Introdução ao UFW (Firewall Descomplicado) no Ubuntu 22.04

UFW ou Firewall Descomplicado é um aplicativo para gerenciar um firewall baseado em iptables no Ubuntu. O UFW é a ferramenta de configuração de firewall padrão para o Ubuntu Linux e fornece uma maneira amigável de configurar o firewall. O comando UFW é como inglês, então os comandos são fáceis de lembrar. O firewall UFW suporta IPv4 e IPv6.

O UFW também fornece um aplicativo GUI. Se você usar um desktop GNOME, pode instalar gufw; se usar um desktop KDE, pode instalar kcm-ufw.

Pré-requisitos

• Versão do Ubuntu entre 16.04 e 22.04. Versões mais novas do Ubuntu também devem funcionar.
• privilégios de root

O que é abordado neste tutorial?

1. Instalação do UFW.
2. A Sintaxe Básica do Comando UFW.
3. O Comando UFW Allow e Deny.
4. Comandos Avançados do UFW.
5. Deletando uma regra no UFW.
6. Desativar e Redefinir o UFW.

Instalação do UFW

Por padrão, o UFW já deve estar instalado no Ubuntu 20.04. Você pode testar isso com o comando:

which ufw

Se não retornar o caminho para o comando como mostrado acima, então instale o UFW com o seguinte comando apt:

sudo apt install ufw

Em seguida, execute o seguinte comando para habilitar o UFW:

sudo ufw enable

Resultado:

O comando pode interromper conexões ssh existentes. Prosseguir com a operação (y|n)? y  
Firewall está ativo e habilitado na inicialização do sistema

O Comando Básico do UFW

O comando “ufw enable” ativará o UFW com as regras padrão. Você pode verificar se o UFW está em execução emitindo este comando:

sudo ufw status verbose

Resultado:

Status: ativo  
Registro: ligado (baixo)  
Padrão: negar (entrada), permitir (saída), desativado (roteado)  
Novos perfis: pular

Se você quiser desativar ou desligar o UFW, pode usar:

sudo ufw disable

Resultado:

Firewall parado e desativado na inicialização do sistema

O Comando UFW Allow e Deny

1. Comando UFW Allow

O UFW negará todas as conexões de entrada após você ativá-lo. Portanto, a primeira coisa que você deve fazer é permitir o acesso SSH para o servidor se quiser gerenciar o sistema remotamente. O comando “ufw allow sshport” permite o acesso por SSH, substitua SSHPORT pelo número da porta do serviço SSH, a porta padrão do SSH é 22.

sudo ufw allow 22

Resultado:

Regras atualizadas  
Regras atualizadas (v6) #Para IPv6

Se você quiser permitir conexões de entrada na porta 22 apenas para TCP, adicione ao final do comando “/ tcp “ como mostrado no exemplo a seguir.

sudo ufw allow 22/tcp

Quando o serviço que você deseja permitir o acesso está ouvindo na sua porta padrão, você pode usar o nome do serviço em vez do número da porta. Isso facilita a abertura da porta, pois você pode não saber a porta. O UFW procurará o número da porta correto em /etc/services para você.

Este comando abrirá a porta SSH padrão:

sudo ufw allow ssh

Agora verifique a regra com:

sudo ufw status

2. Comando UFW Deny

O comando “deny” funciona de forma semelhante ao comando “allow” e é usado para fechar uma porta no firewall:

Negar com opção de Porta:

sudo ufw deny 80

Resultado:

Regra atualizada  
Regra atualizada (v6)

Exemplo de “deny” com nome de serviço. Neste exemplo, bloquearei a porta http/80:

sudo ufw deny http

Nota:

Todas as portas e seus nomes de serviço estão listados no arquivo “/etc/services”.

Comandos Avançados do UFW

Agora vamos nos aprofundar na sintaxe do comando UFW, aprender como permitir intervalos de portas (por exemplo, para as portas passivas do FTP) e acesso de um IP ou sub-rede apenas.

1. Permitir um Intervalo de Portas

Você pode permitir um intervalo de portas no UFW. Alguns serviços como FTP ou IRC usam um intervalo de portas para se comunicar com seus clientes.

Para este exemplo, permitiremos o intervalo de portas que é usado pelo ircd no meu servidor. O intervalo é da porta 6660 à 6670:

sudo ufw allow 6660:6670/tcp  
sudo ufw allow 6660:6670/udp

O comando permitirá conexões para as portas 6660-6670 via protocolo TCP e UDP.

