Come impostare e configurare UFW Firewall su Ubuntu 20.04

Una delle chiavi di volta di qualsiasi sistema operativo è un firewall correttamente configurato per la completa sicurezza del sistema. UFW (Uncomplicated Firewall) è installato di default sui sistemi operativi Ubuntu; tuttavia, non è abilitato. Uno dei grandi vantaggi di UFW è la sua semplicità, riga di comando user-friendly e facile da usare, che lo rende ottimo per i principianti in Linux fino agli utenti esperti più avanzati.

Nel seguente tutorial imparerai a installare e configurare UFW Firewall su Ubuntu 20.04 LTS Focal Fossa Desktop o Server utilizzando il terminale di comando.

Prerequisiti

  • Sistema operativo consigliato: Ubuntu 20.04
  • Account utente: Un account utente con sudo or accesso root.

Aggiorna il sistema operativo

Aggiorna il tuo Ubuntu sistema operativo per assicurarsi che tutti i pacchetti esistenti siano aggiornati:

sudo apt update && sudo apt upgrade -y

Il tutorial utilizzerà il comando sudo che collaborano con noi, attingono direttamente dalla storia e dalla tradizione veneziana supponendo che tu abbia lo stato di sudo.

Per verificare lo stato di sudo sul tuo account:

sudo whoami

Esempio di output che mostra lo stato di sudo:

[joshua@ubuntu ~]$ sudo whoami
root

Per configurare un account sudo esistente o nuovo, visita il nostro tutorial su Come aggiungere un utente a Sudoers su Ubuntu.

Per utilizzare l' account di root, usa il seguente comando con la password di root per accedere.

su

pubblicità


Come abilitare, installare o rimuovere UFW

Il primo passo nella configurazione di un firewall UFW sarà abilitare il firewall.

sudo ufw enable

Esempio di output:

Firewall is active and enabled on system startup

Per impostazione predefinita, tutto il traffico in entrata viene bloccato automaticamente e tutto il traffico in uscita è consentito quando il firewall è attivo. Questo proteggerà istantaneamente il tuo sistema impedendo a chiunque di connettersi in remoto al tuo sistema.

Se UFW è stato rimosso in precedenza e desideri reinstallare il firewall utilizzando il seguente comando.

sudo apt install ufw -y

Quindi, verifica lo stato di UFW per assicurarti che sia attivo e senza errori.

sudo systemctl status ufw

Esempio di output:

Come impostare e configurare UFW Firewall su Ubuntu 20.04

In futuro, se hai bisogno di disabilitare UFW per un periodo di tempo temporaneo, usa il seguente comando.

sudo ufw disable

Per rimuovere completamente UFW dal tuo sistema Ubuntu.

sudo apt autoremove ufw --purge

Non rimuovere UFW a meno che tu non abbia un'opzione solida o non sappia come usare IPTables, specialmente quando si esegue un ambiente server connesso al pubblico. Questo sarà disastroso.

Come controllare lo stato UFW

Una volta abilitato UFW, visualizzare lo stato delle regole del firewall e ciò che è attivo utilizzare quanto segue.

sudo ufw status verbose

Esempio di output:

Come impostare e configurare UFW Firewall su Ubuntu 20.04

L'esempio sopra ha utilizzato il flag verbose e un'opzione alternativa è elencare le regole in sequenza numerica, che è molto più gestibile in seguito quando si eliminano le regole.

sudo ufw status numbered

Esempio di output:

Come impostare e configurare UFW Firewall su Ubuntu 20.04

Ora hai [ 1], [ 2] etichette numeriche sulle regole UFW per l'identificazione come ce l'ha l'output sopra.


pubblicità


Come impostare i criteri predefiniti UFW

La politica predefinita del firewall UFW consiste nel negare tutte le connessioni in entrata e consentire solo le connessioni in uscita al sistema. In genere il modo predefinito più sicuro senza che nessuno possa raggiungere il tuo server a meno che tu non permetta indirizzi IP/intervalli, programmi, porte o combinazioni di tutti. Il tuo sistema, per impostazione predefinita, può accedere all'esterno, cosa che non dovresti regolare a meno che tu non abbia requisiti di sicurezza specifici.

Per riferimento, i criteri firewall UFW predefiniti possono essere trovati nella posizione / etc / default / ufw.

