Einfache Firewall-Konfiguration mit UFW

06.10.2014 yahe administration legacy linux security

Lange Zeit hatte ich mich vor dem Aktivieren einer Firewall auf meinen Servern gesträubt, aus Angst, mich selbst von den remote administrierten Systemen auszusperren. Geändert habe ich meine Meinung nun durch Finden des Verwaltungstools UFW. Dabei handelt es sich um die Abkürzung für "Uncomplicated Firewall" und der Name ist Programm, denn das Tool vereinfacht die Verwaltung von iptables-Tables regeln und dürfte für einfache Fälle jedoch mehr als ausreichen.

Um sie zu verwenden, muss sie natürlich zuerst installiert werden:

sudo apt-get install ufw

Direkt nach dem Installieren sind keine Regeln aktiviert, sodass man UFW in Ruhe konfigurieren kann. Als erstes sollte man definieren, was gilt, wenn keine weiterführenden Regeln definiert sind. Dabei kann man zwischen eingehenden und ausgehenden Verbindungen unterscheiden. Für den Anfang kann man z.B. alle eingehenden Verbindungen verbieten und alle ausgehenden Verbindungen erlauben:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Als nächstes definiert man dann die einzelnen Ports, die freigegeben werden sollen. Hier müsst ihr aufpassen. Solltet ihr ein System haben, das ihr remote administrieren könnt, solltet ihr sicher gehen, dass auch der Port freigegeben wird, über den ihr die Administration erreicht (z.B. Port 22 für SSH):

sudo ufw allow in 22
sudo ufw allow in 80
sudo ufw allow in 443

Wenn ihr alle notwendigen Ports freigegeben habt, könnt ihr die Regeln aktivieren:

sudo ufw enable

Das war's auch schon! Wenn ihr euch nicht mehr sicher sein solltet, was ihr genau konfiguriert habt, könnt ihr wie folgt einen Überblick über die definierten Einstellungen verschaffen:

sudo ufw status verbose

Die freigegeben Ports sieht man leider erst, wenn UFW auch tatsächlich aktiviert wurden. Will man schon vorher mal einen Blick Überblick bekommen, dann findet man die iptables-Regeln in den Dateien "/lib/ufw/user.rules" für IPv4 und "/lib/ufw/user6.rules" für IPv6.

Mehr Informationen über die Syntax erhaltet ihr in der Ubuntu Community.


Search

Categories

administration (40)
arduino (12)
calcpw (2)
code (33)
hardware (16)
java (2)
legacy (113)
linux (27)
publicity (6)
review (2)
security (58)
thoughts (21)
windows (17)
wordpress (19)