Ubuntu.pl 🇺🇦️W Ubuntu 8.04 pojawił się Ufw (Uncomplicated Firewall), jest to narzędzie pozwalające w łatwy sposób skonfigurować Iptables. Obsługiwane poprzez konsolę bardzo prostymi poleceniami.
Wiem, istnieją graficzne nakładki typu Firestarter. Ale skoro jest coś „z dobrodziejstwem inwentarza” to warto się temu przyjrzeć.
Jeśli z jakiegoś powodu nie masz Ufw w systemie, zainstaluj go.
sudo apt-get install ufw
Domyślnie Ufw jest wyłączony więc należy go włączyć:
sudo ufw enable
I to wszystko. Od tej pory zapora będzie uruchamiała się razem z systemem z domyślnym ustawieniem, odrzucania połączeń przychodzących i akceptowania wszystkich wychodzących.
Do wyłączenia Ufw wystarczy użyć przeciwieństwa enable czyli, nie domyślicie się więc podpowiem, disable. 😉
Do zmiany polityki działania służą również proste polecenia
sudo ufw default deny
sudo ufw default allow
Domyślnym ustawieniem jest deny, czyli odrzucanie wszystkich pakietów przychodzących, jak wcześniej wspomniałem. Drugie polecenie spowoduje przepuszczanie wszystkich pakietów.
Skoro już mamy działającą ładnie w tle zaporę, z odpowiednią polityką odrzucania połączeń. To zapewne przyjdzie taki dzień że będzie trzeba trochę ją rozszczelnić, bo przecież nie warto dla jednego programu wyłączać całkiem Ufw. Równie łatwo można to odwrócić.
Kilka przykładów:
Otwarcie i zamknięcie portu 22
sudo ufw allow 22
sudo ufw delete allow 22
Otwarcie i zamknięcie portu 80 tcp
sudo ufw allow 80/tcp
sudo ufw delete allow 80/tcp
Otwarcie i zamknięcie dla konkretnego adresu ip
sudo ufw allow from 192.168.0.10
sudo ufw delete allow from 192.168.0.10
Sprawdzenie stanu zapory (czy działa, jakie porty są otwarte itp)
sudo ufw status
Oczywiście nie przedstawiłem wszystkich możliwych kombinacji. Chciałem tylko pokazać ze polecenia jakimi się operuje są bardzo przyjazne i łatwe do zapamiętania. Omawianie wszystkich dokładnie zabiło by wrażenie o nieskomplikowanej zaporze.
Zaawansowani użytkownicy i tak pewnie będą woleli ręcznie konfigurować Iptables, bo daje im więcej możliwości. Lecz dla mniej zaawansowanego użytkownika lub takiego, któremu wystarczą opcje dostępne w Ufw, jest to, moim zdaniem, narzędzie bardzo pomocne i proste w użyciu.
Więcej informacji znajdziecie na wiki.ubuntu.com i oczywiście w manualu
man ufw
contact: ziomalcool14 [na] o2 [kropeczka] pl
//mario_7: dobrze radzę – nie podawaj adresów e-mail tak bezpośrednio, bo SPAM zasypie Ci skrzynkę. Adres zmieniłem na formę mniej przyjazną botom.
Ej mam pytanie. TO w końcu iptables jest zawsze uruchomione? I żeby porty były zamknięte to czy musi być włączony firestarter lub ufw?
Iptables działa tylko jest nieskonfigurowane. Nie wnikając w szczegóły po standardowej instalacji masz wszystkie porty zamknięte. Widoczne w Sieci jako closed, jeśli jednak odpalisz jakiś program typu ssh który nasłuchuje na danym porcie, tu akurat 22, ten port zostanie otwarty. Używanie jakiejkolwiek zapory wymaga większej świadomości użytkownika. Bo oprócz uruchomienia programu musi jeszcze otworzyć odpowiedni port. Ma to znaczenie np w przypadku używania niepewnych skryptów bądź programów, jeśli świadomie nie zezwolisz na dostęp do komputera to, to że jakiś program nasłuchuje na danym porcie bez Twojej wiedzy nie ma znaczenia. Poza tym po standardowej instalacji Twoje porty są widoczne w sieci, jako zamknięte. lepiej jak są w ogóle niewidoczne czyli w trybie stealth (uzyskasz to odpalając ufw) bo skoro ich niema to nie ma do czego się włamywać. Zamknięte drzwi mogą znaleźć „ciekawskiego” co zechce zobaczyć co jest za nimi. Generalnie, Ubuntu ze swoimi zamkniętymi portami jest wystarczająco bezpieczne (o ile nie odpalasz bezmyślnie usług) ale nie zaszkodzi założyć „czapkę niewidkę”
Myślałem, że za taką nazwą jak Uncompicated Firewall będzie stał jakiś program zbliżony obsługą do ZoneAlarm na Windowsa. Nie wydaje mi się, żeby taka obsługa firewall’a była dla przeciętnego użytkownika postrzegana jako „uncomplicated”.
dobrze ze sa ludzie ktorzy tworza takie narzedzia, mnie sie osobiscie bardzo podoba
Konsola ciągle triumfuje! :))
Chcesz być Rambo, Arnoldem, Robocopem, Supermanem sieci?
Ucz się konsoli. Uwaga, z każdej strony zagrożenie leci.
Możesz włączyć SafeZone prywatnego świata wokół.
Konsola Ci to ułatwi. Na opanowanie nie trzeba nawet pół roku.
hary, nie przesadzaj, bo akurat polecenia do ufw są rzeczywiście banalne, przynajmniej te podstawowe. I dla ZU wystarczą. Więc co tu się uczyć pół roku? W obecnych czasach nawet nie trzeba znać konsoli żeby w miarę sprawnie obsługiwać Linuksa (Ubuntu). Ja znam tylko kilkanaście podstawowych, które bardzo przyspieszają mi pracę. Do bardziej zaawansowanych się nie pcham, bo po co.
