mywiki/linux/security/ufw.md

3.4 KiB

ufw

Uncomplicated Firewall (ufw) è un firewall ideato per gestire la configurazione appunto del firewall in maniera semplificata, attraverso un'interfaccia a riga di comando.

Sviluppato per semplificare la configurazione di iptables, ufw offre un modo semplice per creare un firewall basato su protocolli IPv4 e IPv6. È inizialmente disabilitato.

Installare ufw

sudo apt-get install ufw

Abilitare ufw

Per abilitare ufw digitare il comando:

sudo ufw enable

Per disabilitare ufw digitare il comando:

sudo ufw disable

Stato

Per visualizzare lo stato del firewall, digitare il seguente comando in una finestra di terminale:

sudo ufw status

Se abilitato, un possibile output sarà il seguente:

Firewall attivato

 To                         Action  From
 --                         ------  ----
 22:tcp                     DENY    192.168.0.1
 22:udp                     DENY    192.168.0.1
 22:tcp                     DENY    192.168.0.7
 22:udp                     DENY    192.168.0.7
 22:tcp                     ALLOW   192.168.0.0/24
 22:udp                     ALLOW   192.168.0.0/24

Il comando mostra la lista completa delle eventuali regole firewall già impostate.

Lista delle regole firewall configurabili automaticamente

Per conoscere la lista delle applicazioni installate sulla macchina Linux e riconosciute da ufw, è sufficiente digitare:

sudo ufw app list

Impostare le regole di default

In generale, la sintassi è la seguente:

sudo ufw allow/deny porta/protocollo (facoltativo)

Il comando sottostante può essere utilizzato per impostare la risposta predefinita alle connessioni in entrata e in uscita.

Per negare tutto il traffico in entrata e consentire tutte le connessioni in uscita, eseguire:

sudo ufw default allow outgoing
sudo ufw default deny incoming

Aggiungire regole

Le regole possono essere aggiunte in due modi: specificando il numero della porta o utilizzando il nome del servizio.

Ad esempio, per consentire sia le connessioni in entrata che quelle in uscita sulla porta 22 per SSH, è possibile eseguire:

sudo ufw allow ssh

oppure

sudo ufw allow 22

Allo stesso modo, per negare il traffico su una determinata porta (in questo esempio, 111) si dovrebbe solo eseguire:

sudo ufw deny 111

Per perfezionare ulteriormente le regole, è possibile permettere il traffico dei pacchetti basati su TCP o UDP. Quanto segue consente i pacchetti TCP sulla porta 80:

sudo ufw allow 80/tcp
sudo ufw allow http/tcp

Regole avanzate

Oltre a consentire o negare basandosi esclusivamente sulla porta, ufw permette di consentire/bloccare il traffico da indirizzi IP specifici, sottoreti e combinazioni di indirizzo IP/subnet/porta.

Per consentire le connessioni da un indirizzo IP:

sudo ufw allow from 198.51.100.0

Per consentire le connessioni da una sottorete specifica:

sudo ufw allow from 198.51.100.0/24

Per rimuovere una regola, aggiungere delete prima dell'attuazione della regola. Se non si desidera più consentire il traffico HTTP, è possibile eseguire:

sudo ufw delete allow 80

Collegamenti