Invoering
Ubuntu is een Linux-besturingssysteem dat behoorlijk populair is onder serverbeheerders vanwege de geavanceerde functies die er standaard bij worden geleverd. Een dergelijke functie is de firewall, een beveiligingssysteem dat zowel inkomende als uitgaande netwerkverbindingen bewaakt om beslissingen te nemen op basis van de vooraf gedefinieerde beveiligingsregels. Om dergelijke regels te definiëren, moet de firewall worden geconfigureerd voordat deze wordt gebruikt, en deze handleiding laat zien hoe u de firewall gemakkelijk in Ubuntu kunt inschakelen en configureren, samen met andere handige tips bij het configureren van de firewall.
Firewall inschakelen
Ubuntu wordt standaard geleverd met een firewall, bekend als UFW (ongecompliceerde firewall), die voldoende is, samen met enkele andere pakketten van derden om de server te beveiligen tegen externe bedreigingen. Aangezien de firewall echter niet is ingeschakeld, moet deze eerst worden ingeschakeld enabled. Gebruik de volgende opdracht om de standaard UFW in Ubuntu in te schakelen:.
- Controleer eerst de huidige status van de firewall om er zeker van te zijn dat deze echt is uitgeschakeld. Gebruik het samen met het uitgebreide commando om de gedetailleerde status te krijgen.
sudo ufw-status
sudo ufw status uitgebreid
- Als het is uitgeschakeld, wordt het met de volgende opdracht ingeschakeld:
sudo ufw inschakelen
- Zodra de firewall is ingeschakeld, start u het systeem opnieuw op om de wijzigingen door te voeren. De parameter r wordt gebruikt om aan te geven dat de opdracht voor herstarten is, de parameter now is om aan te geven dat de herstart onmiddellijk en zonder vertraging moet worden uitgevoerd.
sudo shutdown -r nu
Blokkeer alle verkeer met firewall
UFW, standaard alle verkeer blokkeren/toestaan, tenzij het wordt overschreven door specifieke poorten. Zoals te zien is in de bovenstaande schermafbeeldingen blokkeert ufw alle inkomend verkeer en staat al het uitgaande verkeer toe. Met de volgende opdrachten kan echter al het verkeer zonder enige uitzondering worden uitgeschakeld disabled. Wat dit doet, wist alle UFW-configuraties en weigert toegang vanaf elke verbinding.
sudo ufw reset
sudo ufw standaard inkomende weigeren
sudo ufw standaard uitgaande weigeren
Poort inschakelen voor HTTP?
HTTP staat voor hypertext transfer protocol, dat definieert hoe een bericht wordt geformatteerd bij verzending via een netwerk, zoals het wereldwijde net of internet. Aangezien een webbrowser standaard verbinding maakt met de webserver via het HTTP-protocol om te communiceren met de inhoud, moet de poort die bij HTTP hoort, worden ingeschakeld. Bovendien, als de webserver SSL/TLS (secured socket layer/transport layer security) gebruikt, moet HTTPS ook worden toegestaan.
sudo ufw toestaan http
sudo ufw toestaan https
Poort inschakelen voor SSH?
SSH staat voor beveiligde shell, die wordt gebruikt om verbinding te maken met een systeem via een netwerk, meestal via internet; daarom wordt het veel gebruikt om verbinding te maken met servers via internet vanaf de lokale machine. Omdat Ubuntu standaard alle inkomende verbindingen, inclusief SSH, blokkeert, moet het worden ingeschakeld om via internet toegang tot de server te krijgen.
sudo ufw ssh . toestaan
Als SSH is geconfigureerd om een andere poort te gebruiken, moet het poortnummer expliciet worden vermeld in plaats van de profielnaam.
sudo ufw sta 1024 toe
Poort inschakelen voor TCP/UDP
TCP, oftewel het transmissiecontroleprotocol, definieert hoe een netwerkgesprek tot stand moet worden gebracht en onderhouden zodat de toepassing gegevens kan uitwisselen. Standaard gebruikt een webserver het TCP-protocol; daarom moet het worden ingeschakeld, maar gelukkig maakt het inschakelen van een poort ook de poort voor zowel TCP/UDP tegelijk mogelijk. Als de specifieke poort echter alleen bedoeld is voor TCP of UDP, dan moet het protocol worden gespecificeerd samen met het poortnummer/de profielnaam.
sudo ufw toestaan|poortnummer weigeren|profielnaam/tcp/udp
sudo ufw allow 21/tcp
sudo ufw ontkennen 21/udp
Hoe de firewall volledig uit te schakelen??