Jak to w Linuksie bywa, powstaje już gui https://sourceforge.net/projects/gufw/
@brajan
W przeciwieństwie do mac osX czy windowsa używanie linuksa wymaga jakiego kolwiek myślenia a nie tylko przyciskania klawiszy typu:
next -> next -> agree -> ok –> reset:(
Wyglada mi to na jakis klon Guarddog’a 😛 .
Niby w czym ma to być lepsze od firestarter`a? Ja nie widzę żadnej przewagi, chyba ,że za takową uznać pracę w konsoli.
Wzmiankowany przez brajan`a ZoneAlarm jest nie tylko uncomplicated, ale oprócz portów nadzoruje bezpośrednio także aplikacje, które z nich korzystają. W ubuntu nawet iptables tego nie potrafi. Inna sprawa, że windzie nawet ZoneAlarm wiele nie pomoże.
Wydaje mi się, że narzędzi pod dostatkiem ale początkujący użytkownik nie wie które, porty blokować, a które nie i tu leży największy problem.
Spotkał się ktoś z takim problemem w firestarter’rze ,że całkowicie zablokował wszystkie porty pomimo, że były w wyjątkach? Zacząłem odblokowywać porty na sambę, a w końcowej fazie nie dało się stron przeglądać. Nie pomogło nawet odblokowanie portu 80 i 8080. Dopiero po odinstalowaniu firestarter’a problem ustał.
Domyślnie port samby jest zablokowany i nie jest możliwe przeglądanie zasobów sieciowych innych komputerów ?
witam
fajne narzędzie, ogólnie wole zarządzać usługami spod konsoli tylko przy ufw nigdzie się nie mogę doszukać polecenia uruchomiającego forwad serwice czyli uruchomienia maskarady i przekazania internetu na port 80 sieci lokalnej. W firestarter robi się to bez problemu a tu jakoś nie widzę ani na wiki ani w man.
Może ktoś podać adres jakiejś strony, man, howto odnośnie tego, które porty należy blokować, a które nie itp.?
świetne narzędzie, wolę o wiele bardziej niż firestarterka, POLECAM!
Mam pytanie, czmu po wpisaniu sudo ufw status wyskakuje mi tylko firewall loaded, i zawsze tak jest. Nigdy nie pokazuje mi portów otwartych, zamkinietych itp. Zawsze jest samo firewall loaded. Proszę o pomoc
Michu7771
Czytać nie umiemy?
ufw status
Pokaże jakie masz otwarte jak jakiegoś nie ma to znaczy, że zamknięty.
Pojawiło się już gui, czyli Gufw. Salvadhor już omówił go na swoim blogu. Kto zainteresowany, niech zerknie: http://404.g-net.pl/?p=639
wywaliłem firestartera i zainstalowałem ufw – jest serio uncomplicated 🙂
a mi wywala ERROR: /var is world writable! gdy wpisuje sudo ufw enable ;/
hmm juz nic..:) przestawiłem coś w uprawnieniach
ufw wcale nie jest nieskomplikowany , mi iptables blokuje domyslnie kadu choc w ufw jest odblokowane. kadu nie odpali sie dopoki nie odpale ufw lub gufw wiec nie wiem jak to jest
Iptables _domyślnie_ nic nie blokuje, jest czyte jak łza. Musisz mieć czymś przyblokowane porty na wyjściu. No ale po pomoc zapraszam na forum, tu raczej gdybać nie ma jak.
po wlaczeniu kompa pisze w terminalu 'sudo ufw status’ i wywala mi ze firewall not loaded
[quote comment=”27089″]po wlaczeniu kompa pisze w terminalu 'sudo ufw status’ i wywala mi ze firewall not loaded[/quote]
A dałeś wczesniej
sudo ufw enable?oczywiscie niestety musze to robic codziennie zeby komp byl bezpieczny.
dasz link do tego forum ?
Jest po prawej stronie.
Narzędzie świetne owszem, ale wolę jednak go nie uruchamiać, po prostu nie chcę by coś przestało mi działać, np: serwer ftp, serwer shoutcast, amule, itp… używam ich sporadycznie, ale jednak nie lubię niespodzianek… nie chcę też narzekać, ale czy nie ma takiego czegoś w tej zaporze że wyświetla na jakim porcie dana aplikacja próbuje się połączyć/odebrać dane,czy jak to nazwać??
czasem brakuje człowiekowi informacji jakie porty potrzebowałby mieć odblokowane…
OK Panowie.. a co teraz należy zrobić w Ubuntu, żeby olać ufw i normalnie skonfigurować firewall jak Pan Bóg przykazał – czyli poprzez normalny plik zasad iptables.
Trzeba pewnie wywalić ten ufw na początek w diabły, a potem po staremu? Czy jest jakiś „haczyk”?
Bo o ile nie mam problemu z konfigurowaniem nawet dość zawiłych rzeczy w iptables, to ufw powoduje, że czuję się jakbym miał „związane ręce” – do tego nijak nie mogę wymusić na nim tworzenia zasad zgodnych z klasycznym stateful inspection. On tylko allow albo deny i tyle. :/
[quote comment=”35449″]OK Panowie.. a co teraz należy zrobić w Ubuntu, żeby olać ufw i normalnie skonfigurować firewall jak Pan Bóg przykazał – czyli poprzez normalny plik zasad iptables.
Trzeba pewnie wywalić ten ufw na początek w diabły, a potem po staremu? Czy jest jakiś „haczyk”?
[/quote] A próbowałeś wyłączyć UFW i napisać pliczek dla Iptables? ;>