Introduzione a UFW (Uncomplicated Firewall) su Ubuntu 22.04

UFW o Uncomplicated Firewall è un’applicazione per gestire un firewall basato su iptables su Ubuntu. UFW è lo strumento di configurazione del firewall predefinito per Ubuntu Linux e fornisce un modo intuitivo per configurare il firewall. Il comando UFW è simile all’inglese, quindi i comandi sono facili da ricordare. Il firewall UFW supporta IPv4 e IPv6.

UFW fornisce anche un’applicazione GUI. Se utilizzi un desktop GNOME, puoi installare gufw; se utilizzi un desktop KDE, puoi installare kcm-ufw.

Prerequisiti

• Versione di Ubuntu tra 16.04 e 22.04. Le versioni più recenti di Ubuntu dovrebbero funzionare altrettanto bene.
• privilegi di root

Cosa viene trattato in questo tutorial?

1. Installazione di UFW.
2. La sintassi base del comando UFW.
3. Il comando UFW Allow e Deny.
4. Comandi avanzati di UFW.
5. Eliminare una regola in UFW.
6. Disabilitare e ripristinare UFW.

Installazione di UFW

Per impostazione predefinita, UFW dovrebbe già essere installato su ubuntu 20.04. Puoi testarlo con il comando:

which ufw

Se non restituisce il percorso del comando come mostrato sopra, installa UFW con il seguente comando apt:

sudo apt install ufw

Quindi esegui il seguente comando per abilitare UFW:

sudo ufw enable

Risultato:

Il comando potrebbe interrompere le connessioni ssh esistenti. Procedere con l'operazione (y|n)? y  
Il firewall è attivo e abilitato all'avvio del sistema

Il Comando Base di UFW

Il comando “ufw enable” attiverà UFW con le regole predefinite. Puoi verificare che UFW sia in esecuzione emettendo questo comando:

sudo ufw status verbose

Risultato:

Stato: attivo  
Registrazione: attiva (bassa)  
Predefinito: negare (in entrata), consentire (in uscita), disabilitato (instradato)  
Nuovi profili: salta

Se desideri disabilitare o spegnere UFW, puoi usare:

sudo ufw disable

Risultato:

Firewall fermato e disabilitato all'avvio del sistema

Il Comando UFW Allow e Deny

1. Comando UFW Allow

UFW negherà tutte le connessioni in entrata dopo che lo attivi. Quindi la prima cosa che dovresti fare è consentire l’accesso SSH per il server se desideri gestire il sistema da remoto. Il comando “ufw allow sshport” consente l’accesso tramite SSH, sostituisci SSHPORT con la porta del servizio SSH, la porta SSH predefinita è 22.

sudo ufw allow 22

Risultato:

Regole aggiornate  
Regole aggiornate (v6) #Per IPv6

Se desideri consentire connessioni in entrata sulla porta 22 solo per TCP, aggiungi alla fine del comando “/ tcp “ come mostrato nel seguente esempio.

sudo ufw allow 22/tcp

Quando il servizio a cui desideri consentire l’accesso sta ascoltando sulla sua porta predefinita, puoi utilizzare il nome del servizio invece del numero di porta. Questo rende più facile aprire la porta poiché potresti non conoscere la porta. UFW cercherà il numero di porta corretto in /etc/services per te.

Questo comando aprirà la porta SSH predefinita:

sudo ufw allow ssh

Ora controlla la regola con:

sudo ufw status

2. Comando UFW Deny

Il comando “deny” funziona in modo simile al comando “allow” ed è utilizzato per chiudere una porta nel firewall:

Negare con l’opzione Porta:

sudo ufw deny 80

Risultato:

Regola aggiornata  
Regola aggiornata (v6)

Esempio per “deny” con nome del servizio. In questo esempio, bloccherò la porta http/80:

sudo ufw deny http

Nota:

Tutte le porte e i loro nomi di servizio sono elencati nel file “/etc/services”.

Comandi Avanzati di UFW

Ora approfondiremo la sintassi dei comandi UFW, impareremo come consentire intervalli di porte (ad es. per le porte passive FTP) e l’accesso da un solo IP o subnet.

1. Consentire un Intervallo di Porte

Puoi consentire un intervallo di porte in UFW. Alcuni servizi come FTP o IRC utilizzano un intervallo di porte per comunicare con i propri client.

Per questo esempio, consentiremo l’intervallo di porte utilizzato da ircd sul mio server. L’intervallo è dalla porta 6660 alla 6670:

sudo ufw allow 6660:6670/tcp  
sudo ufw allow 6660:6670/udp

Il comando consentirà connessioni alle porte 6660-6670 tramite protocollo TCP e UDP.

