Configure o Ubuntu Firewall (UFW) no Ubuntu 14.04

A segurança é crucial quando você executa seu próprio servidor. Você quer ter certeza de que apenas usuários autorizados possam acessar seu servidor, configuração e serviços.

No Ubuntu, existe um firewall que vem pré-carregado. É chamado UFW (Ubuntu-Firewall). Embora o UFW seja um firewall bastante básico, ele é amigável, se destaca no tráfego de filtragem e possui boa documentação. Algum conhecimento básico do Linux deve ser suficiente para configurar esse firewall sozinho.

Instalar o UFW

Observe que o UFW é normalmente instalado por padrão no Ubuntu. Mas se qualquer coisa, você pode instalá-lo você mesmo. Para instalar o UFW, execute o seguinte comando.

sudo apt-get install ufw

Permitir conexões

Se você está executando um servidor web, você obviamente quer que o mundo seja capaz de acessar seu (s) site (s). Portanto, você precisa ter certeza de que a porta TCP padrão da web esteja aberta.

sudo ufw allow 80/tcp

Em geral, você pode permitir qualquer porta necessária usando o seguinte formato:

sudo ufw allow <port>/<optional: protocol>

Negar conexões

Se você precisar negar o acesso a uma certa porta, use isto:

sudo ufw deny <port>/<optional: protocol>

Por exemplo, vamos negar o acesso à nossa porta padrão do MySQL.

sudo ufw deny 3306

O UFW também suporta uma sintaxe simplificada para as portas de serviço mais comuns.

[email protected]:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

É altamente recomendado restringir o acesso à sua porta SSH (por padrão, a porta 22) de qualquer lugar, exceto seus endereços IP confiáveis (por exemplo: office ou home).

Permitir acesso de um endereço IP confiável

Normalmente, você precisaria permitir o acesso somente a portas abertas publicamente, como a porta 80. O acesso a todas as outras portas precisa ser restrito ou limitado. Você pode colocar na lista branca o endereço IP da sua casa / escritório (de preferência, é um IP estático) para poder acessar seu servidor através de SSH ou FTP.

sudo ufw allow from 192.168.0.1 to any port 22

Vamos também permitir o acesso à porta do MySQL.

sudo ufw allow from 192.168.0.1 to any port 3306

Parece melhor agora. Vamos continuar.

Ativar UFW

Antes de ativar (ou restaurar) o UFW, você precisa garantir que a porta SSH receba conexões do seu endereço IP. Para iniciar / ativar seu firewall UFW, use o seguinte comando:

sudo ufw enable

Você verá isto:

[email protected]:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Digite Y e pressione Enter para ativar o firewall.

Firewall is active and enabled on system startup

Verifique o status do UFW

Dê uma olhada em todas as suas regras.

sudo ufw status

Você verá uma saída semelhante à seguinte.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Use o parâmetro “verbose” para ver um relatório de status mais detalhado.

sudo ufw status verbose

Desativar / recarregar / reiniciar o UFW

Para desabilitar (interromper) o UFW, execute este comando.

sudo ufw disable

Se você precisar recarregar o UFW (recarregar regras), execute o seguinte.

sudo ufw reload

Para reiniciar o UFW, você precisará desativá-lo primeiro e habilitá-lo novamente.

sudo ufw disable
sudo ufw enable

Novamente, antes de ativar o UFW, certifique-se de que a porta SSH seja permitida para o seu endereço IP.

Removendo regras

Para gerenciar suas regras do UFW, você precisa listá-las. Você pode fazer isso verificando o status do UFW com o parâmetro “numerado”. Você verá uma saída semelhante à seguinte.

[email protected]:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Notado os números entre colchetes? Agora, para remover qualquer uma dessas regras, você precisará usar esses números.

sudo ufw delete [number]

Ativando o suporte a IPv6

Se você usar o IPv6 no seu VPS, precisará garantir que o suporte ao IPv6 esteja habilitado no UFW. Para fazer isso, abra o arquivo de configuração em um editor de texto.

sudo nano /etc/default/ufw

Depois de aberto, verifique se IPV6está definido como “yes”:

IPV6=yes

Depois de fazer essa alteração, salve o arquivo. Em seguida, reinicie o UFW desabilitando e reativando-o.

sudo ufw disable
sudo ufw enable

De volta às configurações padrão

Se você precisar voltar às configurações padrão, basta digitar o seguinte comando. Isso reverterá qualquer uma das suas alterações.

sudo ufw reset

Conclusão

No geral, o UFW é capaz de proteger seu VPS contra as tentativas de invasão mais comuns. Naturalmente, suas medidas de segurança devem ser mais detalhadas do que apenas usar o UFW. No entanto, é um bom começo (e necessário).

Se você precisar de mais exemplos de uso do UFW, consulte o UFW – Community Help Wiki .