Phenquestions
introduzione
Ubuntu è un sistema operativo Linux molto popolare tra gli amministratori di server grazie alle funzionalità avanzate fornite con esso per impostazione predefinita. Una di queste funzionalità è il firewall, che è un sistema di sicurezza che monitora le connessioni di rete sia in entrata che in uscita per prendere decisioni in base alle regole di sicurezza predefinite. Per definire tali regole, il firewall deve essere configurato prima del suo utilizzo e questa guida mostra come abilitare e configurare il firewall in Ubuntu con facilità insieme ad altri suggerimenti utili nella configurazione del firewall.
Come abilitare il firewall
Per impostazione predefinita, Ubuntu viene fornito con un firewall, noto come UFW (firewall non complicato), che è sufficiente, insieme ad altri pacchetti di terze parti per proteggere il server da minacce esterne. Tuttavia, poiché il firewall non è abilitato, deve essere abilitato prima di qualsiasi cosa. Usa il seguente comando per abilitare l'UFW predefinito in Ubuntu.
- Prima di tutto, controlla lo stato attuale del firewall per assicurarti che sia davvero disabilitato. Per ottenere lo stato dettagliato, usalo insieme al comando dettagliato.
sudo ufw status
sudo ufw status verbose
- Se è disabilitato, il seguente comando lo abilita
sudo ufw enable
- Una volta abilitato il firewall, riavviare il sistema per rendere effettive le modifiche. Il parametro r viene utilizzato per indicare che il comando è per il riavvio, il parametro now è per indicare che il riavvio deve essere eseguito immediatamente senza alcun ritardo.
sudo shutdown -r now
Blocca tutto il traffico con Firewall
UFW, per impostazione predefinita blocca/consenti tutti i traffici a meno che non venga sovrascritto con porte specifiche. Come visto nelle schermate sopra, ufw blocca tutti i traffici in entrata e consente tutto il traffico in uscita. Tuttavia, con i seguenti comandi tutto il traffico può essere disabilitato senza eccezioni. Ciò che fa cancella tutte le configurazioni UFW e nega l'accesso da qualsiasi connessione.
sudo ufw reset
sudo ufw default nega in arrivo
sudo ufw default nega in uscita
Come abilitare la porta per HTTP?
HTTP è l'acronimo di protocollo di trasferimento ipertestuale, che definisce come viene formattato un messaggio durante la trasmissione su qualsiasi rete, come la rete mondiale alias Internet. Poiché un browser Web, per impostazione predefinita, si connette al server Web tramite protocollo HTTP per interagire con i contenuti, la porta che appartiene a HTTP deve essere abilitata. Inoltre, se il server Web utilizza SSL/TLS (Secured Socket Layer/Transport Layer Security), anche HTTPS deve essere consentito.
sudo ufw consenti http
sudo ufw allow https
Come abilitare la porta per SSH?
SSH è l'acronimo di Secure Shell, utilizzato per connettersi a un sistema su una rete, in genere su Internet; quindi, è ampiamente utilizzato per connettersi ai server su Internet dalla macchina locale. Poiché, per impostazione predefinita, Ubuntu blocca tutte le connessioni in entrata, incluso SSH, deve essere abilitato per accedere al server su Internet.
sudo ufw consenti ssh
Se SSH è configurato per utilizzare una porta diversa, il numero di porta deve essere indicato esplicitamente invece del nome del profilo profile.
sudo ufw consenti 1024
Come abilitare la porta per TCP/UDP
TCP, noto anche come protocollo di controllo della trasmissione, definisce come stabilire e mantenere una conversazione di rete affinché l'applicazione possa scambiare dati. Per impostazione predefinita, un server Web utilizza il protocollo TCP; quindi, deve essere abilitato, ma fortunatamente abilitare una porta abilita anche la porta per entrambi TCP/UDP contemporaneamente. Tuttavia, se la porta specifica deve essere abilitata solo per TCP o UDP, allora il protocollo deve essere specificato insieme al numero di porta/nome del profilo.
sudo ufw allow|deny portnumber|profilename/tcp/udp
sudo ufw allow 21/tcp
sudo ufw nega 21/udp
Come disabilitare completamente il firewall?
