Bedienung
Beschreibung:
Wie schon erwähnt ist die Firewall so eingestellt das Sie alles blockt was eingehend ist. Alles was ausgehend ist wird zugelassen, würde man sie schon einschalten, wäre gar keine Kommunikation rein mehr möglich. Ohne ein ipmi, ausgesperrt
Gott sei Dank ist die Firewall direkt nach der Installation noch nicht aktiv.
Hier kommen einige Fallbeispiele wie man die Firewall konfigurieren kann.
Ist man fertig mit der Konfiguration durch, kann durch ein simples
ufw enabledie Firewall eingeschaltet werden.
Werkseinstellungen:
Sollte man nicht mehr sicher sein, was alles vergeben wurde oder man die Firewall einfach nur zurücksetzten will, Firewall ausschalten die Standard regeln wiederherstellen, eigene Regeln neu setzten, Firewall wieder aktivieren
Firewall ausschalten:
ufw disableNun die Standard Regens setzten:
ufw default deny incoming
ufw default allow outgoingJetzt noch eigene definieren, weil alles eingehende geblockt wird, also auch kein ssh möglich.
Dieses müssen wir freischalten, bevor wir aktivieren und noch viele andere Dienste die wir vielleicht nutzen.
Wenn wir sie nicht nutzen, brauchen diese logischerweise auch nicht freigeschaltet werden.
Status anzeigen:
ufw status verboseAusgabe:
Status: inactiveWenn die Firewall an ist werden hier die Regeln aufgelistet, so kann man auch schnell Prüfen ist die Firewall an oder aus.
Zulassen von ssh Verbindungen:
ufw allow sshAusgabe, hier sieht man das die für ipv6 und ipv4 angewandt wurden::
Rules updated
Rules updated (v6)Dadurch werden Firewall-Regeln erstellt, die alle Verbindungen an Port 22 zulassen; das ist der Port, an dem der SSH-Daemon standardmäßig lauscht. UFW weiß, was Port allow ssh bedeutet, da dies in der Datei /etc/services als Dienst aufgeführt wird.
Wir können die äquivalente Regel jedoch auch schreiben, indem wir den Port anstelle des Dienstnamens angeben. Dieser Befehl funktioniert zum Beispiel genauso wie oben
ufw allow 22Ausgabe, hier sieht man das die für ipv6 und ipv4 angewandt wurden:
fw allow 22
Rules updated
Rules updated (v6)
Nun die Firewall anschalten:
ufw enableAusgabe, Frage:
Command may disrupt existing ssh connections. Proceed with operation (y|n)? Da wir gerade die Ausnahme für ssh hinzugefügt haben, sollten wir nicht getrennt werden und kann mit y bestätigt werden
Nun können wir uns die Regelns anzeigen lassen
ufw status verboseAusgabe, wie wir sehen default deny incoming, allow outgoing, hier explicit 22 enabled für incoming:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip
To Action From
-- ------ ----
22 ALLOW IN Anywhere
22/tcp ALLOW IN Anywhere
22 (v6) ALLOW IN Anywhere (v6)
22/tcp (v6) ALLOW IN Anywhere (v6) Zulassen Portbereiche und Protokolltyp UDP/TCP:
ufw allow 6000:6007/tcp
ufw allow 6000:6007/udpZulassen eingehender Verbindung von einer bestimmten IP (Source):
ufw allow from 203.0.113.4Man kann aber auch festlegen das diese ip auch nur zu einem Bestimmten Port darf und somit nicht alles darf wie im Beisiel darüber. Somit darf die ip ssh nutzen, aber zum beispiel kein http. Beim oberen Beispiel hätte auch http funktioniert, weil für diese ip alles offen wäre. Jetzt da wir den Port mit angeben haben. Kann die IP auch nur mit Port 22 verbinden
ufw allow from 203.0.113.4 to any port 22Zulassen von Subnetzen:
ufw allow from 203.0.113.0/24Auch hier wieder mit to any port kann explizit der Port festgelegt werden.
ufw allow from 203.0.113.0/24 to any port 22Verschiedenen Netzwerkschnittstellen:
Man hat zwei Netzwerkkarten, möchte aber nur auf Netzwerkkarte eth0 ssh erlauben auf eth1 nicht. Das machen wir mit allow in on gefolgt von der Netzwerkkarte und dann to any port Portnummer
ufw allow in on eth0 to any port 22Ablehnen von Verbindungen:
ufw deny 80Oder wenn alle eingehenden Verbindungen von einer IP geblockt werden sollen
ufw deny from 203.0.113.4Oder diese ip nur auf diesen Port nicht zugreifen darf.
ufw deny from 203.0.113.4 to any port 80Regeln löschen
Zu wissen, wie man Firewall-Regeln löscht, ist genauso wichtig wie zu wissen, wie man sie erstellt. Es gibt zwei Wege, um anzugeben, welche Regeln gelöscht werden sollen: anhand der Regelnummer oder der tatsächlichen Regel (ähnlich wie beim Angeben der Regeln im Rahmen der Erstellung). Wir beginnen mit der Methode Löschen anhand von Regelnummer, da sie einfacher ist.
Nach Regelnummer:
Wenn Sie die Regelnummer verwenden, um Firewall-Regeln zu löschen, wird eine Liste Ihrer Firewall-Regeln angezeigt. Der UFW-Statusbefehl hat eine Option, um neben jeder Regel eine Nummer anzuzeigen, wie hier gezeigt:
ufw status numberedAusgabe:
Status: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN Anywhere
[ 2] 22/tcp ALLOW IN Anywhere
[ 3] 22 (v6) ALLOW IN Anywhere (v6)
[ 4] 22/tcp (v6) ALLOW IN Anywhere (v6) Nun können wir die regel mit der Nummer die wir nicht mehr haben wollen löschen, als Beispiel Nr 2
ufw delete 2Nach tatsächlicher regel, kann ich persönlich nur empfehlen
ufw delete allow 80Wir löschen die regel genauso wie sie angelegt wurde nur eben mit delete davor.
Dies löscht alle ipv4 und ipv6 regeln auf diesen Port.
Zurücksetzten, wenn Standardrichtlinien nicht geändert wurden.:
Es gibt auch einen Schnellbefehl, alle regeln zu löschen und die Firewall zu deaktivieren um neu anzufangen:
ufw resetAusgehende Verbindungen blocken:
Erstmal auch die Standardregel alle ausgehenden Verbindungen blocken anwenden:
ufw default deny outgoingNun die Verbindung zum Beispiel zu einer IP erlauben, indem diese freigeschaltet wird.
ufw allow out to 11.22.33.44Nun können einzelne Ports ausgehend erlaubt werden:
ufw allow out to any port 80Oder auf eine einzelne Netzwerkkarte bezogen
ufw allow out on eth0 to any port 80Um das ganze schnell wieder rückgangigckgängig zu machen und alle ausgehenden Verbindungen wieder zuzulassen
ufw default allow outgoing