2. Consentire un Indirizzo IP Specifico

E puoi aggiungere un IP specifico per consentire l’accesso a tutti i servizi aggiungendo l’opzione “ from “. Questo è ad esempio utile se hai un IP statico a casa o in ufficio e desideri consentire l’accesso a tutti i servizi sul tuo server da lì. Il comando qui sotto consentirà all’IP 192.168.1.106 di accedere a tutte le porte sul server:

sudo ufw allow from 192.168.1.106

Risultato:

Regola aggiunta

3. Consentire Subnet

Se desideri consentire a tutti gli indirizzi IP sulla tua subnet, puoi aggiungere la subnet IP (intervallo di indirizzi IP) al comando UFW in questo modo:

sudo ufw allow from 192.168.1.1/24

Risultato:

WARN: Regola cambiata dopo normalizzazione  
Regola aggiunta

4. Consentire accesso da un indirizzo IP specifico a una porta

Se desideri consentire l’accesso a una porta da un IP specifico, puoi combinare i comandi UFW che abbiamo appreso sopra.

Ad esempio, solo l’IP 192.168.1.106 può accedere a ssh porta 22 TCP, e altri IP saranno rifiutati da quella porta, puoi usare il seguente comando:

sudo ufw allow from 192.168.1.106 proto tcp to any port 22

Risultato:

Regola aggiunta

5. Consentire tutto il Traffico in Entrata a una Porta Specifica

Se desideri consentire tutto il traffico sulla porta 80, puoi usare questo comando:

sudo ufw allow to any port 80

Eliminare una Regola del Firewall UFW

In questa sezione, imparerai come eliminare una regola che è salvata in UFW. Puoi utilizzare il comando “ delete “ per eliminare la regola ufw. Si prega di digitare il comando “ ufw delete “ seguito dall’opzione che desideri eliminare, allow o deny.

Ecco alcuni esempi:

Eliminare la regola allow SSH con nome del servizio:

sudo ufw delete allow ssh

Risultato:

Regola eliminata  
Regola eliminata (v6)

Quel comando eliminerà la regola “ allow ssh “. fai attenzione, non bloccarti fuori dal server.

Elimina la regola “deny” sulla porta 80:

sudo ufw delete deny 80

Risultato:

Regola eliminata  
Regola eliminata (v6)

Se hai una regola complessa, c’è un modo semplice per identificare ed eliminare la regola tramite il suo ID regola. Esegui il seguente comando per ottenere un elenco di tutte le regole con i loro ID:

sudo ufw status numbered

Risultato:

Stato: attivo  
   
     A                         Azione      Da  
     --                         ------      ----  
[ 1] 22/tcp                     CONSENTI IN    Ovunque  
[ 2] 22/tcp (v6)                CONSENTI IN    Ovunque (v6)

Ora elimina la regola SSH solo per IPv6 utilizzando il numero della regola:

sudo ufw delete 2

Disabilitare e Ripristinare UFW

Se desideri disattivare UFW senza eliminare le tue regole, puoi utilizzare il comando “ disable “:

sudo ufw disable

Risultato:

Firewall fermato e disabilitato all'avvio del sistema

Se desideri disattivare completamente UFW ed eliminare tutte le regole, puoi utilizzare il comando “ reset “:

sudo ufw reset

Risultato:

Ripristino di tutte le regole ai valori predefiniti installati. Questo potrebbe interrompere le connessioni ssh esistenti. Procedere con l'operazione (y|n)? y  
Backup di 'after6.rules' in '/etc/ufw/after6.rules.20150918_190351'  
Backup di 'user.rules' in '/lib/ufw/user.rules.20150918_190351'  
Backup di 'after.rules' in '/etc/ufw/after.rules.20150918_190351'  
Backup di 'before.rules' in '/etc/ufw/before.rules.20150918_190351'  
Backup di 'before6.rules' in '/etc/ufw/before6.rules.20150918_190351'  
Backup di 'user6.rules' in '/lib/ufw/user6.rules.20150918_190351'

Conclusione

UFW (Uncomplicated Firewall) è lo strumento di configurazione del firewall predefinito in Ubuntu. I comandi UFW sono simili all’inglese, rendendoli facili da usare e ricordare. Questo tutorial UFW è una guida per iniziare con questo utile strumento firewall; se desideri saperne di più su UFW, puoi andare al wiki di ubuntu o alla pagina man di ufw.