Wie richte ich eine einfache Firewall unter Ubuntu ein?

Könnte jemand ein paar einfache Schritte mit Konfigurationsbeispielen geben, wie man eine einfache Firewall unter Ubuntu einrichtet (nur mit der Konsole)? Nur ssh-, http- und https-Zugriff sollte erlaubt sein.

sudo ufw Standard verweigern

sudo ufw erlauben http

sudo ufw erlauben https

sudo ufw erlaube ssh

sudo ufw aktivieren

Verwenden Sie dieses Skript.

Entscheiden Sie einfach, ob Sie eingehendes ICMP (Ping) zulassen möchten oder nicht.

# Clear any existing firewall stuff before we start
iptables --flush
iptables -t nat --flush
iptables -t mangle --flush

# As the default policies, drop all incoming traffic but allow all
# outgoing traffic.  This will allow us to make outgoing connections
# from any port, but will only allow incoming connections on the ports
# specified below.
iptables --policy INPUT DROP
iptables --policy OUTPUT ACCEPT

# Allow all incoming traffic if it is coming from the local loopback device
iptables -A INPUT -i lo -j ACCEPT

# Accept all incoming traffic associated with an established
# connection, or a "related" connection
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow incoming connections
# SSH
iptables -A INPUT -p tcp -i eth0 --dport 22 -m state --state NEW -j ACCEPT
# HTTP
iptables -A INPUT -p tcp -i eth0 --dport 80 -m state --state NEW -j ACCEPT
# HTTPS
iptables -A INPUT -p tcp -i eth0 --dport 443 -m state --state NEW -j ACCEPT

# Allow icmp input so that people can ping us
iptables -A INPUT -p icmp -j ACCEPT

# Reject all other incoming packets
iptables -A INPUT -j REJECT

Wie in den Kommentaren zu einer anderen Antwort erwähnt, möchten Sie Ihre Verbindung nicht verlieren, bevor Sie den SSH-Port zulassen. Von der Manpage:

"FERNVERWALTUNG

Wenn Sie ufw enable ausführen oder ufw über sein Initscript starten, wird ufw seine Ketten leeren. Dies ist erforderlich, damit ufw einen konsistenten Zustand beibehalten kann, aber möglicherweise vorhandene Verbindungen (z. B. ssh) abbricht. ufw unterstützt das Hinzufügen von Regeln vor dem Aktivieren der Firewall, sodass Administratoren Folgendes tun können:

ufw allow proto tcp from any to any port 22

bevor Sie 'ufw enable' ausführen. Die Regeln werden weiterhin gelöscht, aber der SSH-Port ist nach dem Aktivieren der Firewall geöffnet. Bitte beachten Sie, dass ufw, sobald es 'aktiviert' ist, die Ketten beim Hinzufügen oder Entfernen von Regeln nicht leert (sondern beim Ändern einer Regel oder Ändern der Standardrichtlinie). "

Hier ist ein Ansatz, bei dem ein Skript zum Festlegen verwendet wird. Sie werden abgemeldet, wenn Sie dieses Skript ausführen, aber nachdem Sie es ausgeführt haben, können Sie sich über ssh erneut anmelden.

Schreiben Sie folgendes in ein Skript und nennen Sie es start-firewall.sh

#!/bin/sh
ufw allow ssh
ufw enable
ufw default deny
ufw allow http
ufw allow https

Machen Sie es dann ausführbar und führen Sie es aus

$ chmod + x start-firewall.sh
$ sudo ./start-firewall.sh

Weitere Informationen finden Sie in der Manpage .

Wenn Sie mit Skripten vertraut sind iptables, haben Sie die volle Kontrolle über alle Firewall-Funktionen. Es ist bei weitem nicht so freundlich wie Firestarter, aber es kann an der Konsole mit nano/ vieditors durchgeführt werden. Schauen Sie sich dieses auf Ubuntu ausgerichtete Tutorial an.

Quicktables halfen mir, die Iptables-Regeln zu lernen. Führen Sie einfach das Skript aus, und es generiert ein iptables-Skript für Sie. Anschließend können Sie es öffnen und die zugehörigen Befehle anzeigen, die durch die von ihm gestellten Fragen generiert wurden. Es ist eine großartige Lernressource.

Leider wird es nicht mehr gepflegt.

http://qtables.radom.org/

Ich benutze sehr gerne firehol ( Paket ).

Um die gewünschten Setup-Regeln zu erstellen, müssen Sie die Datei / etc / default / firehol bearbeiten und START_FIREHOL = YES ändern

Und Sie möchten, dass Ihre /etc/firehol/firehol.conf so aussieht.

version 5

interface any IfAll
    client any AnyClient accept
    server "ssh http https" accept
    # Accept everything from trusted networks
    server anystateless AllInside accept src "10.3.27.0/24"

Eines der großartigen Dinge an firehol ist der Befehl 'try'. Sie können Ihre Konfigurationsdatei anpassen und einen "firehol try" durchführen. Wenn Sie über ssh verbunden sind und etwas über das, was Sie geändert haben, Ihren Netzwerkzugriff beendet hat, macht firehol die Änderungen rückgängig. Damit die Änderungen tatsächlich wirksam werden, müssen Sie "Festschreiben" sagen.

Ich würde Shorewall vorziehen . Es ist einfach einzurichten und gleichzeitig flexibel.

Vielleicht sollten Sie einen Blick auf http://iptables-tutorial.frozentux.net/iptables-tutorial.html werfen . Weitere Informationen finden Sie auch auf lartc.org

sudo apt-get install firestarter

Dann schauen Sie in das Menü System-> Administration.