Erste Schritte mit UFW (Unkomplizierte Firewall) auf Ubuntu 22.04

UFW oder Unkomplizierte Firewall ist eine Anwendung zur Verwaltung einer auf iptables basierenden Firewall auf Ubuntu. UFW ist das Standard-Tool zur Firewall-Konfiguration für Ubuntu Linux und bietet eine benutzerfreundliche Möglichkeit, die Firewall zu konfigurieren. Der UFW-Befehl ist wie Englisch, sodass die Befehle leicht zu merken sind. Die UFW-Firewall unterstützt IPv4 und IPv6.

UFW bietet auch eine GUI-Anwendung. Wenn Sie einen GNOME-Desktop verwenden, können Sie gufw installieren; wenn Sie einen KDE-Desktop verwenden, können Sie kcm-ufw installieren.

Voraussetzungen

• Ubuntu-Version zwischen 16.04 und 22.04. Neuere Ubuntu-Versionen sollten ebenfalls funktionieren.
• Root-Rechte

Was wird in diesem Tutorial behandelt?

1. Installation von UFW.
2. Die grundlegende UFW-Befehlsyntax.
3. Der UFW Erlauben- und Verweigern-Befehl.
4. Erweiterte UFW-Befehle.
5. Löschen einer Regel in UFW.
6. Deaktivieren und Zurücksetzen von UFW.

Installation von UFW

Standardmäßig sollte UFW bereits auf Ubuntu 20.04 installiert sein. Sie können dies mit dem Befehl testen:

which ufw

Wenn es nicht den Pfad zum Befehl wie oben gezeigt zurückgibt, installieren Sie UFW mit folgendem apt-Befehl:

sudo apt install ufw

Führen Sie dann den folgenden Befehl aus, um UFW zu aktivieren:

sudo ufw enable

Ergebnis:

Befehl kann bestehende SSH-Verbindungen stören. Mit der Operation fortfahren (y|n)? y  
Firewall ist aktiv und beim Systemstart aktiviert

Der grundlegende UFW-Befehl

Der Befehl “ufw enable” aktiviert UFW mit den Standardregeln. Sie können überprüfen, ob UFW läuft, indem Sie diesen Befehl ausführen:

sudo ufw status verbose

Ergebnis:

Status: aktiv  
Protokollierung: ein (niedrig)  
Standard: verweigern (eingehend), erlauben (ausgehend), deaktiviert (weitergeleitet)  
Neue Profile: überspringen

Wenn Sie UFW deaktivieren oder ausschalten möchten, können Sie Folgendes verwenden:

sudo ufw disable

Ergebnis:

Firewall gestoppt und beim Systemstart deaktiviert

Der UFW Erlauben- und Verweigern-Befehl

1. UFW Erlauben-Befehl

UFW verweigert alle eingehenden Verbindungen, nachdem Sie es aktiviert haben. Das erste, was Sie tun sollten, ist, den SSH-Zugriff für den Server zu erlauben, wenn Sie das System remote verwalten möchten. Der Befehl “ufw allow sshport” erlaubt den Zugriff über SSH, ersetzen Sie SSHPORT durch den Port des SSH-Dienstes, der Standard-SSH-Port ist 22.

sudo ufw allow 22

Ergebnis:

Regeln aktualisiert  
Regeln aktualisiert (v6) #Für IPv6

Wenn Sie eingehende Verbindungen nur auf Port 22 für TCP erlauben möchten, fügen Sie am Ende des Befehls “/tcp“ hinzu, wie im folgenden Beispiel gezeigt.

sudo ufw allow 22/tcp

Wenn der Dienst, auf den Sie den Zugriff erlauben möchten, auf seinem Standardport lauscht, können Sie den Dienstnamen anstelle der Portnummer verwenden. Dies erleichtert das Öffnen des Ports, da Sie möglicherweise die Portnummer nicht kennen. UFW wird die korrekte Portnummer in /etc/services für Sie nachschlagen.

Dieser Befehl öffnet den Standard-SSH-Port:

sudo ufw allow ssh

Überprüfen Sie nun die Regel mit:

sudo ufw status

2. UFW Verweigern-Befehl

Der “deny”-Befehl funktioniert ähnlich wie der “allow”-Befehl und wird verwendet, um einen Port in der Firewall zu schließen:

Verweigern mit Portoption:

sudo ufw deny 80

Ergebnis:

Regel aktualisiert  
Regel aktualisiert (v6)

Beispiel für “deny” mit Dienstnamen. In diesem Beispiel werde ich den HTTP-Port/80 blockieren:

sudo ufw deny http

Hinweis:

Alle Ports und ihre Dienstnamen sind in der Datei “/etc/services” aufgeführt.

Erweiterte UFW-Befehle

Jetzt werden wir tiefer in die UFW-Befehlsyntax eintauchen, lernen, wie man Portbereiche (z.B. für die FTP-Passivports) erlaubt und den Zugriff von nur einer IP oder einem Subnetz ermöglicht.

1. Einen Portbereich erlauben

Sie können einen Bereich von Ports in UFW erlauben. Einige Dienste wie FTP oder IRC verwenden einen Bereich von Ports, um mit ihren Clients zu kommunizieren.