Soms moet de standaardfirewall worden uitgeschakeld om het netwerk te testen of wanneer een andere firewall moet worden geïnstalleerd. De volgende opdracht schakelt de firewall volledig uit en staat alle inkomende en uitgaande verbindingen onvoorwaardelijk toe:. Dit is niet aan te raden, tenzij de bovengenoemde bedoelingen de redenen zijn voor het uitschakelen. Als u de firewall uitschakelt, worden de configuraties niet opnieuw ingesteld of verwijderd; daarom kan het opnieuw worden ingeschakeld met eerdere instellingen.
sudo ufw uitschakelen
Standaardbeleid inschakelen
Standaardbeleid geeft aan hoe een firewall reageert op een verbinding als er geen regel overeenkomt, bijvoorbeeld als de firewall standaard alle inkomende verbindingen toestaat, maar als poortnummer 25 is geblokkeerd voor inkomende verbindingen, werken de rest van de poorten nog steeds voor inkomende verbindingen behalve het poortnummer 25, omdat het de standaardverbinding overschrijft. De volgende opdrachten weigeren inkomende verbindingen en staan standaard uitgaande verbindingen toe:.
sudo ufw standaard inkomende weigeren
sudo ufw standaard uitgaand toestaan
Specifiek poortbereik inschakelen
Poortbereik geeft aan op welke poorten de firewallregel van toepassing is. Het bereik staat vermeld in startPort:endPort formaat, het wordt dan gevolgd door het verbindingsprotocol dat in dit geval moet worden vermeld state.
sudo ufw toestaan 6000:6010/tcp
sudo ufw toestaan 6000:6010/udp
Specifieke IP-adressen/adressen toestaan/weigeren
Niet alleen een specifieke poort kan worden toegestaan of geweigerd voor uitgaand of inkomend, maar ook een IP-adres. Wanneer het IP-adres is gespecificeerd in de regel, wordt elk verzoek van dit specifieke IP onderworpen aan de zojuist gespecificeerde regel, bijvoorbeeld in het volgende commando staat het alle verzoeken van 67 toe.205.171.204 IP-adres, dan staan alle verzoeken van 67 . toe.205.171.204 naar zowel poort 80 als 443 poorten, wat dit betekent is dat elk apparaat met dit IP succesvolle verzoeken naar de server kan sturen zonder te worden geweigerd in het geval dat de standaardregel alle inkomende verbindingen blokkeert. Dit is best handig voor privéservers die door één persoon of een specifiek netwerk worden gebruikt.
sudo ufw toestaan vanaf 67.205.171.204
sudo ufw toestaan vanaf 67.205.171.204 naar elke poort 80
sudo ufw toestaan vanaf 67.205.171.204 naar elke poort 443
Logboekregistratie inschakelen
Logging-functionaliteit registreert de technische details van elk verzoek van en naar de server. Dit is handig voor het opsporen van fouten; daarom is het aan te raden om het aan te zetten.
sudo ufw inloggen
Specifiek subnet toestaan/weigeren
Als het om een reeks IP-adressen gaat, is het moeilijk om elk IP-adresrecord handmatig toe te voegen aan een firewallregel om te weigeren of toe te staan, en dus kunnen IP-adresbereiken worden gespecificeerd in CIDR-notatie, die meestal bestaat uit het IP-adres en het aantal van hosts die het bevat en IP van elke host.
In het volgende voorbeeld gebruikt het de volgende twee commando's:. In het eerste voorbeeld gebruikt het /24 netmask, en dus de regel geldig vanaf 192.168.1.1 tot 192.168.1.254 IP-adressen. In het tweede voorbeeld geldt dezelfde regel alleen voor poortnummer 25. Dus als inkomende verzoeken standaard worden geblokkeerd, mogen de genoemde IP-adressen nu verzoeken verzenden naar poortnummer 25 van de server.
sudo ufw toestaan vanaf 192.168.1.1/24
sudo ufw toestaan vanaf 192.168.1.1/24 naar elke poort 25
Een regel verwijderen uit firewall
Regels kunnen uit de firewall worden verwijderd. Het volgende eerste commando plaatst elke regel in de firewall met een nummer, en met het tweede commando kan de regel worden verwijderd door het nummer op te geven dat bij de regel hoort.
sudo ufw status genummerd
sudo ufw verwijderen 2
Firewall-configuratie resetten
Gebruik ten slotte de volgende opdracht om opnieuw te beginnen met de configuratie van de firewall:. Dit is erg handig als de firewall vreemd begint te werken of als de firewall zich op een onverwachte manier gedraagt.
sudo ufw reset