Come impostare e configurare il firewall UFW su Debian 10 Buster

Una delle chiavi di volta di qualsiasi sistema operativo è un firewall correttamente configurato per la completa sicurezza del sistema. Un popolare sistema firewall per Debian è un pacchetto chiamato UFW (Uncomplicated Firewall). UFW è popolare con la sua riga di comando intuitiva e facile da usare, che lo rende ottimo per i principianti in Linux fino agli utenti esperti più avanzati.

La seguente guida ti mostrerà come installare e configurare un firewall UFW per Debian 10 con nome in codice Buster.

Prerequisiti UFW

Avrai bisogno dell'accesso a root o a un utente con privilegi sudo per i sistemi Debian per installare/configurare il firewall UFW. Nella nostra guida, utilizzeremo il root per configurare UFW.

Immettere il terminale di root con il seguente comando. Nota che dovrai inserire la password di root:

su

pubblicità


Installazione UFW

Il primo passo è installare UFW per Debian 10. Per prima cosa ci assicureremo che il nostro sistema sia aggiornato, quindi lo installeremo.

sudo apt update && sudo apt upgrade \
 sudo apt install ufw

Controllo dello stato dell'UFW

Dopo aver installato il firewall UFW, controlla lo stato con il seguente comando.

sudo ufw status verbose

Sarebbe meglio se ottenessi il seguente output:

Status:Inactive

pubblicità


Abilita UFW

Hai scoperto che dopo l'installazione è andata a buon fine; tuttavia, il firewall è inattivo. Puoi abilitarlo nel modo seguente.

sudo ufw enable

Una volta abilitato, dovresti vedere un nuovo stato se ridigiti il ​​comando verbose.

come installare e configurare il firewall ufw su debian 10 buster

Se in futuro devi disabilitarlo per qualsiasi motivo, puoi farlo con il seguente comando.

sudo ufw disable

Politiche predefinite UFW

La politica predefinita del firewall UFW consiste nel negare tutte le connessioni in entrata e consentire solo le connessioni in uscita al sistema. In genere il modo predefinito più sicuro senza che nessuno possa raggiungere il tuo server a meno che tu non permetta indirizzi IP / intervalli, programmi, porte o combinazioni di tutti. Il tuo sistema, per impostazione predefinita, può accedere all'esterno, cosa che non dovresti regolare a meno che tu non abbia requisiti di sicurezza specifici.

Per riferimento, i criteri firewall UFW predefiniti possono essere trovati nella posizione / etc / default / ufw file e puoi modificare le regole digitando il seguente comando:

sudo ufw default deny incoming && sudo ufw default allow outgoing

Supponiamo di voler negare tutte le connessioni in entrata e in uscita e di consentire solo indirizzi o intervalli IP approvati. Puoi, ad esempio, digitare il seguente comando per farlo:

sudo ufw default deny incoming && sudo ufw default deny outgoing

Nota, questo non è raccomandato a meno che tu non abbia un requisito altamente sicuro.


pubblicità


Profili dell'applicazione UFW

Per mostrare tutti i profili dell'applicazione, puoi farlo digitando quanto segue.

sudo ufw app list

Vedrai quindi un output. Tieni presente che ognuno avrà applicazioni diverse, ma sarà simile a quello riportato di seguito.

elenco di stato di debian 10 ufw

Inoltre, puoi digitare il seguente comando per trovare ulteriori informazioni su un profilo esistente.

sudo ufw app info qBittorrent

L'output dovrebbe essere il seguente:

Profile: qBittorrent
 Title: qBittorrent
 Description: qBittorrent BitTorrent client
 Ports:
   6881/tcp

Abilita UFW IPv6

Se il tuo sistema Debian è configurato con IPv6, devi assicurarti che UFW sia configurato con supporto IPv6 e IPv4. Per impostazione predefinita, questo dovrebbe essere abilitato automaticamente; tuttavia, dovresti verificarlo e, se necessario, modificarlo. Puoi farlo nel modo seguente.

Apri il file firewall UFW predefinito:

sudo nano /etc/default/ufw

Regola la seguente riga su sì se non è impostata:

IPV6=yes

Ctrl+O per salvare, quindi Ctrl+X per uscire una volta completato. Se hai modificato le impostazioni, riavvia il firewall.

sudo systemctl restart ufw

pubblicità


UFW Consenti connessioni SSH

Per impostazione predefinita, UFW non consente le connessioni SSH. Se avessi già abilitato il firewall da remoto, ti saresti accorto di essere stato bloccato. Per risolvere questo problema, è necessario impostare la seguente configurazione SSH.

Innanzitutto, abilita il profilo dell'applicazione SSH.

sudo ufw allow ssh

Se hai impostato una porta di ascolto personalizzata per le connessioni SSH diversa dalla porta predefinita 22, porta 3541, aprirai la porta sul firewall UFW digitando quanto segue.

sudo ufw allow 3541/tcp

Nota, se vuoi bloccare tutte le connessioni SSH o cambiare la porta e bloccare quelle vecchie. Digitare i seguenti comandi per modificare il set di regole.

Blocca SSH per intero:

sudo ufw deny ssh/tcp

Blocca la porta personalizzata SSH:

sudo ufw deny 3541/tcp 

Porte di abilitazione UFW

Con UFW, puoi aprire porte specifiche nel firewall per consentire le connessioni specificate per una particolare applicazione. Un ottimo esempio di questa regola è l'impostazione di un server Web che ascolti sulla porta 80 (HTTP) e 443 HTTPS) per impostazione predefinita. È possibile impostare regole personalizzate per l'applicazione.

