So konfigurieren Sie die UFW-Firewall unter Linux
Das Problem ist, dass vergleichsweise wenige Benutzer es eingeschaltet haben. Während Benutzer nicht mehr direkt mit iptables arbeiten müssen, erzwingt Ubuntu, dass ufw standardmäßig in den Aus-Zustand versetzt wird. In vielen Implementierungen von Debian sind die Pakete nicht einmal standardmäßig installiert. Die gute Nachricht ist, dass jeder mit der geringsten Erfahrung im Terminal sein System härten kann.
Methode 1: Aktivieren von UFW über die Eingabeaufforderung
Angenommen, Sie haben das ufw-Paket installiert, bevor Sie versuchen, es separat zu installieren. Führen Sie diese Befehle vor allem anderen aus. Wenn auf halbem Weg Fehler auftreten, können Sie jederzeit problemlos zurückkehren und ufw-Pakete später installieren.
Wenn Sie von einem Standardbenutzerkonto aus arbeiten, führen Sie es aus sudo ufw aktivieren und geben Sie Ihr Administratorkennwort ein, wenn Sie dazu aufgefordert werden. Sie sollten darüber informiert werden, dass ufw aktiviert ist und beim Start automatisch ausgeführt wird. Lauf sudo ufw status sowieso nur um sicher zu gehen. Sie sollten eine einzelne Ausgabezeile mit der Aufschrift “Status: aktiv” erhalten, hinter der nichts steht.
Andererseits wurde Ihnen möglicherweise mitgeteilt, dass ufw nicht installiert ist. Benutzer von apt-basierten Distributionen wie Debian sollten ausgeführt werden sudo apt-get install ufw. Vielleicht möchten Sie rennen sudo apt-get update und dann sudo apt-get upgrade um sicherzustellen, dass Ihre anderen Pakete bei der Installation in Ordnung sind. Arch Linux-Benutzer müssen ausgeführt werden Sudo Pacman -Syu wenn sie ihre Pakete in Ordnung bringen wollen und dann sudo pacman -S ufw um ufw zu installieren, aber alle Benutzer können danach wie gewohnt fortfahren. Befolgen Sie die obigen Schritte und stellen Sie sicher, dass ausgeführt wird sudo ufw aktivieren gibt das oben genannte zurück “Status: aktiv” Linie.
Methode 2: Senden eines grundlegenden Regelwerks an UFW
Firewall-Tools verwenden eine Reihe von Regeln, um zu überprüfen, ob ein Paket akzeptiert werden soll, das über ein Netzwerk an Ihren Computer gesendet wird. Sie werden mit ziemlicher Sicherheit als nächstes diese beiden Befehle ausführen wollen:
sudo ufw standardmäßig ausgehend zulassen
sudo ufw Standard verweigern eingehend
Auf diese Weise können Sie mit ufw immer ausgehenden Datenverkehr an Ihren Netzwerkadapter senden. Dies ist wichtig, wenn Sie online arbeiten. Natürlich sollten Sie ausgehende Anfragen nicht als gefährlich betrachten. Dies verhindert auch, dass eingehende Anfragen Schaden anrichten. Dies ist die richtige Einstellung für fast alle Privat- und Geschäftsbenutzer. Selbst die meisten Spieler, die intensive Online-FPS-Titel spielen, sollten nicht mehr als dies benötigen. Die meisten Benutzer können hier anhalten, solange der sudo ufw-Status auch nach dem Neustart des Computers eine aktivierte Meldung zurückgibt. Der Konfigurationsprozess hat nicht viel mehr zu bieten. Benutzer mit allen Arten von SSH- oder erweiterten Netzwerkzielen müssen weitermachen.
Methode 3: Erweiterte UFW-Konfigurationsoptionen
Die meisten Benutzer müssen nicht weiterlesen, aber diese Regeln können für einige nützlich sein. Wenn Sie beispielsweise TCP-Verbindungen auf dem gemeinsamen 80-Port zulassen müssen, können Sie Folgendes ausführen:
sudo ufw erlauben 80 / tcp
Sie könnten auch verwenden sudo ufw erlauben von ###. ##. ##. ## / ## mit einer echten IP-Adresse und einer tatsächlichen Subnetznummer nach dem Schrägstrich. Beachten Sie, dass 80 eine gültige Nummer für diese Verwendung ist, wenn Sie ein Netzwerk darüber durchführen müssen. Mit so etwas wie sudo ufw erlauben http / tcp ist ebenfalls gültig und kann in einer Serversituation erforderlich sein, aber dies öffnet wirklich eine Dose Würmer, soweit verschiedene Arten von Verbindungen zulässig sind.
