web-dev-qa-db-fra.com

Quelles règles utiliser pour UFW?

J'ai décidé de permettre à l'UFW fourni avec Ubuntu de rendre mon système encore plus sécurisé (surtout après avoir visionné une vidéo d'une personne dont l'ordinateur a en fait été infecté!), Et j'ai activé UFW et installé GUFW, mais je ' Je ne sais pas quoi faire ensuite. Lorsque je vérifie l'état du pare-feu, il indique qu'il est actif. Quelles sont les règles que je devrais configurer pour utiliser réellement le pare-feu, car pour le moment, je suppose que tout est permis, agissant comme si ce n’était pas le cas.

8
Icedrake

Si vous avez défini ufw sur activé , vous avez activé les règles prédéfinies, ce qui signifie que ufw (via iptables) bloque activement les paquets.

Si vous voulez plus de détails, lancez

Sudo ufw status verbose

et vous verrez quelque chose comme ça

$ Sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

ce qui signifie fondamentalement que tous les entrants sont refusés et que tous les sortants sont autorisés. C'est un peu plus compliqué que cela (par exemple, ESTABLISHED - sur demande - les paquets sont autorisés à entrer), et si vous êtes intéressé par l'ensemble des règles, voyez le résultat de Sudo iptables -L.

Si vous avez une adresse IP publique, vous pouvez utiliser un test en ligne pour avoir une idée de la qualité du filtrage, par exemple www.grc.com (recherchez ShieldsUP ) ou nmap-online .

Vous devriez également voir les messages concernant les paquets bloqués/autorisés dans les journaux (/var/log/syslog et /var/log/ufw.log ).

10
arrange

Voir https://wiki.ubuntu.com/UncomplicatedFirewall .

Caractéristiques

ufw présente les caractéristiques suivantes:

Commencer avec ufw est facile. Par exemple, pour activer le pare-feu, autoriser l'accès ssh, activer la journalisation et vérifier l'état du pare-feu, procédez comme suit:

$ Sudo ufw allow ssh/tcp
$ Sudo ufw logging on
$ Sudo ufw enable
$ Sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   Anywhere

Ceci configure un pare-feu refusant par défaut (DROP) pour les connexions entrantes, toutes les connexions sortantes étant autorisées avec le suivi de l'état.

Fonctionnalité avancée

Comme mentionné, le framework ufw est capable de faire tout ce que iptables peut faire. Ceci est réalisé en utilisant plusieurs ensembles de fichiers de règles, qui ne sont rien de plus que des fichiers texte compatibles avec iptables-restore. Ajuster ufw et/ou ajouter des commandes iptables supplémentaires qui ne sont pas proposées via la commande ufw consiste à éditer divers fichiers texte:

  • /etc/default/ufw: configuration de haut niveau, telle que les stratégies par défaut, le support IPv6 et les modules du noyau à utiliser
  • /etc/ufw/before[6].rules: les règles de ces fichiers sont évaluées avant toute règle ajoutée via la commande ufw
  • /etc/ufw/after[6].rules: les règles de ces fichiers sont évaluées après les règles ajoutées via la commande ufw
  • /etc/ufw/sysctl.conf: paramètres de réseau du noyau
  • /var/lib/ufw/user[6].rules ou /lib/ufw/user[6].rules (0.28 et ultérieur): règles ajoutées via la commande ufw (ne doivent normalement pas être modifiées à la main)
  • /etc/ufw/ufw.conf: définit si ufw est activé ou non au démarrage, et dans 9.04 (oufw 0.27) et plus tard, définit le LOGLEVEL

Après avoir modifié l’un des fichiers ci-dessus, activez les nouveaux paramètres avec:

$ Sudo ufw disable
$ Sudo ufw enable
1
user108056

Un pare-feu peut fournir deux niveaux de protection très différents.

ONE: - Il peut bloquer toute tentative externe de connexion à un hôte donné.

TWO: - Il peut contrôler, limiter et masquer toutes les connexions disponibles.

Vous devez commencer par ONE et penser à DEUX plus tard.

STEPS:

A. Créer le fichier de script

gedit ~/ufw-MyRules.sh

brouillon:

#!/bin/sh

# -------------------------------------
#
#  firewall settings  
#
#    ver: 00.01
#    rev: 30-Nov-2011
#
#  for Ubuntu 11.10
#
# -------------------------------------

# -------------------------------------
#  reset rules

# disable firewall
Sudo ufw disable

# reset all firewall rules
Sudo ufw reset --force

# set default rules: deny all incoming traffic, allow all outgoing traffic
Sudo ufw default deny incoming
Sudo ufw default allow outgoing


# -------------------------------------
#  My rules  (CURRENTLY DISABLED)

# open port for SSH (remote support)
#  from: 111.222.333.444, port OpenSSH, limit
#Sudo ufw limit log from 111.222.333.444 to any port 22

# open port for network time protocol (ntpq)
#Sudo ufw allow ntp



# -------------------------------------
#  re-start

# enable firewall
Sudo ufw enable

# list all firewall rules
Sudo ufw status verbose

B. Définir l'autorisation du fichier (nécessaire une seule fois)

chmod a+x ufw-MyRules.sh

C. Lancer le script

./ufw-MyRules.sh
1
david6

Insérez ufw -h comme ceci:

terminal@terminal: ufw -h
Invalid syntax

Usage: ufw COMMAND

Commands:
 enable                          enables the firewall
 disable                         disables the firewall
 default ARG                     set default policy
 logging LEVEL                   set logging to LEVEL
 allow ARGS                      add allow rule
 deny ARGS                       add deny rule
 reject ARGS                     add reject rule
 limit ARGS                      add limit rule
 delete RULE|NUM                 delete RULE
 insert NUM RULE                 insert RULE at NUM
 reset                           reset firewall
 status                          show firewall status
 status numbered                 show firewall status as numbered list of RULES
 status verbose                  show verbose firewall status
 show ARG                        show firewall report
 version                         display version information

Application profile commands:
 app list                        list application profiles
 app info PROFILE                show information on PROFILE
 app update PROFILE              update PROFILE
 app default ARG                 set default application policy
0
user108056