita
   sudo ufw enable

3. Assim que o firewall estiver ativado, reinicie o sistema para que as alterações tenham efeito. O parâmetro r é usado para indicar que o comando é para reiniciar, o parâmetro now é para declarar que o reinício deve ser feito imediatamente, sem qualquer atraso.
   sudo shutdown -r now

Bloquear todos os tráfegos com firewall

UFW, por padrão, bloqueia / permite todos os tráfegos, a menos que seja substituído por portas específicas. Como visto nas imagens acima, o ufw bloqueia todos os tráfegos de entrada e permite todo o tráfego de saída. No entanto, com os comandos a seguir, todo o tráfego pode ser desativado sem quaisquer exceções. O que isso faz limpa todas as configurações UFW e nega o acesso de qualquer conexão.

          sudo ufw reset

          sudo ufw padrão negar entrada

          sudo ufw padrão negar saída

Como habilitar a porta para HTTP?

HTTP significa protocolo de transferência de hipertexto, que define como uma mensagem é formatada ao ser transmitida em qualquer rede, como a rede mundial, também conhecida como Internet. Como um navegador da web, por padrão, se conecta ao servidor da web por meio do protocolo HTTP para interagir com o conteúdo, a porta que pertence ao HTTP deve ser ativada. Além disso, se o servidor da web usa SSL / TLS (camada de soquete segura / segurança da camada de transporte), o HTTPS também deve ser permitido.

          sudo ufw permitir http

          sudo ufw allow https

Como habilitar a porta para SSH?

SSH significa Secure Shell, que é usado para conectar-se a um sistema em uma rede, geralmente na Internet; portanto, é amplamente usado para se conectar a servidores pela Internet a partir da máquina local. Uma vez que, por padrão, o Ubuntu bloqueia todas as conexões de entrada, incluindo SSH, ele deve ser habilitado para acessar o servidor pela Internet.

          sudo ufw permitir ssh

Se o SSH estiver configurado para usar uma porta diferente, o número da porta deve ser declarado explicitamente em vez do nome do perfil.

          sudo ufw allow 1024

Como habilitar a porta para TCP / UDP

TCP, também conhecido como protocolo de controle de transmissão, define como estabelecer e manter uma conversa de rede para que o aplicativo troque dados. Por padrão, um servidor da web usa o protocolo TCP; portanto, deve ser habilitado, mas felizmente habilitar uma porta também habilita a porta para TCP / UDP de uma vez. No entanto, se a porta específica se destina a permitir TCP ou UDP apenas, o protocolo deve ser especificado junto com o número da porta / nome do perfil.

          sudo ufw allow | deny portnumber | profilename / tcp / udp

          sudo ufw allow 21 / tcp

          sudo ufw deny 21 / udp

Como desabilitar completamente o firewall?

Às vezes, o firewall padrão deve ser desativado para testar a rede ou quando um firewall diferente for instalado. O seguinte comando desabilita completamente o firewall e permite todas as conexões de entrada e saída incondicionalmente. Isso não é aconselhável, a menos que as intenções acima mencionadas sejam os motivos para desativar. Desativar o firewall não redefine ou exclui suas configurações; portanto, ele pode ser ativado novamente com as configurações anteriores.

          sudo ufw desativar

Habilitar políticas padrão

As políticas padrão definem como um firewall responde a uma conexão quando nenhuma regra corresponde a ela, por exemplo, se o firewall permite todas as conexões de entrada por padrão, mas se a porta número 25 está bloqueada para conexões de entrada, o resto das portas ainda funcionam para conexões de entrada exceto o número da porta 25, pois substitui a conexão padrão. Os comandos a seguir negam conexões de entrada e permitem conexões de saída por padrão.

          sudo ufw padrão negar entrada

          sudo ufw padrão permitir saída

Habilitar intervalo de porta específico

O intervalo de portas especifica a quais portas a regra de firewall se aplica. O intervalo é declarado em startPort: endPort formato, é então seguido pelo protocolo de conexão que é obrigatório para indicar neste caso.

          sudo ufw allow 6000: 6010 / tcp

          sudo ufw allow 6000: 6010 / udp

Permitir / negar endereços / endereços IP específicos

Não apenas uma porta específica pode ser permitida ou negada para saída ou entrada, mas também um endereço IP. Quando o endereço IP é especificado na regra, qualquer solicitação deste IP em particular está sujeita apenas à regra especificada, por exemplo, no comando a seguir ele permite todas as solicitações de 67.205.171.204 endereço IP, então ele permite todas as solicitações de 67.205.171.204 para as portas 80 e 443, o que significa que qualquer dispositivo com este IP pode enviar solicitações bem-sucedidas ao servidor sem ser negado em um caso em que a regra padrão bloqueia todas as conexões de entrada. Isso é bastante útil para servidores privados que são usados ​​por uma única pessoa ou uma rede específica.

          sudo ufw permitir de 67.205.171.204

          sudo ufw permitir de 67.205.171.204 para qualquer porta 80

          sudo ufw permitir de 67.205.171.204 para qualquer porta 443

Habilitar registro

A funcionalidade de registro registra os detalhes técnicos de cada solicitação de e para o servidor. Isso é útil para fins de depuração; portanto, é recomendado ligá-lo.

          sudo ufw fazendo logon

Permitir / negar sub-rede específica

Quando um intervalo de endereços IP está envolvido, é difícil adicionar manualmente cada registro de endereço IP a uma regra de firewall para negar ou permitir e, portanto, os intervalos de endereços IP podem ser especificados na notação CIDR, que normalmente consiste no endereço IP e na quantidade de hosts que contém e IP de cada host.

No exemplo a seguir, ele usa os dois comandos a seguir. No primeiro exemplo, ele usa a máscara de rede / 24 e, portanto, a regra válida a partir de 192.168.1.1 a 192.168.1.254 endereços IP. No segundo exemplo, a mesma regra válida para a porta número 25 apenas. Portanto, se as solicitações de entrada são bloqueadas por padrão, agora os endereços IP mencionados têm permissão para enviar solicitações para a porta número 25 do servidor.

           sudo ufw permitir de 192.168.1.24/01

           sudo ufw permitir de 192.168.1.1/24 para qualquer porta 25

Excluir uma regra do firewall

As regras podem ser removidas do firewall. O primeiro comando a seguir alinha cada regra no firewall com um número e, em seguida, com o segundo comando, a regra pode ser excluída especificando o número pertencente à regra.

          status sudo ufw numerado

          sudo ufw delete 2

Redefinir a configuração do firewall

Finalmente, para reiniciar a configuração do firewall, use o seguinte comando. Isso é muito útil se o firewall começar a funcionar de maneira estranha ou se comportar de maneira inesperada.

          sudo ufw reset