Så här använder du brandväggen ufw i Ubuntu (Uncomplicated firewall)  

Postat av rancor under , ,

Senast förändrad 2009-10-21

Det finns ingen brandvägg som standard aktiverad i Ubuntu, inte ofta i några andra distributioner heller för den delen och det kan vara smart att aktivera en brandvägg för att ge ett grundläggande och extra skydd. Det är lätt gjort att man testar att installera någon LAMP-lösning för att labba lite och sedan glömmer man av att det faktiskt finns en Apache, MySQL och lite annat smått och gott som körs i bakgrunden på maskinen.


Krav
Denna guide förutsätter att du använder Ubuntu 8.04 eller senare. Programprofiler (Application profile commands) kräver 9.04 och egressfiltrering, filter per interface och bash autoavslutning kräver Ubuntu 9.10.

Kort om ufw (Uncomplicated Firewall)
ufw är ett mycket enkelt program för att administrera netfilter vilket är den brandväggsfunktionalitet som finns inbyggt i Linux kärna. Ufw kommunicerar inte direkt med netfilter utan går via iptables som är det normala gränssnittet mot netfilter men som normalt är relativt komplicerat att använda och därför skapades ufw som ett ramverk ovanpå iptables för att förenkla och göra brandväggskonfigurationer lättförståeliga för samtliga. Ufw administreras via konsolen eller genom att grafiskt gränssnitt som heter gufw

Få hjälp med ufw
För att få hjälp skriv "man ufw" Om man bara skriver ufw får man upp en grundläggande instruktion:

Usage: ufw COMMAND

Commands:
enable enables the firewall
disable disables the firewall
default ARG set default policy
logging LEVEL set logging to LEVEL
allow ARGS add allow rule
deny ARGS add deny rule
reject ARGS add reject rule
limit ARGS add limit rule
delete RULE delete RULE
insert NUM RULE insert RULE at NUM
status show firewall status
status numbered show firewall status as numbered list of RULES
status verbose show verbose firewall status
show ARG show firewall report
version display version information

Application profile commands:
app list list application profiles
app info PROFILE show information on PROFILE
app update PROFILE update PROFILE
app default ARG set default application policy

Grundläggande konfiguration
Blockera allt som standard
Detta exempel fungerar även om du fjärradministrerar din maskin eftersom vi kommer öppna för SSH innan vi aktiverar brandväggen.

En nyhet med den ufw 0.29 som följer med Ubuntu 9.10 är att man nu även kan filtrera utgående trafik. Man brukar kalla riktningen för utgående trafik för egress och inkommande trafik för ingress. Anger man ingen riktning så förutsätter ufw att man avser inkommande trafik alltså ingress-filtrering och utgående trafik är som standard alltid tillåten.

Börja med att blockera ALL trafik in till din dator.
# sudo ufw default deny
Default policy changed to 'deny'
(be sure to update you rules accordingly)

Nu kan inget komma igenom brandväggen. Om du t.ex. har en ssh-server för administration måste du nu öppna för tcp port 22.

Tillåt vissa portar/protokoll
Denna regel tillåter inkommande trafik på port 22, protokoll tcp
# sudo ufw allow 22/tcp
Rule added
Aktivera brandväggen
Sedan får man se till att brandväggen startas med datorn
# sudo ufw enable
Firewall started and enabled on system startup

Man måste inte starta om hela datorn för att aktivera ufw första gången då det går lika bra med en tvingande omladdning av ufw

För Ubuntu fram till 9.04 använder du följande kommando

# sudo /etc/init.d/ufw force-reload
* Stopping firewall: ufw...
* Starting firewall: ufw...
Om du använder Ubuntu 9.10 använder du följande kommando
# sudo service ufw start
Kontrollera att dina regler stämmer
Kontrollera sedan att dina regler finns på plats
# sudo ufw status
Status: loaded

To Action From
-- ------ ----
22:tcp ALLOW Anywhere

Testa gärna konfigurationen via någon hemsida som kan scanna din anslutning. Ett tips är ShildsUP! från Steve Gibson https://www.grc.com/x/ne.dll?bh0bkyd2


// rancor

Historik
2009-05-04: Första utgåvan
2009-10-21: Anpassat inlägget för Ubuntu 9.10

4 kommentarer

Snyggt.
Bra och enkel "kom-i-gång" inlägg om ett ofta glömt ämne...

Gillar speciellt din rekommendation om "default deny" som oftast är tvärt om :)

@Barre: Tack =), jag har postat den på ubuntu.se sedan tidigare men nu har det hänt lite med programprofiler så den behövde ändå uppdateras.

Brandväggar glöms ofta av i Linuxsammanhang vilket är lite konstigt. Användare har en ovana att installera alla möjliga program och vips har man något som går att fjärrstyra över Internet med standardinställningar utan att man vet om det.

// rancor

Anonym   säger 7 maj 2009 00:23

Där det står att läsa om ufw på ubuntus wiki, klargör de att netfilter/iptables är en brandvägg och ufw hjälper till att konfa den. Utmärkt artikel du skrivit!

Bra, provade gufw, då får man ett litet snyggt grafiskt fönster... Kanske lite användare vänligt?

Skicka en kommentar