Consenti porta HTTP 80

Consenti in base al profilo dell'applicazione:

sudo ufw allow 'Apache'

Consenti per nome del servizio:

sudo ufw allow http

Consenti per numero di porta:

sudo ufw allow 80/tcp

Consenti porta HTTPS 443

Consenti in base al profilo dell'applicazione:

sudo ufw allow 'Apache Secure'

Consenti per nome del servizio:

sudo ufw allow https

Consenti per numero di porta:

sudo ufw allow 443/tcp

Nota, puoi abilitare tutte le regole insieme per impostazione predefinita usando il seguente comando.

sudo ufw allow 'Apache Full'

pubblicità


Intervalli di porte consentiti UFW

UFW può consentire l'accesso agli intervalli di porte. Nota, quando si apre un intervallo di porte, è necessario identificare il protocollo della porta.

Consenti intervallo di porte con TCP e UDP:

sudo ufw allow 6500:6800/tcp && sudo ufw allow 6500:6800/udp

UFW Consenti indirizzo IP specifico

Per consentire indirizzi IP specifici, ad esempio, sei su una rete interna. Si desidera consentire a sistemi specifici di comunicare insieme in entrata/uscita, quindi è possibile specificare di consentire con il seguente comando.

Esempio di IP interno, 192.168.55.X:

sudo ufw allow from 192.168.55.131

pubblicità


UFW Consenti indirizzo IP specifico su porta specifica

Per consentire a un IP di connettersi al sistema su una porta definita (porta di esempio “3900”), digitare quanto segue.

sudo ufw allow from 192.168.55.131 to any port 3900

UFW Consenti subnet di rete

Consenti connessioni subnet a una porta specificata

Se hai bisogno di un'intera gamma di connessioni da una sottorete dell'intervallo IP a una determinata porta, puoi abilitarla creando la seguente regola.

sudo ufw allow from 192.168.1.0/24 to any port 3900

Ciò consentirà a tutti gli indirizzi IP da 192.168.1.1 a 192.168.1.254 di connettersi alla porta 3900.

Consenti interfaccia di rete specifica

Ad esempio, consentire le connessioni a una particolare interfaccia di rete, "eth2" a una porta 3900 specificata. È possibile ottenere ciò creando la seguente regola.

sudo ufw allow in on eth2 to any port 3900

pubblicità


UFW Nega connessioni

Secondo la politica di installazione predefinita di UFW, una volta installata, tutte le connessioni in entrata sono impostate su "nega". Questo rifiuta tutto il traffico in entrata a meno che non crei una regola per consentire il passaggio delle connessioni.

Tuttavia, hai notato nei tuoi log un particolare indirizzo IP che continua ad attaccarti. Bloccalo con quanto segue.

sudo ufw deny from 203.13.56.121

Un hacker sta utilizzando più indirizzi IP dalla stessa sottorete per tentare di hackerarti. Crea quanto segue per bloccare.

sudo ufw deny from 203.13.56.121/24

È possibile creare regole specifiche se si desidera negare l'accesso a determinate porte. Digitare il seguente esempio.

sudo ufw deny from 203.13.56.121/24 to any port 80 \
 sudo ufw deny from 203.13.56.121/24 to any port 443

Regole di eliminazione UFW

Hai creato e negato regole, ma devi eliminare alcune regole poiché non ti servono più. Ciò può essere ottenuto in due modi diversi.

Innanzitutto, per eliminare una regola UFW utilizzando il numero della regola, è necessario elencare i numeri della regola digitando quanto segue.

sudo ufw status numbered

Esempio di uscita:

Status: active
  To                         Action      From  --                         ------      ----
 [ 1] Anywhere                   DENY IN    203.13.56.121
 [ 2] Anywhere                   DENY IN    205.15.100.3
 [ 3] 23/tcp                     ALLOW IN   Anywhere

Si desidera eliminare la prima regola per l'indirizzo IP 203.13.56.121, digitare quanto segue.

sudo ufw delete 1

In secondo luogo, puoi eliminare una regola UFW utilizzando la regola stessa.

sudo ufw delete allow 23/tcp

pubblicità


Regole per la corsa a secco UFW

I sistemi altamente critici, una buona opzione quando si gioca con le impostazioni del firewall, possono aggiungere il flag –dry-run. Ciò consente di vedere un esempio delle modifiche che sarebbero avvenute ma non di elaborarlo.

sudo ufw --dry-run enable

Reimposta firewall UFW

Se, per qualsiasi motivo, è necessario ripristinare il firewall al suo stato originale con tutte le impostazioni in entrata bloccate e in uscita da consentire, digitare quanto segue per ripristinare.

sudo ufw reset

Conferma il ripristino, inserisci quanto segue:

sudo ufw status

L'output dovrebbe essere:

Status: inactive 

Con il ripristino del firewall UFW, puoi riconfigurare le tue regole e impostazioni come all'inizio della nostra guida.


pubblicità


Commenti e Conclusione

La guida ha mostrato con successo come installare e configurare UFW per Debian 10. L'uso di UFW è altamente raccomandato in quanto è un semplice sistema firewall da utilizzare per Debian rispetto ad altre opzioni che potrebbero essere troppo confuse per gli utenti non esperti. Data l'ascesa del crimine informatico e dell'hacking, è un modo rapido e sicuro per salvaguardare il tuo sistema.

Sottoscrivi
Notifica
0 Commenti
Feedback in linea
Visualizza tutti i commenti
0
Amerei i tuoi pensieri, per favore commenta.x