Настройка firewall в Debian 9 (iptables)
Índice:
- Pré-requisitos
- Instale o UFW
- Verificar status do UFW
- Políticas padrão do UFW
- Perfis de aplicativos
- Permitir conexões SSH
- Ativar UFW
- Permitir conexões em outras portas
- Porta aberta 80 - HTTP
- Porta aberta 443 - HTTPS
- Porta aberta 8080
- Permitir intervalos de portas
- Permitir endereços IP específicos
- Permitir endereços IP específicos na porta específica
- Permitir sub-redes
- Permitir conexões com uma interface de rede específica
- Negar conexões
- Excluir regras UFW
- Desativar UFW
- Redefinir UFW
- Conclusão
O Debian inclui vários pacotes que fornecem ferramentas para gerenciar um firewall com o iptables instalado como parte do sistema básico. Pode ser complicado para iniciantes aprender como usar a ferramenta iptables para configurar e gerenciar corretamente um firewall, mas o UFW o simplifica.
O UFW (Uncomplicated Firewall) é um front-end fácil de usar para gerenciar regras de firewall de tabelas de ipt e seu principal objetivo é facilitar o gerenciamento de tabelas de ipt ou como o nome diz simples.
Neste tutorial, mostraremos como configurar um firewall com o UFW no Debian 9.
Pré-requisitos
Antes de continuar com este tutorial, verifique se o usuário com o qual você efetuou login possui privilégios de sudo.
Instale o UFW
O UFW não está instalado por padrão no Debian 9. Você pode instalar o pacote
ufw
digitando:
Verificar status do UFW
Após a conclusão do processo de instalação, você pode verificar o status do UFW com o seguinte comando:
sudo ufw status verbose
A saída terá a seguinte aparência:
Status: inactive
O UFW está desativado por padrão. A instalação não ativará o firewall automaticamente para evitar um bloqueio do servidor.
Se o UFW estiver ativado, a saída será semelhante à seguinte:
Políticas padrão do UFW
Por padrão, o UFW bloqueará todas as conexões de entrada e permitirá todas as conexões de saída. Isso significa que qualquer pessoa que tente acessar seu servidor não poderá se conectar, a menos que você abra especificamente a porta, enquanto todos os aplicativos e serviços em execução no servidor poderão acessar o mundo externo.
As políticas padrão são definidas no arquivo
/etc/default/ufw
e podem ser alteradas usando o
sudo ufw default
As políticas de firewall são a base para a criação de regras mais detalhadas e definidas pelo usuário. Na maioria dos casos, as Políticas Padrão UFW iniciais são um bom ponto de partida.
Perfis de aplicativos
Ao instalar um pacote com o
apt
ele adicionará um perfil de aplicativo ao diretório
/etc/ufw/applications.d
que descreve o serviço e contém as configurações do UFW.
Para listar todos os perfis de aplicativos disponíveis no seu sistema, digite:
sudo ufw app list
Dependendo dos pacotes instalados no seu sistema, a saída será semelhante à seguinte:
Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…
Para encontrar mais informações sobre um perfil específico e regras incluídas, use o seguinte comando:
sudo ufw app info OpenSSH
Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp
A saída acima informa que o perfil do OpenSSH abre a porta
22
.
Permitir conexões SSH
Antes de ativar o firewall UFW primeiro, precisamos permitir conexões SSH de entrada.
Se você estiver se conectando ao seu servidor a partir de um local remoto, o que é quase sempre o caso, e você ativar o firewall UFW antes de permitir explicitamente as conexões SSH de entrada, você não poderá mais se conectar ao seu servidor Debian.
Para configurar seu firewall UFW para permitir conexões SSH de entrada, execute o seguinte comando:
sudo ufw allow OpenSSH
Rules updated Rules updated (v6)
Se o servidor SSH estiver escutando em uma porta que não seja a porta padrão 22, será necessário abrir essa porta.
Por exemplo, seu servidor ssh escuta na porta
8822
, você pode usar o seguinte comando para permitir conexões nessa porta:
Ativar UFW
Agora que o seu firewall UFW está configurado para permitir conexões SSH de entrada, você pode habilitá-lo executando:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Você será avisado de que a ativação do firewall pode interromper as conexões ssh existentes, basta digitar
y
e pressionar
Enter
.
Permitir conexões em outras portas
Dependendo dos aplicativos executados no servidor e de suas necessidades específicas, você também precisará permitir o acesso de entrada a algumas outras portas.
