Linux-Admin: Ubuntu-Firewall UFW

Aus Hergipedia
Version vom 18. März 2014, 21:28 Uhr von Winkler (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Wozu ist das gut?

Um einen Ubuntu-Server nach außen zu sichern, ist eine Firewall sinnvoll, die man zunächst konfigurieren muss.

Paketinstallation

Die benötigte Firewall ufw ist Bestandteil der Standardinstallation von Ubuntu Server, jedoch nicht standardmäßig gestartet.

Setup

Für UFW müssen Regeln definiert werden. Zunächst wird festgelegt, dass eingehende Verbindungen grundsätzlich blockiert werden, wenn keine Regel explizit Dinge erlaubt:

ufw default deny

Danach kann man sich daran machen, die Dienste wieder zu erlauben, die man benötigt, z.B.:

ufw allow ssh
ufw allow http
ufw allow https
ufw allow samba
ufw allow nfs

Für VM-Hosts mit Netzwerkbrücke empfiehlt sich eine zusätzliche Zeile oberhalb von COMMIT in der config-Datei /etc/ufw/before.rules:

# fix vmhost bridged devices
-I FORWARD -m physdev --physdev-is-bridged -j ACCEPT

Außerdem sollte die storage-Netzwerkkarte grundsätzlich nicht blockiert werden (Beispiel eth1):

ufw allow in on eth1 from any to any
ufw allow out on eth1 from any to any

Wenn man genug Löcher gebohrt hat, kann man UFW scharf schalten:

ufw enable

Den Status der Firewall bekommt man zu sehen mit:

ufw status verbose

Um einzelne Regeln wieder zu löschen, lässt man sich die Regeln numeriert auflisten und kann dann nach Nummer löschen:

ufw status numbered
ufw delete <nr.>
service ufw restart