UFW oder unkomplizierte Firewall ist eine Anwendung zur Verwaltung einer iptables-basierten Firewall unter Ubuntu. UFW ist das Standard-Firewall-Konfigurationstool für Ubuntu Linux und bietet eine benutzerfreundliche Möglichkeit, die Firewall zu konfigurieren. Der UFW-Befehl ist genau wie die englische Sprache, sodass die Befehle leicht zu merken sind. Die UFW-Firewall unterstützt IPv4 und IPv6.
UFW bietet auch eine GUI-Anwendung, wenn Sie einen GNOME-Desktop verwenden, können Sie gufw installieren , oder wenn Sie einen KDE-Desktop verwenden, können Sie kcm-ufw installieren .
Voraussetzungen
- Ubuntu-Version zwischen 15.04 und 21.04. Neuere Ubuntu-Versionen sollten ebenfalls funktionieren.
- Root-Rechte
Was wird in diesem Tutorial behandelt?
- Installation von UFW.
- Die grundlegende UFW-Befehlssyntax.
- Der UFW Allow and Deny-Befehl.
- Erweiterte UFW-Befehle.
- Löschen einer Regel in UFW.
- UFW deaktivieren und zurücksetzen.
Installation von UFW
Standardmäßig sollte UFW bereits auf Ubuntu 20.04 installiert sein. Sie können dies mit dem Befehl testen:
which ufw
Wenn der Pfad zum Befehl nicht zurückgegeben wird, installieren Sie UFW mit dem folgenden apt-Befehl:
sudo apt-get install ufw
Verwenden Sie für die folgenden Befehle bitte sudo- oder Root-Rechte. Sie können Root-Benutzer werden mit dem Befehl:
sudo -s
Führen Sie dann den folgenden Befehl aus, um UFW zu aktivieren:
ufw enable
Ergebnis:
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
Der grundlegende UFW-Befehl
Der Befehl „ufw enable“ schaltet UFW mit den Standardregeln ein. Sie können überprüfen, ob UFW ausgeführt wird, indem Sie diesen Befehl ausgeben:
ufw status verbose
Ergebnis:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
Wenn Sie UFW deaktivieren oder ausschalten möchten, können Sie Folgendes verwenden:
ufw disable
Ergebnis:
Firewall stopped and disabled on system startup
Der UFW Allow and Deny-Befehl
1. UFW Allow-Befehl
UFW verweigert alle eingehenden Verbindungen, nachdem Sie es eingeschaltet haben. Das erste, was Sie tun sollten, ist also, den SSH-Zugriff für den Server zuzulassen, wenn Sie das System aus der Ferne verwalten möchten. Der Befehl "ufw allow sshport" Erlauben Sie den Zugriff über SSH, ersetzen Sie SSHPORT durch den Port des SSH-Dienstes, der Standard-SSH-Port ist 22.
ufw allow 22
Ergebnis:
Rules updated
Rules updated (v6) #For IPv6
Wenn Sie eingehende Verbindungen auf Port 22 nur für TCP zulassen möchten, fügen Sie am Ende des Befehls "/tcp hinzu " wie im folgenden Beispiel gezeigt.
ufw allow 22/tcp
Wenn der Dienst, dem Sie den Zugriff erlauben möchten, auf seinem Standardport lauscht, können Sie den Dienstnamen anstelle der Portnummer verwenden. Dies erleichtert das Öffnen des Ports, da Sie den Port möglicherweise nicht kennen. UFW wird dann für Sie die richtige Portnummer in /etc/services nachschlagen.
Dieser Befehl öffnet den Standard-SSH-Port:
ufw allow ssh
Prüfen Sie nun die Regel mit:
ufw status
2. UFW Deny-Befehl
Der „deny“-Befehl funktioniert ähnlich wie der „allow“-Befehl und wird verwendet, um einen Port in der Firewall zu schließen:
Mit Port-Option verweigern:
ufw deny 80
Ergebnis:
Rule added
Rule added (v6)
Beispiel für „deny“ mit Dienstname. In diesem Beispiel werde ich http port/80 blockieren:
ufw deny http
Hinweis:
Sie können alle Ports und ihre Dienstnamen in der Datei "/etc/services" sehen .
Erweiterte UFW-Befehle
Jetzt werden wir tiefer in die UFW-Befehlssyntax eintauchen, lernen, wie man Teilbereiche zulässt (z. B. für die passiven FTP-Ports und wie man den Zugriff nur von einer IP oder einem Subnetz erlaubt.
1. Portbereich zulassen
Sie können eine Reihe von Ports in UFW zulassen. Einige Dienste wie FTP oder IRC verwenden eine Reihe von Ports, um mit ihren Clients zu kommunizieren.
Für dieses Beispiel erlauben wir dem Portbereich, der von ircd auf meinem Server verwendet wird, den Bereich von Port 6660 bis 6670:
sudo ufw allow 6660:6670/tcp
sudo ufw allow 6660:6670/udp
Der Befehl lässt Verbindungen zu den Ports 6660-6670 über das TCP- und UDP-Protokoll zu.
