Regras e comandos comuns do firewall UFW

Você já ouviu falar na ferramenta UFW?

UFW (firewall não complicado) é uma ferramenta de configuração de firewall que roda em cima do iptables, incluída por padrão nas distribuições do Ubuntu.

Ele fornece uma interface simplificada para configurar casos de uso de firewall comuns por meio da linha de comando.

Este guia fornece uma referência rápida para casos de uso e comandos UFW comuns, incluindo exemplos de como permitir e bloquear serviços por porta, interface de rede e endereço IP de origem.

Como usar este guia

  • Este guia está em formato de folha de dicas com fragmentos de linha de comando independentes.
  • Vá para qualquer seção que seja relevante para a tarefa que você está tentando concluir.
  • Ao ver o texto destacado nos comandos deste guia, lembre-se de que este texto deve se referir a endereços IP de sua própria rede.

Lembre-se de que você pode verificar seu conjunto de regras UFW atual com

sudo ufw status

ou

sudo ufw status verbose

.

Verificar o status do UFW

Para verificar se o ufw está habilitado, execute:

sudo ufw status

A saída indicará se o seu firewall está ativo ou não.

Habilitar UFW

Se você recebeu uma mensagem Status: inativo ao executar o ufw status, significa que o firewall ainda não está habilitado no sistema. Você precisará executar um comando para ativá-lo.

Por padrão, quando habilitado, o UFW bloqueará o acesso externo a todas as portas de um servidor. Na prática, isso significa que se você estiver conectado a um servidor via SSH e habilitar o ufw antes de permitir o acesso pela porta SSH, você será desconectado. Certifique-se de seguir a seção sobre como habilitar o acesso SSH deste guia antes de habilitar o firewall, se for o seu caso.

Para habilitar o UFW em seu sistema, execute:

sudo ufw enable

Você verá uma saída como esta:

Firewall is active and enabled on system startup

Para ver o que está bloqueado ou permitido atualmente, você pode usar o parâmetro verbose ao executar ufw status, da seguinte maneira:

sudo ufw status

Desativar UFW

Se, por algum motivo, você precisar desativar o UFW, poderá fazê-lo com o seguinte comando:

sudo ufw disable

Esteja ciente de que este comando desabilitará totalmente o serviço de firewall em seu sistema.

Bloquear um endereço IP

Para bloquear todas as conexões de rede originadas de um endereço IP específico, execute o seguinte comando, substituindo o endereço IP destacado pelo endereço IP que você deseja bloquear:

sudo ufw deny from 199.0.523.123

Neste exemplo, de 199.0.523.123 especifica um endereço IP de origem de “199.0.523.123”.

Se você executar sudo ufw status agora, verá o endereço IP especificado listado como negado:

Status: active

To                         Action      From
--                         ------      ----
Anywhere                   DENY        199.0.523.123

Todas as conexões, entrando ou saindo, são bloqueadas para o endereço IP especificado.

Bloquear uma sub-rede

Se você precisa bloquear uma sub-rede completa, você pode usar o endereço da sub-rede a partir do parâmetro no comando ufw deny. Isso bloquearia todos os endereços IP na sub-rede de exemplo 199.0.523.123/24:

sudo ufw deny from 199.0.523.123/24

Bloquear conexões de entrada para uma interface de rede

Para bloquear conexões de entrada de um endereço IP específico para uma interface de rede específica, execute o seguinte comando, substituindo o endereço IP destacado pelo endereço IP que você deseja bloquear:

sudo ufw deny in na eth0 de 199.0.523.123

O parâmetro in diz ao ufw para aplicar a regra apenas para conexões de entrada, e o parâmetro on eth0 especifica que a regra se aplica apenas à interface eth0. Isso pode ser útil se você tiver um sistema com várias interfaces de rede (incluindo as virtuais) e precisar bloquear o acesso externo a algumas dessas interfaces, mas não todas.

Permitir um endereço IP

Para permitir todas as conexões de rede originadas de um endereço IP específico, execute o seguinte comando, substituindo o endereço IP destacado pelo endereço IP ao qual deseja permitir o acesso:

sudo ufw allow from 199.0.523.123

Se você executar sudo ufw status agora, verá uma saída semelhante a esta, mostrando a palavra ALLOW ao lado do endereço IP que acabou de adicionar.

Status: active

To                         Action      From
--                         ------      ----
...          
Anywhere                   ALLOW       199.0.523.123

Você também pode permitir conexões de uma sub-rede inteira fornecendo a máscara de sub-rede correspondente para um host, como 203.0.113.0/24.

Permitir conexões de entrada para uma interface de rede

Para permitir conexões de entrada de um endereço IP específico para uma interface de rede específica, execute o seguinte comando, substituindo o endereço IP destacado pelo endereço IP que você deseja permitir:

sudo ufw allow in on eth0 from 199.0.523.123

O parâmetro in diz ao ufw para aplicar a regra apenas para conexões de entrada, e o parâmetro on eth0 especifica que a regra se aplica apenas à interface eth0.

Se você executar sudo ufw status agora, verá uma saída semelhante a esta:

Status: active

To                         Action      From
--                         ------      ----
...         
Anywhere on eth0           ALLOW       199.0.523.123

Excluir regra UFW

Para excluir uma regra que você configurou anteriormente no UFW, use ufw delete seguido pela regra (permitir ou negar) e a especificação de destino. O exemplo a seguir excluiria uma regra definida anteriormente para permitir todas as conexões de um endereço IP de 199.0.523.123:

sudo ufw delete allow from 199.0.523.123

Outra maneira de especificar qual regra você deseja excluir é fornecendo o ID da regra. Essas informações podem ser obtidas com o seguinte comando:

sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] Anywhere                   DENY IN     199.0.523.123             
[ 2] Anywhere on eth0           ALLOW IN    199.0.523.124

Na saída, você pode ver que existem duas regras ativas. A primeira regra, com os valores destacados, nega todas as conexões provenientes do endereço IP 199.0.523.123. A segunda regra permite conexões na interface eth0 provenientes do endereço IP 199.0.523.124.

Como, por padrão, o UFW já bloqueia todo o acesso externo, a menos que seja explicitamente permitido, a primeira regra é redundante, portanto, você pode removê-la. Para excluir uma regra por seu ID, execute:

sudo ufw delete 1

Será solicitado que você confirme a operação e certifique-se de que o ID que está fornecendo se refere à regra correta que deseja excluir.

Deleting:
 deny from 199.0.523.123
Proceed with operation (y|n)? y
Rule deleted

Se você listar suas regras novamente com o status sudo ufw, verá que a regra foi removida.

Permitir SSH

Ao trabalhar com servidores remotos, você deve certificar-se de que a porta SSH está aberta para conexões para que você possa fazer login em seu servidor remotamente.

O comando a seguir habilitará o perfil do aplicativo OpenSSH UFW e permitirá todas as conexões com a porta SSH padrão no servidor:

sudo ufw allow OpenSSH
Rule added
Rule added (v6)

Embora menos amigável, uma sintaxe alternativa é especificar o número da porta exata do serviço SSH, que normalmente é definido como 22 por padrão:

sudo ufw allow 22
Rule added
Rule added (v6)

Permitir Nginx HTTP / HTTPS

Após a instalação, o servidor da web Nginx configura alguns perfis UFW diferentes no servidor. Depois de instalar e ativar o Nginx como serviço, execute o seguinte comando para identificar quais perfis estão disponíveis:

sudo ufw allow "Nginx Full"

Você já sabe Como instalar o WordPress no VestaCP?

Compartilhe esse post:

Adicionar Comentário

O seu endereço de e-mail não será publicado.