Linux-Admin: Ubuntu-Firewall UFW

Aus Hergipedia
Version vom 18. März 2014, 19:02 Uhr von Winkler (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== Wozu ist das gut? == Um einen Ubuntu-Server nach außen zu sichern, ist eine Firewall sinnvoll, die man zunächst konfigureieren muss. == Paketinstallatio…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Wozu ist das gut?

Um einen Ubuntu-Server nach außen zu sichern, ist eine Firewall sinnvoll, die man zunächst konfigureieren muss.

Paketinstallation

Die benötigte Firewall ufw ist Bestandteil der Standardinstallation von Ubuntu Server, jedoch nicht .

Setup

Um herauszufinden, wie die Netzwerkkarten heißen, benutzt man folgenden Befehl:

ifconfig -a

Die Netzwerkeinstellungen werden in der Datei /etc/network/interfaces vorgenommen. Bei der Installation bekommt meist die erste Netzwerkkarte (meist eth0, kann auch anders heißen) die öffentliche IP. Das sieht dann so aus:

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
	address 134.245.135.181
	netmask 255.255.0.0
	network 134.245.0.0
	broadcast 134.245.255.255
	gateway 134.245.1.200
	# dns-* options are implemented by the resolvconf package, if installed
	dns-nameservers 134.245.10.7 134.245.1.2
	dns-search oc.uni-kiel.de

Zum Einsatz als VM-Host muss diese Verbindung überbrückt werden. Die Brücke wird br0 genannt und bekommt die nach draußen sichtbare IP sowie eine Zeile bridge_ports, die angibt, welche Netzwerkkarten gebrückt werden (also in der Regel eth0, die vorher die öffentliche IP hatte). Die Config sieht dann so aus:

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto br0
iface br0 inet static
	address 134.245.135.181
	netmask 255.255.0.0
	network 134.245.0.0
	broadcast 134.245.255.255
	gateway 134.245.1.200
	bridge_ports eth0
	# dns-* options are implemented by the resolvconf package, if installed
	dns-nameservers 134.245.10.7 134.245.1.2
	dns-search oc.uni-kiel.de

Jetzt muss noch die interne Netzwerkkarte (meist eth1) für das Storage-Network konfiguriert werden. Dazu erweitert man die config wie folgt (Beispiel vmhost1):

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto br0
iface br0 inet static
	address 134.245.135.181
	netmask 255.255.0.0
	network 134.245.0.0
	broadcast 134.245.255.255
	gateway 134.245.1.200
	bridge_ports eth0
	# dns-* options are implemented by the resolvconf package, if installed
	dns-nameservers 134.245.10.7 134.245.1.2
	dns-search oc.uni-kiel.de

# The storage network interface
auto eth1
iface eth1 inet static
	address 192.168.0.12
	netmask 255.255.255.0
	network 192.168.0.0
	broadcast 192.168.0.255

Wenn die Config fertig ist, wird das Netzwerk neu gestartet:

service networking restart

Danach sollte man mit den storage-Geräten "reden" können. Beim Start von VMs erhalten diese automatisch virtuelle Netzwerkadapter, die vnet0, vnet1 usw. heißen und die br0 mitbenutzen (soweit in der VM-XML definiert).