Como proteger seu servidor Linux com um firewall UFW

Shutterstock / Anatolir

UFW, abreviação de “ firewall não complicado, ” é um frontend para o utilitário iptables mais complexo. Ele foi projetado para tornar o gerenciamento de um firewall tão simples quanto configurar portas para serem abertas e fechadas e regular o tráfego permitido.

Configurando UFW

O UFW é instalado por padrão no Ubuntu, mas se não for, você pode instalá-lo a partir do apt:

 sudo apt-get install ufw 

Se você estiver executando outra distro, terá que usar o gerenciador de pacotes dessa distro, mas o UFW está amplamente disponível. Você pode verificar o status do firewall com:

 status sudo ufw 

Que deve dizer “ Inativo ” se você não tiver configurado antes.

Um bom lugar para começar com qualquer firewall é fechando todo o tráfego de entrada e permitindo o tráfego de saída. Não se preocupe, isso não cortará sua conexão SSH imediatamente, pois o firewall ainda não está habilitado.

 sudo ufw default nega entrada sudo ufw default permite saída 

Isso nos dá uma folha em branco para trabalhar e adicionar regras em cima dela.

Abrindo portas com UFW

Para abrir portas, use o comando ufw allow. Por exemplo, você precisará abrir a porta 22, então vá em frente e execute:

 sudo ufw allow 22 

Você também pode deixar uma nota para o seu futuro ao adicionar qualquer regra:

 sudo ufw allow 8080 / tcp comentário 'Abrir porta para Express API' 

Muitos aplicativos instalam perfis para UFW, sendo SSH um deles. Portanto, você também pode permitir que certos aplicativos abram as portas de que precisam, especificando o nome:

 sudo ufw permitir ssh 

Você pode ver uma lista de aplicativos disponíveis com ufw app list e ver detalhes sobre um aplicativo com ufw app info [nome].

Você também pode permitir uma grande variedade de portas usando dois-pontos como separador e pode especificar um protocolo. Por exemplo, para permitir apenas o tráfego TCP nas portas 3000 a 3100, você pode executar:

 sudo ufw allow 3000: 3100 / tcp 

Uma vez que o padrão é definido para impedir a entrada, você não precisará fechar manualmente nenhuma porta. Se você quiser fechar uma porta de saída, você &’ terá que especificar uma direção ao lado de rejeitar ufw:

 sudo ufw rejeitar 3001 

Lista de permissões e limitação de taxa com UFW

Você pode permitir que determinados endereços IP tenham permissões diferentes. Por exemplo, para permitir todo o tráfego de seu endereço IP, você pode executar:

 sudo ufw allow 192.168.1.1 

Para colocar portas específicas na lista de permissões, você &’ terá que usar a sintaxe mais completa:

 sudo ufw permite proto tcp de 192.168.1.1 a qualquer porta 22 

Você provavelmente não vai querer colocar o acesso SSH na lista de permissões dessa forma, a menos que tenha uma conexão de backup ou algum tipo de configuração de bloqueio de porta, já que os endereços IP mudam com frequência. Uma opção se você deseja restringir o acesso SSH apenas a você é configurar um servidor OpenVPN na mesma nuvem privada e colocar o acesso a esse servidor na lista de permissões.

Se você deseja colocar na lista de permissões um bloco inteiro de endereços IP, como é o caso quando você &’ está executando seus servidores por meio de um provedor de nuvem privada virtual, você pode usar a notação de sub-rede CIDR padrão:

 sudo ufw allow 192.168.0.0/24

As sub-redes são muito complicadas, então você pode ler nosso guia para trabalhar com elas para saber mais.

A limitação de taxa é outro recurso útil de firewalls que pode bloquear conexões que são obviamente abusivas. Isso é usado para proteger contra um invasor que tenta forçar uma porta SSH aberta. Obviamente, você pode colocar a porta na lista de permissões para protegê-la inteiramente, mas a limitação de taxa é útil de qualquer maneira. Por padrão, a taxa UFW limita 6 conexões por 30 segundos e deve ser usada para SSH:

 sudo ufw limit ssh 

Ligue UFW

Depois de configurar suas regras, você pode ativar o UFW. Certifique-se de que o SSH na porta 22 esteja aberto ou você ficará bloqueado. Se desejar, você pode desativar a execução do UFW na inicialização para que uma redefinição corrija quaisquer problemas em potencial:

 sudo systemctl disable ufw 

Então, você pode habilitar o UFW com:

 sudo ufw enable 

Se tudo estiver certo, você pode executar o ufw status para ver o status atual do firewall. Se você não estiver bloqueado e o firewall estiver em execução, configure-o para ser executado na inicialização com:

 sudo systemctl enable ufw 

Sempre que você fizer alterações, precisará recarregar o firewall com:

 sudo ufw recarregar 

Você também pode ativar o registro para registrar as conexões com / var / log /:

 sudo ufw fazendo logon 

Gerenciamento e exclusão de regras

Se desejar excluir uma regra, você terá que obter seu número com:

 status sudo ufw numerado 

Observe que os números começam em 1, não em 0. Você pode excluir uma regra por número:

 sudo ufw deletar [número] 

Novamente, certifique-se de não excluir sua regra mantendo a porta 22 aberta. Você pode usar o parâmetro --dry-run para que o UFW solicite sua confirmação:

Se você fizer alguma alteração, precisará recarregar o firewall novamente.