2. Permitir um Endereço IP Específico

E você pode adicionar um IP específico para permitir acesso a todos os serviços adicionando a opção “ from “. Isso é, por exemplo, útil se você tiver um IP estático em casa ou no escritório e quiser permitir acesso a todos os serviços no seu servidor a partir daí. O comando abaixo permitirá que o IP 192.168.1.106 acesse todas as portas no servidor:

sudo ufw allow from 192.168.1.106

Resultado:

Regra adicionada

3. Permitir Sub-rede

Se você quiser permitir todos os endereços IP na sua sub-rede, pode adicionar a sub-rede IP (intervalo de endereços IP) ao comando UFW assim:

sudo ufw allow from 192.168.1.1/24

Resultado:

WARN: Regra alterada após normalização  
Regra adicionada

4. Permitir acesso de um endereço IP específico a uma porta

Se você quiser permitir acesso a uma porta de um IP específico apenas, pode combinar os comandos UFW que aprendemos acima.

Por exemplo, apenas o IP 192.168.1.106 pode acessar porta ssh 22 TCP, e outros IPs serão rejeitados dessa porta, você pode usar o seguinte comando:

sudo ufw allow from 192.168.1.106 proto tcp to any port 22

Resultado:

Regra adicionada

5. Permitir todo o Tráfego de Entrada para uma Porta Específica

Se você quiser permitir todo o tráfego na porta 80, pode usar este comando:

sudo ufw allow to any port 80

Deletando uma Regra do Firewall UFW

Nesta seção, você aprenderá como deletar uma regra que está salva no UFW. Você pode usar o comando “ delete “ para deletar a regra do ufw. Por favor, digite o comando “ ufw delete “ seguido da opção que você deseja deletar, allow ou deny.

Aqui estão alguns exemplos:

Deletando a regra de permitir SSH com nome de serviço:

sudo ufw delete allow ssh

Resultado:

Regra deletada  
Regra deletada (v6)

Esse comando deletará a regra “ allow ssh “. tenha cuidado, não se tranque fora do servidor.

Deletar a regra “deny” na porta 80:

sudo ufw delete deny 80

Resultado:

Regra deletada  
Regra deletada (v6)

Se você tiver uma regra complexa, então há uma maneira simples de identificar e deletar a regra pelo seu ID de regra. Execute o seguinte comando para obter uma lista de todas as regras com seus IDs:

sudo ufw status numbered

Resultado:

Status: ativo  
   
     Para                             Ação      De  
     --                             ------      ----  
[ 1] 22/tcp                       PERMITIR ENTRADA    Em Qualquer Lugar  
[ 2] 22/tcp (v6)                 PERMITIR ENTRADA    Em Qualquer Lugar (v6)

Agora delete a regra SSH apenas para IPv6 usando o número da regra:

sudo ufw delete 2

Desativar e Redefinir o UFW

Se você quiser desligar o UFW sem deletar suas regras, pode usar o comando “ disable “:

sudo ufw disable

Resultado:

Firewall parado e desativado na inicialização do sistema

Se você quiser desligar o UFW completamente e deletar todas as regras, pode usar o comando “ reset “:

sudo ufw reset

Resultado:

Redefinindo todas as regras para os padrões instalados. Isso pode interromper conexões ssh existentes. Prosseguir com a operação (y|n)? y  
Fazendo backup de 'after6.rules' para '/etc/ufw/after6.rules.20150918_190351'  
Fazendo backup de 'user.rules' para '/lib/ufw/user.rules.20150918_190351'  
Fazendo backup de 'after.rules' para '/etc/ufw/after.rules.20150918_190351'  
Fazendo backup de 'before.rules' para '/etc/ufw/before.rules.20150918_190351'  
Fazendo backup de 'before6.rules' para '/etc/ufw/before6.rules.20150918_190351'  
Fazendo backup de 'user6.rules' para '/lib/ufw/user6.rules.20150918_190351'

Conclusão

O UFW (Firewall Descomplicado) é a ferramenta de configuração de firewall padrão no Ubuntu. Os comandos do UFW são semelhantes ao inglês, tornando-os fáceis de usar e lembrar. Este tutorial do UFW é um guia para começar com esta ótima ferramenta de firewall, se você quiser saber mais sobre o UFW, pode ir para a wiki do ubuntu ou ufw-manpage.