Què és el firewall UFW i com configurar-lo en Linux?
En aquest tutorial us explicarem de forma senzilla i directa com configurar el Firewall "ufw" per al teu servidor Linux. D'aquesta manera podràs configurar fàcilment quines connexions entrants desitges habilitar, podent millorar dràsticament la seguretat del teu servidor.
Què és UFW?
Les sigles "UFW" signifiquen "Uncomplicated Firewall" i fan referència a una aplicació que té com a objectiu establir regles a "iptables", les taules de tallafocs natives a Linux. Ja que iptables té una sintaxi relativament complexa, utilitzar UFW per realitzar la seva configuració és una alternativa útil sense escatimar en seguretat.
Instal·lar UFW
La instal·lació del paquet "ufw" és molt senzilla i, de fet, es troba instal·lat per defecte en moltes distribucions. En aquest cas us indicarem les instruccions per a una distribució basada en Debian com, per exemple, Ubuntu. En altres distribucions, les ordres a seguir poden ser diferents.
apt update
Per actualitzar la llista de paquets.
apt install ufw
Per instal·lar el paquet "ufw".
Recorda que necessitaràs privilegis de superusuari per realitzar aquesta operació.
Configurar i habilitar UFW
Un cop instal·lat i configurat el tallafocs, explicarem la sintaxi bàsica per començar a establir regles.
1. Definició del comportament per defecte
En primer lloc haurem de determinar si volem que UFW, per defecte, permeti o denegui el tràfic entrant i el trànsit sortint.
Això ho podem aconseguir de la següent manera:
ufw default deny incoming
//Denega connexions entrants que no coincideixin amb cap regla.
ufw default allow incoming
// Permet connexions entrants que no coincideixin amb cap regla.
Per a connexions sortints:
ufw default deny outgoing
//Denega connexions sortints que no coincideixin amb cap regla.
ufw default allow outgoing
//Permet connexions sortints que no coincideixin amb cap regla.
La nostra recomanació és denegar les connexions entrants i permetre les connexions sortints per a una configuració bàsica. Després, hauràs de crear regles per permetre l'accés d'aquelles connexions, protocols o equips que necessitis.
2. Veure la configuració actual del firewall
Ara que ja has creat la teva primera regla, podràs veure la configuració actual amb la següent comanda:
ufw status
3. Permetre les connexions SSH (IMPORTANT!)
Per evitar que quedis exclòs del teu propi servidor un cop habilitis el tallafocs, és important que creïs una regla que et permeti connectar-te a través del port 22 (o qualsevol que hagis designat per al servei SSH).
Pots crear la teva primera regla per permetre tràfic entrant de la següent manera:
ufw allow 22
Per descomptat, hauràs d'especificar el port que el servei utilitza.
4. Permetre altres connexions entrants segons protocol, IP d'origen i altres paràmetres
A continuació t'exposem diversos exemples que et demostraran quina és la sintaxi de UFW, podent adaptar cada un d'ells segons les teves necessitats.
ufw allow 80
// Permet les connexions entrants pel port 80.
ufw allow http
// Permet les connexions entrants pel port 80, utilitzant l'àlies "http" en comptes del port numèric.
ufw allow 80/tcp
// Permet només les connexions entrants amb el protocol TCP pel port 80.
ufw allow 1000-2000
// Permet les connexions entrants en un rang de ports.
ufw allow from 10.0.0.30
// Permet connexions entrants a qualsevol port i protocol a la IP 10.0.0.30.
ufw allow from 10.0.0.0/24
// Permet connexions entrants a qualsevol port i protocol des d'un rang d'IPs usant la notació CIDR (de 10.0.0.0 a 10.0.0.255 en aquest cas).
ufw allow from 10.0.0.30 to any port 22
// Permet les connexions entrants al port 22 a la IP 10.0.0.30.
ufw allow from 10.0.0.30 to any port 22 proto tcp
// Permet les connexions entrants al port 22, amb protocol TCP a la IP 10.0.0.30.
Aquesta és només una mostra de les incomptables combinacions que permet UFW. Per descomptat, recorda que també pots utilitzar deny per aconseguir l'efecte contrari.
5. Eliminar regles
Per eliminar una regla, convé primer mostrar-les de manera numerada. Pots aconseguir-ho amb la següent comanda:
ufw status numbered
Un cop es mostren les regles precedides per un nombre que les identifiqui, podràs eliminar-les de la manera:
ufw delete 3
// Eliminar la regla número "3".
6. Inserir regles amb un nombre específic
Pots utilitzar la següent sintaxi per especificar regles en un lloc específic, aconseguint que aquesta regla tingui prioritat sobre les que li succeeixen.
ufw insert 3 allow 22
//Insereix una regla per permetre les connexions entrants en la posició 3.
7. Activar o desactivar els registres
UFW té l'opció de registrar totes les accions que pren i tots els intents d'accés. Pots activar o desactivar el registre de UFW de la següent manera:
ufw logging on
// Habilita els registres.
ufw logging off
// Deshabilita els registres.
8. Activar / Desactivar el firewall
Finalment, et mostrarem com activar el firewall un cop hagis establert la configuració necessària per al teu servidor:
ufw enable
// Activa el firewall i posa en funcionament totes les regles establertes.
ufw disable
// Deshabilita (pausa) el firewall.
ufw reset
// Elimina totes les regles i et permet començar des de zero a excepció del comportament per defecte que vas definir en el pas 1.
Ja està!
Si has seguit els passos correctament, ara podràs configurar amb èxit UFW i utilitzar-lo en el teu servidor.