Instalando e configurando o UFW no Ubuntu Top 10.Top 10 LTS
Este artigo mostra como instalar e usar o UFW no seu Ubuntu 20.04 Sistema LTS.
Instalação
UFW vem pré-instalado na maioria dos sistemas Ubuntu. Se a sua construção não tiver esse programa já instalado, você pode instalá -lo usando o Snap ou o APT Package Managers.$ sudo snap install ufw
$ sudo apt install ufw
Pessoalmente, prefiro usar o gerente de pacote APT para fazer isso porque o snap é menos popular e não quero ter essa complexidade extra. No momento da redação deste artigo, a versão publicada para UFW é 0.36 para os 20.04 Release.
Recebendo vs. Tráfego de saída
Se você é iniciante no mundo das redes, a primeira coisa que você precisa esclarecer é a diferença entre o tráfego de entrada e saída.
Quando você instala atualizações usando o APT-Get, navegue na Internet ou verifique seu e-mail, o que você está fazendo é enviar solicitações "extrovertidas" aos servidores, como Ubuntu, Google, etc. Para acessar esses serviços, você nem precisa de um IP público. Geralmente, um único endereço IP público é alocado para, digamos, uma conexão de banda larga em casa, e cada dispositivo recebe seu próprio IP privado. O roteador então lida com o tráfego usando algo conhecido como NAT, ou tradução de endereço de rede.
Os detalhes dos endereços IP de NAT e privados estão além do escopo deste artigo, mas o vídeo vinculado acima é um excelente ponto de partida. Voltando à UFW, por padrão, a UFW permitirá todo o tráfego da web regular de saída. Seus navegadores, gerentes de pacotes e outros programas escolhem um número de porta aleatória - geralmente um número acima de 3000 - e é assim que cada aplicativo pode acompanhar suas conexões (s).
Quando você está executando servidores na nuvem, eles geralmente vêm com um endereço IP público e as regras acima para permitir o tráfego de saída ainda mantém. Porque você ainda usará utilitários, como gerentes de pacotes, que conversam com o resto do mundo como um 'cliente', a UFW permite isso por padrão.
A diversão começa com o tráfego. Aplicativos, como o servidor OpenSsh que você usa para fazer login na sua VM, ouça em portas específicas (como 22) para entrada pedidos, assim como outros aplicativos. Os servidores da web precisam acessar as portas 80 e 443.
Faz parte do trabalho de um firewall para permitir que aplicativos específicos ouçam em determinado tráfego de entrada, ao mesmo tempo em que bloqueia todos os desnecessários. Você pode ter um servidor de banco de dados instalado na sua VM, mas geralmente não precisa ouvir solicitações de entrada na interface com um IP público. Geralmente, ele apenas ouve na interface loopback para solicitações.
Existem muitos robôs na web, que constantemente bombardeiam servidores com pedidos falsos para forçar o seu caminho, ou a fazer um simples ataque de negação de serviço. Um firewall bem configurado deve ser capaz de bloquear a maioria dessas travessuras com a ajuda de plugins de terceiros como Fail2ban.
Mas, por enquanto, vamos nos concentrar em uma configuração muito básica.
Uso básico
Agora que você instalou o UFW no seu sistema, veremos alguns usos básicos para este programa. Como as regras do firewall são aplicadas em todo o sistema, os comandos abaixo são executados como usuário root. Se preferir, você pode usar sudo com privilégios adequados para este procedimento.
# status da UFW
Status: inativo
Por padrão, o UFW está em um estado inativo, o que é uma coisa boa. Você não deseja bloquear todo o tráfego recebido na porta 22, que é a porta SSH padrão. Se você estiver conectado a um servidor remoto via SSH e bloqueia a porta 22, você será bloqueado do servidor.
UFW facilita para nós cutucar um buraco apenas para o OpenSsh. Execute o comando abaixo:
root@testubuntu: ~# ufw list
Aplicativos disponíveis:
OpenSsh
Observe que ainda não habilitei o firewall. Agora adicionaremos o OpenSSH à nossa lista de aplicativos permitidos e depois ativar o firewall. Para fazer isso, insira os seguintes comandos:
# ufw permitir openSsh
Regras atualizadas
Regras atualizadas (V6)
# UFW Ativar
O comando pode interromper as conexões SSH existentes. Prossiga com a operação (y | n)? y.
O firewall agora está ativo e ativado na inicialização do sistema.
Parabéns, UFW agora está ativo e em execução. O UFW agora permite que apenas o OpenSsh ouça as solicitações de entrada na porta 22. Para verificar o status do seu firewall a qualquer momento, execute o seguinte código:
# status da UFW
Status: ativo
Para a ação de
-- ------ ----
OpenSsh permitir em qualquer lugar
OpenSsh (V6) Permitir em qualquer lugar (V6)
Como você pode ver, o OpenSSH agora pode receber solicitações de qualquer lugar da Internet, desde que o alcance na porta 22. A linha V6 indica que as regras são aplicadas para IPv6 também.
Você pode, é claro, proibir intervalos específicos de IP ou permitir apenas uma gama específica de IPS, dependendo das restrições de segurança em que você está trabalhando.
Adicionando aplicativos
Para os aplicativos mais populares, o comando da lista de aplicativos da UFW atualiza automaticamente sua lista de políticas após a instalação. Por exemplo, após a instalação do Nginx Web Server, você verá as seguintes novas opções aparecem:
# apt install nginx
# Lista de aplicativos ufw
Aplicativos disponíveis:
Nginx completo
Nginx http
Nginx https
OpenSsh
Vá em frente e tente experimentar essas regras. Observe que você pode simplesmente permitir números de porta, em vez de esperar o perfil de um aplicativo aparecer. Por exemplo, para permitir a porta 443 para o tráfego HTTPS, basta usar o seguinte comando:
# ufw permitir 443
# status da UFW
Status: ativo
Para a ação de
-- ------ ----
OpenSsh permitir em qualquer lugar
443 Deixe em qualquer lugar
OpenSsh (V6) Permitir em qualquer lugar (V6)
443 (v6) Permitir em qualquer lugar (V6)
Conclusão
Agora que você tem o básico da UFW classificada, você pode explorar outros poderosos recursos de firewall, começando por permitir e bloquear faixas de IP. Ter políticas de firewall claras e seguras manterão seus sistemas seguros e protegidos.