Linux-Admin: Ubuntu-Firewall UFW: Unterschied zwischen den Versionen

Aus Hergipedia
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== Wozu ist das gut? == Um einen Ubuntu-Server nach außen zu sichern, ist eine Firewall sinnvoll, die man zunächst konfigureieren muss. == Paketinstallatio…“)
 
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
== Wozu ist das gut? ==
== Wozu ist das gut? ==


Um einen Ubuntu-Server nach außen zu sichern, ist eine Firewall sinnvoll, die man zunächst konfigureieren muss.
Um einen Ubuntu-Server nach außen zu sichern, ist eine Firewall sinnvoll, die man zunächst konfigurieren muss.


== Paketinstallation ==
== Paketinstallation ==


Die benötigte Firewall ufw ist Bestandteil der Standardinstallation von Ubuntu Server, jedoch nicht .
Die benötigte Firewall ufw ist Bestandteil der Standardinstallation von Ubuntu Server, jedoch nicht standardmäßig gestartet.


== Setup ==
== Setup ==


Um herauszufinden, wie die Netzwerkkarten heißen, benutzt man folgenden Befehl:
Für UFW müssen Regeln definiert werden. Zunächst wird festgelegt, dass eingehende Verbindungen grundsätzlich blockiert werden, wenn keine Regel explizit Dinge erlaubt:


  ifconfig -a
  ufw default deny


Die Netzwerkeinstellungen werden in der Datei /etc/network/interfaces vorgenommen. Bei der Installation bekommt meist die erste Netzwerkkarte (meist eth0, kann auch anders heißen) die öffentliche IP. Das sieht dann so aus:
Danach kann man sich daran machen, die Dienste wieder zu erlauben, die man benötigt, z.B.:


  # The loopback network interface
  ufw allow ssh
  auto lo
  ufw allow http
  iface lo inet loopback
  ufw allow https
   
  ufw allow samba
  # The primary network interface
  ufw allow nfs
auto eth0
iface eth0 inet static
address 134.245.135.181
netmask 255.255.0.0
network 134.245.0.0
broadcast 134.245.255.255
gateway 134.245.1.200
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 134.245.10.7 134.245.1.2
dns-search oc.uni-kiel.de


Zum Einsatz als VM-Host muss diese Verbindung überbrückt werden. Die Brücke wird br0 genannt und bekommt die nach draußen sichtbare IP sowie eine Zeile bridge_ports, die angibt, welche Netzwerkkarten gebrückt werden (also in der Regel eth0, die vorher die öffentliche IP hatte). Die Config sieht dann so aus:
Für VM-Hosts mit Netzwerkbrücke empfiehlt sich eine zusätzliche Zeile oberhalb von COMMIT in der config-Datei /etc/ufw/before.rules:


  # The loopback network interface
  # fix vmhost bridged devices
  auto lo
  -I FORWARD -m physdev --physdev-is-bridged -j ACCEPT
iface lo inet loopback
# The primary network interface
auto br0
iface br0 inet static
address 134.245.135.181
netmask 255.255.0.0
network 134.245.0.0
broadcast 134.245.255.255
gateway 134.245.1.200
bridge_ports eth0
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 134.245.10.7 134.245.1.2
dns-search oc.uni-kiel.de


Jetzt muss noch die interne Netzwerkkarte (meist eth1) für das Storage-Network konfiguriert werden. Dazu erweitert man die config wie folgt (Beispiel vmhost1):
Außerdem sollte die storage-Netzwerkkarte grundsätzlich nicht blockiert werden (Beispiel eth1):


  # The loopback network interface
  ufw allow in on eth1 from any to any
auto lo
  ufw allow out on eth1 from any to any
iface lo inet loopback
# The primary network interface
auto br0
iface br0 inet static
address 134.245.135.181
netmask 255.255.0.0
network 134.245.0.0
broadcast 134.245.255.255
gateway 134.245.1.200
bridge_ports eth0
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 134.245.10.7 134.245.1.2
dns-search oc.uni-kiel.de
# The storage network interface
auto eth1
  iface eth1 inet static
address 192.168.0.12
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255


Wenn die Config fertig ist, wird das Netzwerk neu gestartet:
Wenn man genug Löcher gebohrt hat, kann man UFW scharf schalten:


  service networking restart
  ufw enable


Danach sollte man mit den storage-Geräten "reden" können. Beim Start von VMs erhalten diese automatisch virtuelle Netzwerkadapter, die vnet0, vnet1 usw. heißen und die br0 mitbenutzen (soweit in der VM-XML definiert).


<br/><br/><br/><br/>
<br/><br/><br/><br/>


[[Category:Installations- und Konfigurationsanleitungen|Installations-_und_Konfigurationsanleitungen]] <br/>[[Category:Anleitung]] <br/> <br/>
[[Category:Installations- und Konfigurationsanleitungen|Installations-_und_Konfigurationsanleitungen]] <br/>[[Category:Anleitung]] <br/> <br/>

Version vom 18. März 2014, 21:25 Uhr

Wozu ist das gut?

Um einen Ubuntu-Server nach außen zu sichern, ist eine Firewall sinnvoll, die man zunächst konfigurieren muss.

Paketinstallation

Die benötigte Firewall ufw ist Bestandteil der Standardinstallation von Ubuntu Server, jedoch nicht standardmäßig gestartet.

Setup

Für UFW müssen Regeln definiert werden. Zunächst wird festgelegt, dass eingehende Verbindungen grundsätzlich blockiert werden, wenn keine Regel explizit Dinge erlaubt: 

ufw default deny

Danach kann man sich daran machen, die Dienste wieder zu erlauben, die man benötigt, z.B.: 

ufw allow ssh
ufw allow http
ufw allow https
ufw allow samba
ufw allow nfs

Für VM-Hosts mit Netzwerkbrücke empfiehlt sich eine zusätzliche Zeile oberhalb von COMMIT in der config-Datei /etc/ufw/before.rules: 

# fix vmhost bridged devices
-I FORWARD -m physdev --physdev-is-bridged -j ACCEPT

Außerdem sollte die storage-Netzwerkkarte grundsätzlich nicht blockiert werden (Beispiel eth1): 

ufw allow in on eth1 from any to any
ufw allow out on eth1 from any to any

Wenn man genug Löcher gebohrt hat, kann man UFW scharf schalten: 

ufw enable









Abgerufen von „http:///mediawiki/index.php?title=Linux-Admin:_Ubuntu-Firewall_UFW&oldid=9023