Abaixo estão vários exemplos de como permitir conexões de entrada para alguns dos serviços mais comuns:
Porta aberta 80 - HTTP
As conexões HTTP podem ser permitidas com o seguinte comando:
sudo ufw allow
Em vez do perfil
http
, você pode usar o número da porta,
80
:
Porta aberta 443 - HTTPS
As conexões HTTP podem ser permitidas com o seguinte comando:
sudo ufw allow
Para obter o mesmo em vez de
https
você pode usar o número da porta
443
:
Porta aberta 8080
Permitir intervalos de portas
Com o UFW, você também pode permitir o acesso a intervalos de portas. Ao permitir intervalos de portas com o UFW, você deve especificar o protocolo,
tcp
ou
udp
.
Por exemplo, para permitir portas de
7100
a
7200
no
tcp
e no
udp
, execute o seguinte comando:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Permitir endereços IP específicos
sudo ufw allow from 64.63.62.61
Permitir endereços IP específicos na porta específica
Para permitir o acesso a uma porta específica, digamos que a porta 22 da sua máquina de trabalho com endereço IP 64.63.62.61 use o seguinte comando:
sudo ufw allow from 64.63.62.61 to any port 22
Permitir sub-redes
O comando para permitir a conexão com uma sub-rede de endereços IP é o mesmo que ao usar um único endereço IP, a única diferença é que você precisa especificar a máscara de rede. Por exemplo, se você deseja permitir o acesso a endereços IP que variam de 192.168.1.1 a 192.168.1.254 até a porta 3360 (MySQL), você pode usar este comando:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Permitir conexões com uma interface de rede específica
Para permitir o acesso a uma porta específica, digamos porta 3360, apenas para a interface de rede específica
eth2
, use
allow in on
e o nome da interface de rede:
sudo ufw allow in on eth2 to any port 3306
Negar conexões
A política padrão para todas as conexões de entrada é definida como
deny
que significa que o UFW bloqueará todas as conexões de entrada, a menos que você abra a conexão especificamente.
Digamos que você abriu as portas
80
e
443
e seu servidor está sendo atacado pela rede
23.24.25.0/24
. Para negar todas as conexões de
23.24.25.0/24
, use o seguinte comando:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Escrever regras de negação é o mesmo que escrever regras de permissão, você só precisa substituir
allow
por
deny
.
Excluir regras UFW
Existem duas maneiras diferentes de excluir regras do UFW, pelo número da regra e especificando a regra real.
Excluir regras do UFW por número de regra é mais fácil, especialmente se você é novo no UFW.
Para excluir uma regra por um número de regra, primeiro você precisa encontrar o número da regra que deseja excluir. Para fazer isso, execute o seguinte comando:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
Para excluir a regra número 3, a regra que permite conexões com a porta 8080, você pode usar o seguinte comando:
sudo ufw delete 2
O segundo método é excluir uma regra especificando a regra real. Por exemplo, se você adicionou uma regra para abrir a porta
8069
pode excluí-la com:
Desativar UFW
Se, por qualquer motivo, você quiser parar o UFW e desativar todas as regras, execute:
sudo ufw disable
Posteriormente, se você deseja reativar o UTF e ativar todas as regras, digite:
Redefinir UFW
A redefinição do UFW desativará o UFW e excluirá todas as regras ativas. Isso é útil se você deseja reverter todas as suas alterações e começar do zero.
Para redefinir o UFW, basta digitar o seguinte comando:
Conclusão
Você aprendeu como instalar e configurar o firewall UFW na sua máquina Debian 9. Certifique-se de permitir todas as conexões de entrada necessárias para o funcionamento adequado do seu sistema, enquanto limita todas as conexões desnecessárias.
firewall ufw iptables segurança debianUse o aplicativo Configurar os PCs da escola para configurar PCs com Windows em Escolas Baixe o aplicativo Configurar computadores da escola na Windows Store e use-o para configurar rapidamente seus computadores Windows 10 para melhores opções de aprendizado para os alunos
Os computadores agora se tornaram parte integrante da educação nas escolas, e quase todas as boas escolas têm os sistemas de computador definidos para seus alunos. O único problema com a educação em informática na escola ocorre quando os alunos se distraem com vários aplicativos e recursos dos PCs.
Como listar e excluir regras de firewall ufw
UFW significa Uncomplicated Firewall e é uma interface amigável para gerenciar regras de firewall do iptables (netfilter). Neste tutorial, abordaremos como listar e excluir regras de firewall UFW.
Como configurar um firewall com o ufw no ubuntu 18.04
Por padrão, o Ubuntu vem com uma ferramenta de configuração de firewall chamada UFW (Uncomplicated Firewall). O UFW é um front-end fácil de usar para gerenciar regras de firewall do iptables e seu principal objetivo é facilitar o gerenciamento do iptables ou, como o nome diz, não é complicado.