Eine der beliebtesten Einstellungen ist sudo ufw erlauben 22, wodurch der Port für SSH-Verbindungen geöffnet wird. Einige Benutzer formulieren es stattdessen als sudo ufw erlaube ssh, was genauso gut funktioniert. Während einige Anleitungen Sie möglicherweise anweisen, beide Zeilen hinzuzufügen, ist dies in den meisten Fällen nicht erforderlich und kann am Ende nur zu einem unnötigen Overhead führen.
Wenn Sie in Zukunft eine Ihrer Regeln entfernen möchten, können Sie einfach sudo ufw delete gefolgt vom Regelnamen ausführen. Zum Beispiel, sudo ufw delete erlaube 80 / tcp würde eines der oben genannten Beispiele ausschalten.
Jetzt, wenn du rennst sudo ufw status ausführlich Möglicherweise wird eine weitaus vollständigere Tabelle angezeigt, wenn Sie zusätzliche Regeln erstellt haben. Sollten Sie die Firewall in Zukunft jemals deaktivieren möchten, können Sie sudo ufw disable ausführen. Es gibt jedoch nur sehr wenige Situationen, in denen Sie dies tun müssen.
Gelegentlich stellen Sie möglicherweise fest, dass 504 Gateway-Timeout-Fehler auftreten, wenn Sie ufw auf diese Weise zum Schutz eines Servers verwenden. In diesem Fall kann es hilfreich sein, die Reihenfolge einiger Regeln zu ändern. Zulassungsregeln müssen vor Verweigerungsregeln eingegeben werden, da ufw beim Parsen Ihrer Liste aus Sicherheitsgründen immer nach der ersten Übereinstimmung sucht. Löschen Sie ein Regelpaar und fügen Sie es durch Hinzufügen von wieder hinzu sudo ufw default erlauben Zeile zuerst sollte dieses Problem beheben. Möglicherweise möchten Sie auch aus Leistungsgründen zusätzliche doppelte Zeilen löschen.
Lauf sudo ufw ausführlich und achten Sie genau darauf, in welcher Reihenfolge sich Ihre Zeilen DENY IN und ALLOW IN befinden. Wenn Sie an einem gemeinsamen Port wie 80 oder 22 etwas haben, das DENY IN gefolgt von Anywhere in der Tabelle vor anderen Verweisen auf diese Ports lautet, sind Sie möglicherweise versuchen, Verbindungen zu blockieren, bevor sie eine Chance haben, durchzukommen. Wenn Sie sie neu anordnen, wird das Problem behoben. Wenn Sie diese Befehle zuerst in die richtige Reihenfolge bringen, können Sie später Probleme vermeiden.
Benutzer mit erhöhter Root-Eingabeaufforderung müssen sudo nicht vor jedem Befehl verwenden. Wenn Sie diesbezüglich einen Fehler erhalten haben, ist dies möglicherweise Ihr Problem. Überprüfen Sie das Ende Ihrer Eingabeaufforderung, um festzustellen, ob vor dem Cursor ein # oder $ steht. Benutzer von tcsh, die nur ein% für eine Eingabeaufforderung haben, sollten whoami ausführen, um zu sehen, als welcher Benutzer sie arbeiten.
Normale Benutzer, die ausgeführt werden sudo ufw status ausführlich werden höchstwahrscheinlich nach ihrer Aufforderung noch vergleichsweise wenig Feedback erhalten. Sie werden wahrscheinlich einfach die gleiche Zeile sehen, die Sie zuvor hatten.
Dies liegt daran, dass diese Benutzer einfach mit sehr wenigen Regeln arbeiten. In Bezug auf diese Regeln kann jedoch ein Wort der Vorsicht wichtig sein. Während der Befehl ufw default zusätzlich die Verwendung des Ablehnungsparameters ermöglicht, können Sie sich ganz einfach aus Ihrer eigenen privaten Serverstruktur ausschließen oder andere seltsame Dinge tun. Wenn Sie eine haben müssen sudo ufw erlaube ssh oder anderen ähnlichen Zeilen in Ihrem Regelsatz muss dies geschehen, bevor Sie Standardregeln zum Ablehnen oder Ablehnen anwenden.
Während einige grafische Tools wie Gufw und die Qt-basierte kmyfirewall existieren, ist es einfach genug, ufw über die Befehlszeile so zu konfigurieren, dass Sie sie nicht wirklich benötigen. Wenn Sie die Konfigurationsdateien stattdessen direkt bearbeiten müssen, verwenden Sie die 
Befehl, um in das richtige Verzeichnis zu wechseln und dann zu verwenden sudo nanofw um es zu bearbeiten. Möglicherweise möchten Sie auch zunächst mehr ufw oder weniger ufw verwenden, um den Text zuerst anzuzeigen, bevor Sie Änderungen vornehmen.
Die Entwickler haben sich tatsächlich die Zeit genommen, entsprechende Kommentare bereitzustellen, damit Sie sich beim Bearbeiten nicht verlaufen. Sie können diese jedoch entfernen, wenn Sie dies für erforderlich halten.
