Installa UFW
UFW è installato di default in Ubuntu 18.04, ma puoi verificarlo:
which ufw
Dovresti ricevere il seguente output:
/usr/sbin/ufw
Se non ricevi output, significa che UFW non è installato. Puoi installarlo tu stesso in questo caso:
sudo apt-get install ufw
Consenti connessioni
Se stai gestendo un server web, vuoi che il mondo sia in grado di accedere ai tuoi siti Web. Pertanto, è necessario assicurarsi che le porte TCP predefinite per il Web siano aperte.
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
In generale, puoi consentire qualsiasi porta di cui hai bisogno utilizzando il seguente formato:
sudo ufw allow <port>/<optional: protocol>
Nega connessioni
Se è necessario negare l'accesso a una determinata porta, utilizzare il deny
comando:
sudo ufw deny <port>/<optional: protocol>
Ad esempio, puoi negare l'accesso alla tua porta MySQL predefinita:
sudo ufw deny 3306
UFW supporta anche una sintassi semplificata per le porte di servizio più comuni:
root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)
Si consiglia vivamente di limitare l'accesso alla porta SSH, (per impostazione predefinita, si tratta della porta 22
), da qualsiasi luogo tranne gli indirizzi IP affidabili.
Consentire l'accesso da un indirizzo IP affidabile
In genere, è necessario consentire l'accesso solo alle porte aperte pubblicamente, ad esempio la porta 80
. L'accesso a tutte le altre porte dovrebbe essere limitato o limitato. Puoi autorizzare il tuo indirizzo IP di casa o dell'ufficio, (preferibilmente un IP statico), per poter accedere al tuo server tramite SSH o FTP:
sudo ufw allow from 192.168.0.1 to any port 22
Puoi anche consentire l'accesso alla porta MySQL:
sudo ufw allow from 192.168.0.1 to any port 3306
Abilita UFW
Prima di abilitare (o riavviare) UFW, è necessario assicurarsi che alla porta SSH sia consentito ricevere connessioni dal proprio indirizzo IP. Per avviare / abilitare il firewall UFW, utilizzare il comando seguente:
sudo ufw enable
Vedrai il seguente output:
root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?
Premere Y, quindi premere ENTERper abilitare il firewall:
Firewall is active and enabled on system startup
Controlla lo stato UFW
Stampa l'elenco delle regole UFW:
sudo ufw status
Vedrai un output simile al seguente:
Status: active
To Action From
-- ------ ----
80/tcp DENY Anywhere
443/tcp DENY Anywhere
3306 DENY Anywhere
22 ALLOW 192.168.0.1
3306 ALLOW 192.168.0.1
80/tcp (v6) DENY Anywhere (v6)
443/tcp (v6) DENY Anywhere (v6)
3306 (v6) DENY Anywhere (v6)
Utilizzare il verbose
parametro per visualizzare un rapporto sullo stato più dettagliato:
sudo ufw status verbose
Tale output sarà simile al seguente:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
80/tcp DENY IN Anywhere
443/tcp DENY IN Anywhere
3306 DENY IN Anywhere
22 ALLOW IN 192.168.0.1
3306 ALLOW IN 192.168.0.1
80/tcp (v6) DENY IN Anywhere (v6)
443/tcp (v6) DENY IN Anywhere (v6)
3306 (v6) DENY IN Anywhere (v6)
Disabilita / ricarica / riavvia UFW
Se è necessario ricaricare le regole del firewall, eseguire quanto segue:
sudo ufw reload
Per disabilitare o interrompere UFW:
sudo ufw disable
Per riavviare UFW, devi prima disabilitarlo, quindi abilitarlo di nuovo:
sudo ufw disable
sudo ufw enable
Nota: prima di abilitare UFW, assicurarsi che la porta SSH sia consentita per il proprio indirizzo IP.
Rimozione delle regole
Per gestire le tue regole UFW, devi elencarle. Puoi farlo controllando lo stato UFW con il parametro numbered
:
sudo ufw status numbered
Vedrai un output simile al seguente:
Status: active
To Action From
-- ------ ----
[ 1] 80/tcp DENY IN Anywhere
[ 2] 443/tcp DENY IN Anywhere
[ 3] 3306 DENY IN Anywhere
[ 4] 22 ALLOW IN 192.168.0.1
[ 5] 3306 ALLOW IN 192.168.0.1
[ 6] 80/tcp (v6) DENY IN Anywhere (v6)
[ 7] 443/tcp (v6) DENY IN Anywhere (v6)
[ 8] 3306 (v6) DENY IN Anywhere (v6)
Ora, per rimuovere una di queste regole, dovrai usare questi numeri tra parentesi quadre:
sudo ufw delete [number]
Per rimuovere la HTTP
regola, ( 80
), utilizzare il comando seguente:
sudo ufw delete 1
Abilitazione del supporto IPv6
Se usi IPv6 sul tuo VPS, devi assicurarti che il supporto IPv6 sia abilitato in UFW. Per fare ciò, apri il file di configurazione in un editor di testo:
sudo vi /etc/default/ufw
Una volta aperto, assicurarsi che IPV6
sia impostato su "Sì":
IPV6=yes
Dopo aver apportato questa modifica, salvare il file. Quindi, riavvia UFW disabilitandolo e riattivandolo:
sudo ufw disable
sudo ufw enable
Torna alle impostazioni predefinite
Se devi tornare alle impostazioni predefinite, digita semplicemente il seguente comando. Questo ripristinerà qualsiasi tua modifica:
sudo ufw reset
Congratulazioni, hai appena impostato alcune regole di base del firewall. Per saperne di più esempi, consulta l' UFW - Community Help Wiki .