• Vastliggende pagina
  • Info
  • Bijlages

Uitbreiding nodig: Dit artikel is onvolledig en moet worden uitgebreid. Meer info...

Ubuntu Firewall

Inleiding

De Linux kernel ("het hart van het Ubuntu systeem") heeft een ingebouwde pakket filter (Netfilter) subsysteem wat als firewall gebruikt kan worden. Alle moderne GNU\Linux firewalls zijn hierop gebaseerd.

  • Info (!) Deze firewall is standaard geïnstalleerd.

Om de pakket filter in de kernel te gebruiken als firewall is een programma nodig. Het terminalvensterprogramma iptables.

Als netwerkverkeer op de computer aankomt zal door het Netfilter subsysteem worden behandeld. Het moet worden geaccepteerd, kan worden gewijzigd of worden afgewezen op basis van regels die zijn ingesteld met iptables. Om de firewall met iptables in te stellen maakt Ubuntu standaard gebruik van de Uncomplicated Firewall (ufw) als instelhulpmiddel.

  • (i) Gufw is een grafisch programma om de Ubuntu Firewall (ufw) eenvoudig in te stellen. Kijk in het artikel over Gufw.

Netwerk

Standaard gebruikt Ubuntu ufw als hulpmiddel voor het instellen van de firewall.

Voorbeelden van het gebruik van ufw:

  • ten eerste moet de ufw configuratie worden geactiveerd. Open een Terminalvenster en type de opdracht:

  • $ sudo ufw enable
    Firewall is actief, en ingeschakeld tijdens systeemopstart
  • ufw kan worden uitgeschakeld met de opdracht:

  • $ sudo ufw disable
    Firewall is gestopt, en uitgeschakeld tijdens systeemopstart
  • om netwerk verkeer op poort 22 toe te staan
  • $ sudo ufw allow 22
    Regel toegevoegd
  • poort 22 weer sluiten:
  • $ sudo ufw deny 22
    Regel bijgewerkt
  • de regel over poort 22 weer te vergeten:
  • $ sudo ufw delete deny 22
    Regel gedetecteerd
  • Het is ook mogelijk om een bepaalde computer of netwerk toegang te geven tot een specifieke netwerkpoort. In het volgende voorbeeld wordt ssh (poort 22) toegang gegeven aan ip-adres 192.168.0.2:
  • sudo ufw allow proto tcp from 192.168.0.2 to any port 22
  • Het volgende voorbeeld geeft deze ssh toegang voor een heel ip-subnetwerk (192.168.0.1 t/m 192.168.0.254):

  • sudo ufw allow proto tcp from 192.168.0.0/24 to any port 22
  • Als ufw met de optie --dry-run wordt uitgevoerd worden de filterregels getoond maar niet toegepast. Om de regels te tonen voor het openstellen van de HTTP netwerkpoort:

  • $ sudo ufw --dry-run allow http
    *filter
    :ufw-user-input - [0:0]
    :ufw-user-output - [0:0]
    :ufw-user-forward - [0:0]
    :ufw-user-limit - [0:0]
    :ufw-user-limit-accept - [0:0]
    ### RULES ###
    
    ### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 in
    -A ufw-user-input -p tcp --dport 80 -j ACCEPT
    
    ### END RULES ###
    -A ufw-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT BLOCK] "
    -A ufw-user-limit -j REJECT
    -A ufw-user-limit-accept -j ACCEPT
    COMMIT
    Regels bijgewerkt
  • Om de status van de firewall te zien:
  • $ sudo ufw status
    Status: actief
  • voor uitgebreide status informatie:
  • $ sudo ufw status verbose
    Status: actief
    Loggen: on (low)
    Standaard: deny (inkomend), allow (uitgaand)
    Nieuwe profielen: skip
    
    Naar                       Actie       Van
    ----                       -----       ---
    22                         ALLOW IN    Anywhere

Info (!) Als het poortnummer bekend is (gedefinieerd in /etc/services) kan de naam van de poort in plaats van het nummer worden gebruikt. In de voorgaande voorbeelden kan 22 vervangen worden door ssh

Programma's

Namen van netwerk-programma's kunnen worden gedefinieerd in het bestand /etc/ufw/applications.d. Dit bestand kan gewijzigd worden als er een afwijkend poortnummer wordt gebruikt.

  • Om te zien welke toepassingen zijn gedefinieerd kan de volgende terminalopdracht worden gebruikt:
  • $ sudo ufw app list
    Beschikbare programma's:
      CUPS
      OpenSSH
      Samba
  • Het is mogelijk de juiste poorten open te stellen middels de naam van het programma:
  • $ sudo ufw allow Samba
    Regel toegevoegd
  • De naam van het programma kan ook gebruikt worden in uitgebreide(re) regels:
  • $ sudo ufw allow from 192.168.0.0/24 to any app Samba
    Regel toegevoegd
    • Vervang Samba en 192.168.0.0/24 door het programma en netwerk wat ingesteld moet worden.

    • Merk op dat geen poortnummers nodig zijn in de ufw regel. De poortnummers komen uit de beschrijving van het programma.
  • Om informatie over een bepaald programma te bekijken:
  • $ sudo ufw app info Samba
    Profiel: Samba
    Titel: LanManager-like file and printer server for Unix
    Description: The Samba software suite is a collection of programs that
    implements the SMB/CIFS protocol for unix systems, allowing you to serve
    files and printers to Windows, NT, OS/2 and DOS clients. This protocol is
    sometimes also referred to as the LanManager or NetBIOS protocol.
    
    Ports:
      137,138/udp
      139,445/tcp

Info (!) Niet voor alle (netwerk) programma's is een beschrijving aanwezig.

Logregels

  • Info <!> het schrijven van logregels werkt niet in alle versies zoals beschreven. Verbeteringen zijn welkom.

Logregels van de firewall zijn essentieel voor het herkennen van aanvallen op het netwerk, het oplossen van problemen met de firewall instellingen en om inzicht te krijgen in het netwerk verkeer. De log optie moet dan wel zijn opgenomen in de firewall regel (zoals ACCEPT, DROP of REJECT).

Als ufw is geactiveerd kan het schrijven van logregels worden aangezet met de terminalvenster opdracht:

  • $ sudo ufw logging on
    Loggen ingeschakeld

Het schrijven kan weer worden gestopt door in deze opdracht on te vervangen door off. Standaard staat het logniveau laag (low) maar ook andere instellingen (medium, high, full) zijn mogelijk door deze aan de opdracht toe te voegen.

  • Bijvoorbeeld om netwerk verkeer van poort 22 toe te staan en hiervan een logboekregel te schrijven:
  • $ sudo ufw allow log 22
    Regel bijgewerkt

De logboekregels zijn te vinden in het bestand /var/log/messages.

meer informatie

  • Gufw is een grafisch programma om de Ubuntu Firewall (ufw) eenvoudig in te stellen. Kijk hier voor een artikel over Gufw.

  • ufw manual - de laatste versie van de ufw man pagina voor meer (Engelstalige) informatie.

  • Ubuntu Server Guide - Dit artikel is opgezet aan de hand van dit Engelstalige artikel.

  • Engelstalige wiki - De Engelstalige wiki.

  • UbuntuFirewall - Engelstalige community wiki.


CC-BY-SA

CategoryVeiligheid CategoryNetwerkenEnServers

community/UbuntuFirewall (laatst bewerkt op 2011-11-29 21:00:07 door testcees)