Linux-Admin: Ubuntu-Firewall UFW: Unterschied zwischen den Versionen

Aktuelle Version vom 18. März 2014, 22:28 Uhr

Wozu ist das gut?

Um einen Ubuntu-Server nach außen zu sichern, ist eine Firewall sinnvoll, die man zunächst konfigurieren muss.

Paketinstallation

Die benötigte Firewall ufw ist Bestandteil der Standardinstallation von Ubuntu Server, jedoch nicht standardmäßig gestartet.

Setup

Für UFW müssen Regeln definiert werden. Zunächst wird festgelegt, dass eingehende Verbindungen grundsätzlich blockiert werden, wenn keine Regel explizit Dinge erlaubt:

ufw default deny

Danach kann man sich daran machen, die Dienste wieder zu erlauben, die man benötigt, z.B.:

ufw allow ssh
ufw allow http
ufw allow https
ufw allow samba
ufw allow nfs

Für VM-Hosts mit Netzwerkbrücke empfiehlt sich eine zusätzliche Zeile oberhalb von COMMIT in der config-Datei /etc/ufw/before.rules:

# fix vmhost bridged devices
-I FORWARD -m physdev --physdev-is-bridged -j ACCEPT

Außerdem sollte die storage-Netzwerkkarte grundsätzlich nicht blockiert werden (Beispiel eth1):

ufw allow in on eth1 from any to any
ufw allow out on eth1 from any to any

Wenn man genug Löcher gebohrt hat, kann man UFW scharf schalten:

ufw enable

Den Status der Firewall bekommt man zu sehen mit:

ufw status verbose

Um einzelne Regeln wieder zu löschen, lässt man sich die Regeln numeriert auflisten und kann dann nach Nummer löschen:

ufw status numbered
ufw delete <nr.>
service ufw restart

@@ Zeile 1: / Zeile 1: @@
 == Wozu ist das gut? ==
-Um einen Ubuntu-Server nach außen zu sichern, ist eine Firewall sinnvoll, die man zunächst konfigureieren muss.
+Um einen Ubuntu-Server nach außen zu sichern, ist eine Firewall sinnvoll, die man zunächst konfigurieren muss.
 == Paketinstallation ==
-Die benötigte Firewall ufw ist Bestandteil der Standardinstallation von Ubuntu Server, jedoch nicht .
+Die benötigte Firewall ufw ist Bestandteil der Standardinstallation von Ubuntu Server, jedoch nicht standardmäßig gestartet.
 == Setup ==
-Um herauszufinden, wie die Netzwerkkarten heißen, benutzt man folgenden Befehl:
+Für UFW müssen Regeln definiert werden. Zunächst wird festgelegt, dass eingehende Verbindungen grundsätzlich blockiert werden, wenn keine Regel explizit Dinge erlaubt:
-  ifconfig -a
+  ufw default deny
-Die Netzwerkeinstellungen werden in der Datei /etc/network/interfaces vorgenommen. Bei der Installation bekommt meist die erste Netzwerkkarte (meist eth0, kann auch anders heißen) die öffentliche IP. Das sieht dann so aus:
+Danach kann man sich daran machen, die Dienste wieder zu erlauben, die man benötigt, z.B.:
-  # The loopback network interface
+  ufw allow ssh
-  auto lo
+  ufw allow http
-  iface lo inet loopback
+  ufw allow https
+  ufw allow samba
-  # The primary network interface
+  ufw allow nfs
- auto eth0
- iface eth0 inet static
- 	address 134.245.135.181
- 	netmask 255.255.0.0
- 	network 134.245.0.0
- 	broadcast 134.245.255.255
- 	gateway 134.245.1.200
- 	# dns-* options are implemented by the resolvconf package, if installed
- 	dns-nameservers 134.245.10.7 134.245.1.2
- 	dns-search oc.uni-kiel.de
-Zum Einsatz als VM-Host muss diese Verbindung überbrückt werden. Die Brücke wird br0 genannt und bekommt die nach draußen sichtbare IP sowie eine Zeile bridge_ports, die angibt, welche Netzwerkkarten gebrückt werden (also in der Regel eth0, die vorher die öffentliche IP hatte). Die Config sieht dann so aus:
+Für VM-Hosts mit Netzwerkbrücke empfiehlt sich eine zusätzliche Zeile oberhalb von COMMIT in der config-Datei /etc/ufw/before.rules:
-  # The loopback network interface
+  # fix vmhost bridged devices
-  auto lo
+  -I FORWARD -m physdev --physdev-is-bridged -j ACCEPT
- iface lo inet loopback
- # The primary network interface
- auto br0
- iface br0 inet static
- 	address 134.245.135.181
- 	netmask 255.255.0.0
- 	network 134.245.0.0
- 	broadcast 134.245.255.255
- 	gateway 134.245.1.200
- 	bridge_ports eth0
- 	# dns-* options are implemented by the resolvconf package, if installed
- 	dns-nameservers 134.245.10.7 134.245.1.2
- 	dns-search oc.uni-kiel.de
-Jetzt muss noch die interne Netzwerkkarte (meist eth1) für das Storage-Network konfiguriert werden. Dazu erweitert man die config wie folgt (Beispiel vmhost1):
+Außerdem sollte die storage-Netzwerkkarte grundsätzlich nicht blockiert werden (Beispiel eth1):
-  # The loopback network interface
+  ufw allow in on eth1 from any to any
- auto lo
+  ufw allow out on eth1 from any to any
- iface lo inet loopback
- # The primary network interface
- auto br0
- iface br0 inet static
- 	address 134.245.135.181
- 	netmask 255.255.0.0
- 	network 134.245.0.0
- 	broadcast 134.245.255.255
- 	gateway 134.245.1.200
- 	bridge_ports eth0
- 	# dns-* options are implemented by the resolvconf package, if installed
- 	dns-nameservers 134.245.10.7 134.245.1.2
- 	dns-search oc.uni-kiel.de
- # The storage network interface
- auto eth1
-  iface eth1 inet static
- 	address 192.168.0.12
- 	netmask 255.255.255.0
- 	network 192.168.0.0
- 	broadcast 192.168.0.255
-Wenn die Config fertig ist, wird das Netzwerk neu gestartet:
+Wenn man genug Löcher gebohrt hat, kann man UFW scharf schalten:
-  service networking restart
+  ufw enable
-Danach sollte man mit den storage-Geräten "reden" können. Beim Start von VMs erhalten diese automatisch virtuelle Netzwerkadapter, die vnet0, vnet1 usw. heißen und die br0 mitbenutzen (soweit in der VM-XML definiert).
+Den Status der Firewall bekommt man zu sehen mit:
+ ufw status verbose
+Um einzelne Regeln wieder zu löschen, lässt man sich die Regeln numeriert auflisten und kann dann nach Nummer löschen:
+ ufw status numbered
+ ufw delete <nr.>
+ service ufw restart
 <br/><br/><br/><br/>
 [[Category:Installations- und Konfigurationsanleitungen|Installations-_und_Konfigurationsanleitungen]] <br/>[[Category:Anleitung]] <br/> <br/>

Linux-Admin: Ubuntu-Firewall UFW: Unterschied zwischen den Versionen

Aktuelle Version vom 18. März 2014, 22:28 Uhr

Wozu ist das gut?

Paketinstallation

Setup

Navigationsmenü

Suche