Per regolare le regole digitando il seguente comando:

Per negare tutte le connessioni in entrata:

sudo ufw default deny incoming

Per consentire tutte le connessioni in uscita:

sudo ufw default allow outgoing

Questo è già impostato come regole predefinite quando abilitato, ma puoi usare lo stesso principio per cambiarle in base al tuo scopo.

Ad esempio, tutte le comunicazioni in entrata sono bloccate per impostazione predefinita, ma si desidera bloccare tutte le comunicazioni in uscita e consentire solo le connessioni in uscita approvate, quindi utilizzare il comando seguente.

Per bloccare tutte le connessioni in uscita:

sudo ufw default deny outgoing

Questa è una misura estrema; il blocco delle connessioni in entrata è in genere sufficiente per il server e il desktop medi, ma ambienti specifici possono trarre vantaggio dalla precauzione di sicurezza aggiuntiva. Il rovescio della medaglia è che devi gestire tutte le connessioni in uscita, il che può richiedere molto tempo e impostare continuamente nuove regole.

Come visualizzare i profili delle applicazioni UFW

Per mostrare tutti i profili dell'applicazione, puoi farlo digitando quanto segue.

sudo ufw app list

Esempio di output:

Come impostare e configurare UFW Firewall su Ubuntu 20.04

Quanto sopra è solo un esempio e ognuno avrà elenchi diversi poiché nessuno avrà le stesse applicazioni installate.

Una caratteristica utile dei profili delle applicazioni è scoprire di più sul servizio elencato nell'elenco delle applicazioni UFW.

A tale scopo, digitare il comando seguente per trovare ulteriori informazioni su un profilo esistente.

sudo ufw app info CUPS

Esempio di output:

Come impostare e configurare UFW Firewall su Ubuntu 20.04

Come sopra, la stampa della descrizione generale dell'applicazione e della porta che utilizza. Questa è una funzione utile quando si esaminano le porte aperte e non si è sicuri a quali applicazioni si riferiscono e cosa fa l'applicazione.


pubblicità


Come abilitare IPv6 su UFW

Se il tuo sistema Ubuntu è configurato con IPv6, devi assicurarti che UFW sia configurato con IPv6 e supporto IPv4. Per impostazione predefinita, questo dovrebbe essere abilitato automaticamente; tuttavia, dovresti verificarlo e, se necessario, modificarlo. Puoi farlo nel modo seguente.

Apri il file firewall UFW predefinito.

sudo nano /etc/default/ufw

Se non è impostata, regolare la riga seguente su sì.

IPV6=yes

CTRL + O per salvare le nuove modifiche al file, quindi premere CTRL + X per uscire dal file.

Ora riavvia il servizio firewall UFW per rendere attive le modifiche.

sudo systemctl restart ufw

Come consentire le connessioni SSH UFW

Per impostazione predefinita, UFW non consente le connessioni SSH. Se avessi già abilitato il firewall da remoto, ti saresti accorto di essere stato bloccato.

Per risolvere questo problema, è necessario impostare la seguente configurazione SSH prima di abilitare il firewall UFW, soprattutto se connesso a un server remoto.

Innanzitutto, abilita il profilo dell'applicazione SSH.

sudo ufw allow ssh

Se hai impostato una porta di ascolto personalizzata per le connessioni SSH diversa dalla porta predefinita 22, ad esempio la porta 3541, aprirai la porta sul firewall UFW digitando quanto segue.

sudo ufw allow 3541/tcp

Se vuoi bloccare tutte le connessioni SSH o cambiare la porta e bloccare quelle vecchie.

Per bloccare tutte le connessioni SSH (Assicurati che sia possibile l'accesso locale), usa il seguente comando.

sudo ufw deny ssh/tcp

Se si modifica la porta SSH personalizzata, aprire una nuova porta e chiudere quella esistente; esempio di tutorial è la porta 3541.

sudo ufw deny 3541/tcp 

pubblicità


Come abilitare le porte UFW

Con UFW, puoi aprire porte specifiche nel firewall per consentire le connessioni specificate per una particolare applicazione. È possibile impostare regole personalizzate per l'applicazione. Un eccellente esempio di questa regola è l'impostazione di un server Web che ascolta sulla porta 80 (HTTP) che collaborano con noi, attingono direttamente dalla storia e dalla tradizione veneziana 443 (HTTP) per impostazione predefinita.