Für dieses Beispiel werden wir den Portbereich erlauben, der von ircd auf meinem Server verwendet wird. Der Bereich ist Port 6660 bis 6670:

sudo ufw allow 6660:6670/tcp  
sudo ufw allow 6660:6670/udp

Der Befehl erlaubt Verbindungen zu den Ports 6660-6670 über das TCP- und UDP-Protokoll.

2. Eine spezifische IP-Adresse erlauben

Und Sie können eine spezifische IP hinzufügen, um den Zugriff auf alle Dienste zu erlauben, indem Sie die Option “from“ hinzufügen. Dies ist z.B. nützlich, wenn Sie eine statische IP zu Hause oder im Büro haben und den Zugriff auf alle Dienste auf Ihrem Server von dort aus erlauben möchten. Der folgende Befehl erlaubt der IP 192.168.1.106 den Zugriff auf alle Ports auf dem Server:

sudo ufw allow from 192.168.1.106

Ergebnis:

Regel hinzugefügt

3. Subnetz erlauben

Wenn Sie allen IP-Adressen in Ihrem Subnetz den Zugriff erlauben möchten, können Sie das IP-Subnetz (Bereich von IP-Adressen) zum UFW-Befehl wie folgt hinzufügen:

sudo ufw allow from 192.168.1.1/24

Ergebnis:

WARNUNG: Regel nach Normalisierung geändert  
Regel hinzugefügt

4. Zugriff von einer spezifischen IP-Adresse auf einen Port erlauben

Wenn Sie den Zugriff auf einen Port nur von einer spezifischen IP erlauben möchten, können Sie die UFW-Befehle, die wir oben gelernt haben, kombinieren.

Zum Beispiel kann nur die IP 192.168.1.106 auf ssh-Port 22 TCP zugreifen, und andere IPs werden von diesem Port abgelehnt, Sie können den folgenden Befehl verwenden:

sudo ufw allow from 192.168.1.106 proto tcp to any port 22

Ergebnis:

Regel hinzugefügt

5. Allen eingehenden Verkehr zu einem spezifischen Port erlauben

Wenn Sie allen Verkehr auf Port 80 erlauben möchten, können Sie diesen Befehl verwenden:

sudo ufw allow to any port 80

Löschen einer UFW-Firewallregel

In diesem Abschnitt lernen Sie, wie Sie eine Regel, die in UFW gespeichert ist, löschen können. Sie können den Befehl “delete“ verwenden, um die UFW-Regel zu löschen. Bitte geben Sie den Befehl “ufw delete“ gefolgt von der Option ein, die Sie löschen möchten, allow oder deny.

Hier sind einige Beispiele:

Löschen der Erlauben-SSH-Regel mit Dienstnamen:

sudo ufw delete allow ssh

Ergebnis:

Regel gelöscht  
Regel gelöscht (v6)

Dieser Befehl löscht die Regel “allow ssh“. Seien Sie vorsichtig, dass Sie sich nicht aus dem Server aussperren.

Löschen der “deny”-Regel auf Port 80:

sudo ufw delete deny 80

Ergebnis:

Regel gelöscht  
Regel gelöscht (v6)

Wenn Sie eine komplexe Regel haben, gibt es eine einfache Möglichkeit, die Regel anhand ihrer Regel-ID zu identifizieren und zu löschen. Führen Sie den folgenden Befehl aus, um eine Liste aller Regeln mit ihren IDs zu erhalten:

sudo ufw status numbered

Ergebnis:

Status: aktiv  
   
     Zu                             Aktion      Von  
     --                             ------      ----  
[ 1] 22/tcp                       ERLAUBEN IN  Überall  
[ 2] 22/tcp (v6)                  ERLAUBEN IN  Überall (v6)

Löschen Sie nun die SSH-Regel nur für IPv6, indem Sie die Nummer der Regel verwenden:

sudo ufw delete 2

Deaktivieren und Zurücksetzen von UFW

Wenn Sie UFW ausschalten möchten, ohne Ihre Regeln zu löschen, können Sie den Befehl “disable“ verwenden:

sudo ufw disable

Ergebnis:

Firewall gestoppt und beim Systemstart deaktiviert

Wenn Sie UFW vollständig ausschalten und alle Regeln löschen möchten, können Sie den Befehl “reset“ verwenden:

sudo ufw reset

Ergebnis:

Alle Regeln auf die installierten Standardwerte zurücksetzen. Dies kann bestehende SSH-Verbindungen stören. Mit der Operation fortfahren (y|n)? y  
Sichere 'after6.rules' nach '/etc/ufw/after6.rules.20150918_190351'  
Sichere 'user.rules' nach '/lib/ufw/user.rules.20150918_190351'  
Sichere 'after.rules' nach '/etc/ufw/after.rules.20150918_190351'  
Sichere 'before.rules' nach '/etc/ufw/before.rules.20150918_190351'  
Sichere 'before6.rules' nach '/etc/ufw/before6.rules.20150918_190351'  
Sichere 'user6.rules' nach '/lib/ufw/user6.rules.20150918_190351'

Fazit

UFW (Unkomplizierte Firewall) ist das Standard-Tool zur Firewall-Konfiguration in Ubuntu. UFW-Befehle sind ähnlich wie Englisch, was sie einfach zu verwenden und zu merken macht. Dieses UFW-Tutorial ist ein Leitfaden, um mit diesem nützlichen Firewall-Tool zu beginnen. Wenn Sie mehr über UFW erfahren möchten, können Sie zur Ubuntu-Wiki oder zur UFW-Man-Seite gehen.