2. Eine bestimmte IP-Adresse zulassen
Und Sie können eine bestimmte IP hinzufügen, um den Zugriff auf alle Dienste zu ermöglichen, indem Sie die Datei „von hinzufügen " Option. Dies ist z. B. nützlich, wenn Sie zu Hause oder im Büro eine statische IP haben und von dort aus den Zugriff auf alle Dienste auf Ihrem Server zulassen möchten. Der folgende Befehl ermöglicht der IP 192.168.1.106 den Zugriff auf alle Ports auf dem Server:
ufw allow from 192.168.1.106
Ergebnis:
Rule added
3. Subnetz zulassen
Wenn Sie alle IP-Adressen in Ihrem Subnetz zulassen möchten, können Sie das IP-Subnetz (Bereich von IP-Adressen) wie folgt zum UFW-Befehl hinzufügen:
ufw allow from 192.168.1.1/24
Ergebnis:
WARN: Rule changed after normalization
Rule added
4. Zugriff von einer bestimmten IP-Adresse auf einen Port zulassen
Wenn Sie den Zugriff auf einen Port nur von einer bestimmten IP aus zulassen möchten, können Sie die oben erlernten UFW-Befehle kombinieren.
Zum Beispiel nur IP 192.168.1.106 kann auf ssh-Port 22 zugreifen TCP und andere IP werden abgelehnt Von diesem Port aus können Sie den folgenden Befehl verwenden:
ufw allow from 192.168.1.106 proto tcp to any port 22
Ergebnis:
Rule added
5. Gesamten eingehenden Datenverkehr zu einem bestimmten Port zulassen
Wenn Sie den gesamten Datenverkehr auf Port 80 zulassen möchten, können Sie diesen Befehl verwenden:
ufw allow to any port 80
Löschen einer UFW-Firewallregel
In diesem Abschnitt erfahren Sie, wie Sie eine in UFW gespeicherte Regel löschen. Sie können die Schaltfläche "Löschen verwenden " Befehl zum Löschen der ufw-Regel. Bitte geben Sie den Befehl "ufw delete ein " und gefolgt von der Option, dass Sie gelöscht werden möchten, erlauben oder verweigern .
Hier sind einige Beispiele:
Löschen der SSH-Zulassungsregel mit dem Dienstnamen:
ufw delete allow ssh
Ergebnis:
Rule deleted
Rule deleted (v6)
Dieser Befehl löscht die Regel "ssh zulassen ". Seien Sie vorsichtig, sperren Sie sich nicht vom Server aus.
Löschen Sie die "Deny"-Regel auf Port 80:
ufw delete deny 80
Ergebnis:
Rule deleted
Rule deleted (v6)
Wenn Sie eine komplexe Regel haben, gibt es eine einfache Möglichkeit, die Regel anhand ihrer Regel-ID zu identifizieren und zu löschen. Führen Sie den folgenden Befehl aus, um eine Liste aller Regeln mit ihren IDs zu erhalten:
ufw status numbered
Ergebnis:
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 22/tcp (v6) ALLOW IN Anywhere (v6)
Löschen Sie nun die SSH-Regel für IPv6 nur mit der Nummer der Regel:
ufw delete 2
UFW deaktivieren und zurücksetzen
Wenn Sie UFW deaktivieren möchten, ohne Ihre Regeln zu löschen , können Sie "deaktivieren verwenden " Befehl:
ufw disable
Ergebnis:
Firewall stopped and disabled on system startup
Wenn Sie UFW vollständig deaktivieren und alle Regeln löschen möchten , können Sie "zurücksetzen verwenden " Befehl:
ufw reset
Ergebnis:
Resetting all rules to installed defaults. This may disrupt existing ssh
connections. Proceed with operation (y|n)? y
Backing up 'after6.rules' to '/etc/ufw/after6.rules.20150918_190351'
Backing up 'user.rules' to '/lib/ufw/user.rules.20150918_190351'
Backing up 'after.rules' to '/etc/ufw/after.rules.20150918_190351'
Backing up 'before.rules' to '/etc/ufw/before.rules.20150918_190351'
Backing up 'before6.rules' to '/etc/ufw/before6.rules.20150918_190351'
Backing up 'user6.rules' to '/lib/ufw/user6.rules.20150918_190351'
Schlussfolgerung
UFW (Uncomplicated Firewall) ist das Standard-Firewall-Konfigurationstool in Ubuntu. UFW-Befehle ähneln der englischen Sprache, wodurch sie einfach zu verwenden und zu merken sind. Dieses UFW-Tutorial ist ein Leitfaden für den Einstieg in dieses nette Firewall-Tool. Wenn Sie mehr über UFW wissen möchten, können Sie zum Ubuntu-Wiki oder zur ufw-Manpage gehen.