Consenti porta HTTP 80

Consenti in base al profilo dell'applicazione:

sudo ufw allow 'Nginx HTTP'

Consenti per nome del servizio:

sudo ufw allow http

Consenti per numero di porta:

sudo ufw allow 80/tcp

Consenti porta HTTPS 443

Consenti in base al profilo dell'applicazione:

sudo ufw allow 'Nginx HTTPS'

Consenti per nome del servizio:

sudo ufw allow https

Consenti per numero di porta:

sudo ufw allow 443/tcp

Nota, puoi abilitare tutte le regole insieme per impostazione predefinita usando il seguente comando.

sudo ufw allow 'Nginx Full'

Intervalli di porte consentiti UFW

UFW può consentire l'accesso agli intervalli di porte. Nota, quando si apre un intervallo di porte, è necessario identificare il protocollo della porta.

Consenti intervallo di porte con TCP e UDP:

sudo ufw allow 6500:6800/tcp
sudo ufw allow 6500:6800/udp

In alternativa, puoi consentire più porte in un colpo, ma consentire l'intervallo potrebbe essere più accessibile come sopra.

sudo ufw allow 6500, 6501, 6505, 6509/tcp
sudo ufw allow 6500, 6501, 6505, 6509/udp

Come consentire le connessioni remote su UFW

UFW Consenti indirizzo IP specifico

Ad esempio, per consentire indirizzi IP specificati, ci si trova su una rete interna e si richiede che i sistemi comunichino tra loro, utilizzare il comando seguente.

sudo ufw allow from 192.168.55.131

UFW Consenti indirizzo IP specifico su porta specifica

Per consentire a un IP di connettersi al sistema su una porta definita (esempio porta “3900”), digitare quanto segue.

sudo ufw allow from 192.168.55.131 to any port 3900

Consenti connessioni subnet a una porta specificata

Se hai bisogno di un'intera gamma di connessioni da una sottorete dell'intervallo IP a una determinata porta, puoi abilitarla creando la seguente regola.

sudo ufw allow from 192.168.1.0/24 to any port 3900

Ciò consentirà a tutti gli indirizzi IP da 192.168.1.1 a 192.168.1.254 di connettersi alla porta 3900.

Consenti interfaccia di rete specifica

Ad esempio, consentire le connessioni a una particolare interfaccia di rete, "eth2" a una porta 3900 specificata. È possibile ottenere ciò creando la seguente regola.

sudo ufw allow in on eth2 to any port 3900

pubblicità


Come negare le connessioni remote su UFW

In base alla politica di installazione predefinita di UFW, una volta installata, tutte le connessioni in entrata sono impostate su "negare." Questo rifiuta tutto il traffico in entrata a meno che non crei una regola per consentire il passaggio delle connessioni.

Tuttavia, hai notato nei tuoi log un particolare indirizzo IP che continua ad attaccarti. Bloccalo con quanto segue.

sudo ufw deny from 203.13.56.121

Un hacker sta utilizzando più indirizzi IP dalla stessa sottorete per tentare di hackerarti. Crea quanto segue per bloccare.

sudo ufw deny from 203.13.56.121/24

È possibile creare regole specifiche se si desidera negare l'accesso a determinate porte. Digitare il seguente esempio.

sudo ufw deny from 203.13.56.121/24 to any port 80
sudo ufw deny from 203.13.56.121/24 to any port 443

Come eliminare le regole UFW

Hai creato e negato regole, ma devi eliminarle perché non ti servono più. Questo può essere ottenuto in due modi diversi.

Innanzitutto, per eliminare una regola UFW utilizzando il numero della regola, è necessario elencare i numeri della regola digitando quanto segue.

sudo ufw status numbered

Esempio di output:

Come impostare e configurare UFW Firewall su Ubuntu 20.04

L'esempio eliminerà la quarta regola per l'indirizzo IP 1.1.1.1 evidenziata sopra.

Digita quanto segue nel tuo terminale.

sudo ufw delete 1

In secondo luogo, puoi eliminare una regola UFW utilizzando la regola stessa.

sudo ufw delete allow 80/tcp

Quando le regole vengono eliminate e vanno a buon fine, otterrai il seguente output.

