UFW – Uncomplicated FireWall

Escrito por

em

,

Introdução

Para uma introdução consultar o artigo Firewall.

UFW – Uncomplicated FireWall

A ferramenta de configuração padrão da firewall para o Ubuntu é ufw. Desenvolvido para facilitar a configuração da firewall do iptables, o ufw fornece uma maneira fácil de criar uma firewall baseada em host IPv4 ou IPv6. Por padrão, o UFW está desativado.

Gufw é uma GUI disponível como front-end.

Sintaxe e exemplos básicos

As regras padrão são aceitáveis para o utilizador.

Quando o UFW for ativo, vai usar um conjunto de regras (perfis) padrão que devem ser aceitáveis para o utilizador doméstico mediano. Esse é o objetivo principal dos desenvolvedores do Ubuntu. Em resumo, todas as ‘entradas’ são rejeitadas, com algumas exceções para facilitar as coisas para os utilizadores domésticos.
( Procurar as exceções à data de edição )

Ativar e desativar

Ativar UFW

sudo ufw enable

Para verificar o status do UFW:

sudo ufw status verbose

A saída deve ser assim:

utilizador@nomecomputador:~$ sudo ufw status verbose
[sudo] password for youruser:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
utilizador@nomecomputador:~$

Observar que, por padrão, negar está a ser aplicado à entrada. Há exceções, que podem ser encontradas na informação que gera o proximo comando:

sudo ufw show raw

Também podemos ler os ficheiros de regras em /etc/ufw (os arquivos cujos nomes terminam em .rules).

Desativar UFW

Para desativar o ufw, usar: sudo ufw disable .

Permitir e Negar (regras específicas)

Allow (permitir)

Sintaxe: sudo ufw allow <port>/[protocol]

exemplo: para permitir pacotes TCP e UDP recebidos na porta 53

sudo ufw allow 53

exemplo: para permitir pacotes TCP recebidos na porta 53

sudo ufw allow 53/tcp

exemplo: para permitir pacotes udp recebidos na porta 53

sudo ufw allow 53/udp

Permitir IP específico

Sintaxe: sudo ufw allow from <ip address>

exemplo: Para permitir pacotes de 207.46.232.182:

sudo ufw allow from 207.46.232.182

Permitir por sub-rede

sudo ufw allow from 192.168.1.0/24

Permitir por porta e endereço IP específicos

Sintaxe: sudo ufw allow from <target> to <destination> port <port number>

exemplo: permitir que o endereço IP 192.168.0.4 aceda a porta 22 para todos os protocolos

sudo ufw allow from 192.168.0.4 to any port 22

Permitir por porta, endereço IP e protocolo específicos

Sintaxe: sudo ufw allow from <target> to <destination> port <port number> proto <protocol name>

exemplo: permite que o endereço IP 192.168.0.4 aceda à porta 22 e usar TCP

sudo ufw allow from 192.168.0.4 to any port 22 proto tcp

Deny

Em desenvolvimento

Drop PING

Nota: A segurança por obscurecimento pode trazer muito pouco benefício real nos scripts modernos dos crackes. Por padrão, o UFW permite solicitações de ping. Pode deixar as solicitações de ping (icmp) ativadas para ajudar a diagnosticar problemas de rede.

Para desativar as solicitações de ping (icmp), precisa editar o /etc/ufw/before.rules e remover ou comentar as seguintes linhas:

# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

ou mudar o “ACCEPT” para “DROP”. E fica:

# Não ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Fonte: https://help.ubuntu.com/community/UFW

Comentários

Deixe um comentário