Die unkomplizierte Firewall (UFW) bietet eine benutzerfreundliche Oberfläche für Personen, die mit Firewall-Konzepten nicht vertraut sind. Es bietet ein Framework zum Verwalten von Netfilter sowie die Befehlszeilenschnittstelle zum Manipulieren der Firewall. Mit seinem kleinen Befehlssatz und einfachen englischen Parametern macht UFW es schnell und einfach, Firewall-Regeln zu verstehen und einzurichten. Gleichzeitig können Sie mit UFW die meisten Regeln konfigurieren, die mit iptables möglich sind. UFW ist bei allen Ubuntu-Installationen nach Version 8.04 LTS vorinstalliert.
Befolgen Sie diese Schritte, um das Netzwerk mit einer unkomplizierten Firewall zu sichern:
1. UFW ist auf den meisten Systemen vorinstalliert. Wenn es nicht installiert ist, erhalten Sie möglicherweise den folgenden Fehler:
ufw: command not found
2. Wenn dies nicht der Fall ist, können Sie es mit dem folgenden Befehl gemäß Ihrer Distributionswahl installieren:
| Verteilung | Befehl |
|---|---|
| Debian | apt-get install ufw |
| Ubuntu | apt-get install ufw |
| Arch Linux | pacman -S ufw |
| Kali-Linux | apt-get install ufw |
| Fedora | dnf install ufw |
| Raspbian | apt-get install ufw |
Nehmen wir ein Beispiel für ein Ubuntu-System:
$ sudo apt-get udpate $ sudo apt-get install UFW
3. Überprüfen Sie den Status von UFW:
$ sudo ufw status
4. Fügen Sie eine neue Regel hinzu, um SSH zuzulassen:
$ sudo ufw allow ssh
5. Alternativ können Sie eine Portnummer verwenden, um einen bestimmten Port zu öffnen:
$ sudo ufw allow 22
6. Nur TCP-Datenverkehr über HTTP (Port 80) zulassen:
$ sudo ufw allow http/tcp
7. Eingehenden FTP-Verkehr verweigern:
$ sudo ufw deny ftp
8. Überprüfen Sie alle hinzugefügten Regeln, bevor Sie die Firewall starten:
$ sudo ufw show added
9. Aktivieren Sie nun die Firewall:
$ sudo ufw enable
10. Überprüfen Sie den ufw-Status, der Verbose-Parameter ist optional:
$ sudo ufw status verbose
Beispiele für ufw-Befehle
1. Aktivieren Sie ufw:
# ufw enable
2. Deaktivieren Sie ufw:
# ufw disable
3. ufw-Regeln zusammen mit ihren Nummern anzeigen:
# ufw status numbered
4. Erlauben Sie eingehenden Datenverkehr auf Port 5432 auf diesem Host mit einem Kommentar, der den Dienst identifiziert:
# ufw allow 5432 comment "Service"
5. Lassen Sie nur TCP-Verkehr von 192.168.0.4 zu allen Adressen auf diesem Host auf Port 22 zu:
# ufw allow proto tcp from 192.168.0.4 to any port 22
6. Verkehr auf Port 80 auf diesem Host verweigern:
# ufw deny 80
7. Verweigern Sie den gesamten UDP-Verkehr zu Ports im Bereich 8412:8500:
# ufw deny proto udp from any to any port 8412:8500
8. Löschen Sie eine bestimmte Regel. Die Regelnummer kann mit dem Befehl `ufw status numbered` abgerufen werden:
# ufw delete rule_number
9. Erhalten Sie eine nummerierte Liste der hinzugefügten Regeln:
$ sudo ufw status numbered
10. Sie können auch alle Ports in einem Bereich zulassen, indem Sie einen Portbereich angeben:
$ sudo ufw allow 1050:5000/tcp
11. Wenn Sie alle Ports für eine bestimmte IP-Adresse öffnen möchten, verwenden Sie den folgenden Befehl:
$ sudo ufw allow from 10.0.2.100
Alternativ können Sie wie folgt ein ganzes Subnetz zulassen:
$ sudo ufw allow from 10.0.2.0/24
12. Sie können auch einen bestimmten Port für eine bestimmte IP-Adresse zulassen oder verweigern:
$ sudo ufw allow from 10.0.2.100 to any port 2222 $ sudo ufw deny from 10.0.2.100 to any port 5223
13. Um ein Protokoll in der vorhergehenden Regel anzugeben, verwenden Sie den folgenden Befehl:
$ sudo ufw deny from 10.0.2.100 proto tcp to any port 5223
14. Regeln löschen:
$ sudo ufw delete allow ftp
15. Löschen Sie Regeln, indem Sie ihre Nummern angeben:
$ sudo ufw status numbered $ sudo ufw delete 2
16. Fügen Sie eine neue Regel unter einer bestimmten Nummer hinzu:
$ sudo ufw insert 1 allow 5222/tcp # Inserts a rule at number 1
17. Wenn Sie ausgehende FTP-Verbindungen ablehnen möchten, können Sie den folgenden Befehl verwenden:
$ sudo ufw reject out ftp