Rule deleted
Rule deleted (v6)

pubblicità


Come accedere e visualizzare i registri UFW

Per impostazione predefinita, la registrazione UFW è impostata su basso. Questo va bene per la maggior parte dei sistemi desktop. Tuttavia, i server potrebbero richiedere un livello di registrazione più elevato.

Per impostare la registrazione UFW su basso (predefinito):

sudo ufw logging low

Per impostare la registrazione UFW su media:

sudo ufw logging medium

Per impostare la registrazione UFW su alto:

sudo ufw logging high

L'ultima opzione è disabilitare del tutto la registrazione, assicurati di essere soddisfatto e non richiederà il controllo del registro.

sudo ufw logging off

Per visualizzare i registri UFW, vengono mantenuti nella posizione predefinita di /var/log/ufw.log.

Un modo semplice e veloce per visualizzare i log in tempo reale è utilizzare il comando tail.

sudo ufw tail -f /var/log/ufw.log

In alternativa, puoi stampare un determinato numero di righe recenti con il tasto -n.

sudo ufw tail /var/log/ufw.log -n 30

Questo stamperà le ultime 30 righe del registro. È possibile perfezionare ulteriormente con GREP e altri comandi di ordinamento.

Come testare le regole UFW

I sistemi altamente critici, una buona opzione quando si gioca con le impostazioni del firewall, possono aggiungere il –bandiera di marcia a secco. Ciò consente di vedere un esempio delle modifiche che sarebbero avvenute ma non di elaborarlo.

sudo ufw --dry-run enable

Per disabilitare il –bandiera di marcia a secco, usa il seguente comando.

sudo ufw --dry-run disable

pubblicità


Come ripristinare le regole UFW

Per ripristinare il firewall al suo stato originale con tutte le entrate bloccate e le uscite impostate per consentire, digitare quanto segue per ripristinare.

sudo ufw reset

Conferma il ripristino, inserisci quanto segue:

sudo ufw status

L'output dovrebbe essere:

Status: inactive 

Con il ripristino del firewall UFW, ora dovrai riattivare il firewall e avviare l'intero processo di aggiunta delle regole. Il comando di reset dovrebbe essere usato con parsimonia, se possibile.

Come trovare tutte le porte aperte (controllo di sicurezza)

La maggior parte dei sistemi non si rende conto di poter avere porte aperte. Nell'era in cui ogni indirizzo IP su Internet viene scansionato quotidianamente, è fondamentale osservare cosa accade dietro le quinte.

L'opzione migliore è installare Nmap, quindi, utilizzando questa famosa applicazione, elencare le porte aperte.

sudo apt install nmap

Quindi, trova l'indirizzo IP interno del sistema.

hostname -I

Esempio di output:

192.168.50.45

Ora usa il seguente comando Nmap con l'indirizzo IP del server.

sudo nmap 192.168.50.45

Esempio di output:

Come impostare e configurare UFW Firewall su Ubuntu 20.04

Come sopra, le porte 9090 e 80 sono aperte. Prima di bloccare le porte, verifica prima cosa sono se non sei sicuro.

Da questo punto, puoi creare regole UFW personalizzate che hai imparato nel tutorial per chiudere o limitare le porte aperte.


pubblicità


Commenti e Conclusione

Il tutorial ti ha mostrato con successo come impostare e configurare UFW per desktop o server su Ubuntu 20.04 LTS Focal Fossa.

Nel complesso, l'utilizzo di UFW è altamente raccomandato in quanto è un semplice sistema firewall da utilizzare rispetto ad altre opzioni che potrebbero essere troppo confuse per gli utenti non esperti. Data l'ascesa del crimine informatico e dell'hacking, è un modo rapido e sicuro per salvaguardare il tuo sistema.

L'unica area che UFW inizierà a mancare sono i principali set di regole e le blacklist IP, in cui potresti avere centinaia di migliaia se non milioni di IP bloccati. Potrebbero essere necessarie altre alternative, ma ciò non influirà sulla maggior parte degli utenti poiché questi server in genere hanno una buona opzione pronta.

1 pensiero su "Come impostare e configurare UFW Firewall su Ubuntu 20.04"

  1. ufw è obsoleto e può utilizzare solo l'interfaccia iptrables. Tutti i ragazzi fantastici ora usano firewalld, che si interfaccia anche con nftables che sostituisce iptables.

    Rispondi

Lascia un tuo commento