Configura Ubuntu Firewall (UFW) su Ubuntu 18.04

• Installa UFW
• Consenti connessioni
• Nega connessioni
• Consentire l'accesso da un indirizzo IP affidabile
• Abilita UFW
• Controlla lo stato UFW
• Disabilita / ricarica / riavvia UFW
• Rimozione delle regole
• Abilitazione del supporto IPv6
• Torna alle impostazioni predefinite

Installa UFW

UFW è installato di default in Ubuntu 18.04, ma puoi verificarlo:

which ufw

Dovresti ricevere il seguente output:

/usr/sbin/ufw

Se non ricevi output, significa che UFW non è installato. Puoi installarlo tu stesso in questo caso:

sudo apt-get install ufw

Consenti connessioni

Se stai gestendo un server web, vuoi che il mondo sia in grado di accedere ai tuoi siti Web. Pertanto, è necessario assicurarsi che le porte TCP predefinite per il Web siano aperte.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

In generale, puoi consentire qualsiasi porta di cui hai bisogno utilizzando il seguente formato:

sudo ufw allow <port>/<optional: protocol>

Nega connessioni

Se è necessario negare l'accesso a una determinata porta, utilizzare il denycomando:

sudo ufw deny <port>/<optional: protocol>

Ad esempio, puoi negare l'accesso alla tua porta MySQL predefinita:

sudo ufw deny 3306

UFW supporta anche una sintassi semplificata per le porte di servizio più comuni:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Si consiglia vivamente di limitare l'accesso alla porta SSH, (per impostazione predefinita, si tratta della porta 22), da qualsiasi luogo tranne gli indirizzi IP affidabili.

Consentire l'accesso da un indirizzo IP affidabile

In genere, è necessario consentire l'accesso solo alle porte aperte pubblicamente, ad esempio la porta 80. L'accesso a tutte le altre porte dovrebbe essere limitato o limitato. Puoi autorizzare il tuo indirizzo IP di casa o dell'ufficio, (preferibilmente un IP statico), per poter accedere al tuo server tramite SSH o FTP:

sudo ufw allow from 192.168.0.1 to any port 22

Puoi anche consentire l'accesso alla porta MySQL:

sudo ufw allow from 192.168.0.1 to any port 3306

Abilita UFW

Prima di abilitare (o riavviare) UFW, è necessario assicurarsi che alla porta SSH sia consentito ricevere connessioni dal proprio indirizzo IP. Per avviare / abilitare il firewall UFW, utilizzare il comando seguente:

sudo ufw enable

Vedrai il seguente output:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Premere Y, quindi premere ENTERper abilitare il firewall:

Firewall is active and enabled on system startup

Controlla lo stato UFW

Stampa l'elenco delle regole UFW:

sudo ufw status

Vedrai un output simile al seguente:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Utilizzare il verboseparametro per visualizzare un rapporto sullo stato più dettagliato:

sudo ufw status verbose

Tale output sarà simile al seguente:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Disabilita / ricarica / riavvia UFW

Se è necessario ricaricare le regole del firewall, eseguire quanto segue:

sudo ufw reload

Per disabilitare o interrompere UFW:

sudo ufw disable

Per riavviare UFW, devi prima disabilitarlo, quindi abilitarlo di nuovo:

sudo ufw disable
sudo ufw enable

Nota: prima di abilitare UFW, assicurarsi che la porta SSH sia consentita per il proprio indirizzo IP.

Rimozione delle regole

Per gestire le tue regole UFW, devi elencarle. Puoi farlo controllando lo stato UFW con il parametro numbered:

sudo ufw status numbered

Vedrai un output simile al seguente:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Ora, per rimuovere una di queste regole, dovrai usare questi numeri tra parentesi quadre:

sudo ufw delete [number]

Per rimuovere la HTTPregola, ( 80), utilizzare il comando seguente:

sudo ufw delete 1

Abilitazione del supporto IPv6

Se usi IPv6 sul tuo VPS, devi assicurarti che il supporto IPv6 sia abilitato in UFW. Per fare ciò, apri il file di configurazione in un editor di testo:

sudo vi /etc/default/ufw

Una volta aperto, assicurarsi che IPV6sia impostato su "Sì":

IPV6=yes

Dopo aver apportato questa modifica, salvare il file. Quindi, riavvia UFW disabilitandolo e riattivandolo:

sudo ufw disable
sudo ufw enable

Torna alle impostazioni predefinite

Se devi tornare alle impostazioni predefinite, digita semplicemente il seguente comando. Questo ripristinerà qualsiasi tua modifica:

sudo ufw reset

Congratulazioni, hai appena impostato alcune regole di base del firewall. Per saperne di più esempi, consulta l' UFW - Community Help Wiki .