Knowledgebase

Aveti intrebari? Sunteti in locul potrivit!

Configurarea Ubuntu Firewall (UFW) pe Ubuntu 18.04

Instalarea  UFW

UFW  este instalat in mod implicit pe  Ubuntu 18.04, dar puteti verifica utilizand urmatoarea comanda:

which ufw

Ar trebui sa aveti afisat urmatorul output:

/usr/sbin/ufw

Daca nu este afisat output-ul de mai sus este necesar sa instalat  UFW . Puteti efectua acest lucru utilizand comanda de mai jos :

sudo apt-get install ufw

Permiteti conexiuni

In cazul in care rulati un web server,  doriti ca utilizatorii sa poate accesa site-urile gazduite. In acest caz, este necesar sa va asigurati ca porturile implicite TCP sunt deschise.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

In general, puteti deschide mai multe porturi folosind formatul de mai jos :

sudo ufw allow <port>/<optional: protocol>

Blocare anumitor conexiuni:

In cazul in care doriti sa blocati un anume port utilizati comanda  deny :

sudo ufw deny <port>/<optional: protocol>

De exemplu,  puteti bloca portul implicit  MySQL:

sudo ufw deny 3306

UFW suporta de asemenea sintaxe simplificate pentru majoritatea porturilor utilizate de servicii :

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Este recomandat sa restrictionati accesul la portul SSH pentru alte IP-ul exceptand IP-ul dvs.  (implicit portul este  22), .

Permiteti accesul doar pentru IP-uri trusted

Ar trebui sa permiteti accesul doar pe porturi publice, ex  port 80. Accesul la alte porturi ar trebui sa fie restrictionat sau limitat. Puteti adauga intr-un whitelist IP-ul dvs. de acasa sau de la birou, este preferabil sa utilizati IP-uri statitce pentru accesarea serverului utilizand SSH sau FTP:

sudo ufw allow from 192.168.0.1 to any port 22

Puteti permite si accesul la portul  MySQL:

sudo ufw allow from 192.168.0.1 to any port 3306

Activat UFW

Inainte de a activa sau reporni  UFW,  este nesar sa va asigurati ca portul SSH permite conexiuni de la adresa dvs.  IP address. Pentru activarea/pornirea firewall-ului UFW utilizati urmatoarea comanda:

sudo ufw enable

Se va afiasa urmatorul output:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Apasati Y,apoi apasati ENTER pentru activarea firewall-ului:

Firewall is active and enabled on system startup

Verificati statusul UFW

Printati lista de reguli UFW :

sudo ufw status

Se va afisa un output de forma:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Utilizati parametrul verbose pentru un raport mai detaliat:

sudo ufw status verbose

Output-ul va fi de forma

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Disable/reload/restart UFW

In cazul in care doriti sa reincarcati lista de reguli in firewall executati urmatoarea comanda:

sudo ufw reload

Pentru a dezactiva sau opri  UFW:

sudo ufw disable

Restartarea  UFW, este necesar sa-l dezactivati apoi sa-l reactivati:

sudo ufw disable
sudo ufw enable

Eliminarea de reguli

Pentru administrarea regulilor UFW,  este necesar ca in prima faza sa le listatati .  Puteti realiza acest lucru verifican statusul UFW utilizand parametrul numbered:

sudo ufw status numbered

Aveti un output de forma:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Acum, puteti elimina regulile dorite , este necesar sa utilizati numerele din parantezele patrate  :

sudo ufw delete [number]

Spre exemplu pentru a elimina regula  HTTP , (80),  utilizati urmatoarea comanda :

sudo ufw delete 1

Activarea suportului pentru  IPv6

In cazul in care folositi IP-uri IPv6 pentru serverul dvs.  VPS,  este necesar sa va asigurat ca aveti activat suportul pentru  IPv6 in UFW.  Pentru a realiza acest lucru, deschideti fisierul de configurare intr-un editor text :

sudo vi /etc/default/ufw

Odata deschis, trebui sa va asigurati ca IPV6 este setat  „yes”:

IPV6=yes

Dupa ce ati efectuat modificarile, salvati fisierul.  Apoi, restartati  UFW :

sudo ufw disable
sudo ufw enable

Cum reveniti la setarile default:

In cazul in care doriti sa reveniti la setarile implicite, puteti utiliza comanda de mai jos:

sudo ufw reset