A volte il firewall predefinito deve essere disabilitato per testare la rete o quando si intende installare un firewall diverso. Il seguente comando disabilita completamente il firewall e consente incondizionatamente tutte le connessioni in entrata e in uscita. Ciò non è consigliabile a meno che le predette intenzioni non siano le ragioni della disabilitazione. La disabilitazione del firewall non ripristina né elimina le sue configurazioni; quindi, può essere nuovamente abilitato con le impostazioni precedenti.
sudo ufw disabilita
Abilita criteri predefiniti
I criteri predefiniti indicano come un firewall risponde a una connessione quando nessuna regola corrisponde, ad esempio se il firewall consente tutte le connessioni in entrata per impostazione predefinita, ma se il numero di porta 25 è bloccato per le connessioni in entrata, il resto delle porte funziona ancora per le connessioni in entrata tranne il numero di porta 25, poiché sovrascrive la connessione predefinita. I seguenti comandi negano le connessioni in entrata e consentono le connessioni in uscita per impostazione predefinita.
sudo ufw default nega in arrivo
sudo ufw default allow outgoing
Abilita intervallo di porte specifico
L'intervallo di porte specifica a quali porte si applica la regola del firewall. L'intervallo è indicato in startPort:endPort formato, è quindi seguito dal protocollo di connessione che è obbligato a dichiarare in questo caso.
sudo ufw allow 6000:6010/tcp
sudo ufw allow 6000:6010/udp
Consenti/Nega indirizzi IP/indirizzi specifici
Non solo una porta specifica può essere consentita o negata sia in uscita che in entrata, ma anche un indirizzo IP. Quando l'indirizzo IP è specificato nella regola, qualsiasi richiesta da questo particolare IP è soggetta alla regola appena specificata, ad esempio nel seguente comando consente tutte le richieste da 67.205.171.204 indirizzo IP, quindi consente tutte le richieste da 67.205.171.204 a entrambe le porte 80 e 443, ciò significa che qualsiasi dispositivo con questo IP può inviare richieste riuscite al server senza essere negato nel caso in cui la regola predefinita blocchi tutte le connessioni in entrata. Questo è abbastanza utile per i server privati utilizzati da una singola persona o da una rete specifica.
sudo ufw consenti da 67.205.171.204
sudo ufw consenti da 67.205.171.204 a qualsiasi porta 80
sudo ufw consenti da 67.205.171.204 a qualsiasi porta 443
Abilita registrazione
La funzionalità di registrazione registra i dettagli tecnici di ogni richiesta da e verso il server. Questo è utile per scopi di debug; quindi si consiglia di accenderlo.
sudo ufw accesso
Consenti/Nega sottorete specifica
Quando è coinvolto un intervallo di indirizzi IP, è difficile aggiungere manualmente ogni record di indirizzo IP a una regola del firewall per negare o consentire, e quindi gli intervalli di indirizzi IP possono essere specificati nella notazione CIDR, che in genere consiste nell'indirizzo IP e la quantità di host che contiene e IP di ogni host.
Nell'esempio seguente utilizza i seguenti due comandi. Nel primo esempio usa /24 netmask, e quindi la regola valida da 192.168.1.da 1 a 192.168.1.254 indirizzi IP. Nel secondo esempio la stessa regola vale solo per la porta numero 25. Quindi, se le richieste in entrata sono bloccate per impostazione predefinita, ora gli indirizzi IP menzionati possono inviare richieste alla porta numero 25 del server.
sudo ufw consenti da 192.168.1.1/24
sudo ufw consenti da 192.168.1.1/24 a qualsiasi porta 25
Elimina una regola dal firewall
Le regole possono essere rimosse dal firewall. Il seguente primo comando allinea ogni regola nel firewall con un numero, poi con il secondo comando la regola può essere cancellata specificando il numero appartenente alla regola.
sudo ufw status numerato
sudo ufw delete 2
Ripristina configurazione firewall
Infine, per ricominciare la configurazione del firewall, usa il seguente comando. Questo è molto utile se il firewall inizia a funzionare in modo strano o se il firewall si comporta in modo imprevisto.
sudo ufw reset
