Uitbreiding nodig: Dit artikel is onvolledig en moet worden uitgebreid. Meer info... |
Geschikt voor: 
Versie: 8.04 LTS 9.10 10.10
Ubuntu Firewall
Inleiding
De Linux kernel ("het hart van het Ubuntu systeem") heeft een ingebouwde pakket filter (Netfilter) subsysteem wat als firewall gebruikt kan worden. Alle moderne GNU\Linux firewalls zijn hierop gebaseerd.
Deze firewall is standaard geïnstalleerd.
Om de pakket filter in de kernel te gebruiken als firewall is een programma nodig. Het terminalvensterprogramma iptables.
Als netwerkverkeer op de computer aankomt zal door het Netfilter subsysteem worden behandeld. Het moet worden geaccepteerd, kan worden gewijzigd of worden afgewezen op basis van regels die zijn ingesteld met iptables. Om de firewall met iptables in te stellen maakt Ubuntu standaard gebruik van de Uncomplicated Firewall (ufw) als instelhulpmiddel.
Gufw is een grafisch programma om de Ubuntu Firewall (ufw) eenvoudig in te stellen. Kijk in het artikel over Gufw.
Netwerk
Standaard gebruikt Ubuntu ufw als hulpmiddel voor het instellen van de firewall.
Voorbeelden van het gebruik van ufw:
ten eerste moet de ufw configuratie worden geactiveerd. Open een Terminalvenster en type de opdracht:
$ sudo ufw enable Firewall is actief, en ingeschakeld tijdens systeemopstart
ufw kan worden uitgeschakeld met de opdracht:
$ sudo ufw disable Firewall is gestopt, en uitgeschakeld tijdens systeemopstart
- om netwerk verkeer op poort 22 toe te staan
$ sudo ufw allow 22 Regel toegevoegd
- poort 22 weer sluiten:
$ sudo ufw deny 22 Regel bijgewerkt
- de regel over poort 22 weer te vergeten:
$ sudo ufw delete deny 22 Regel gedetecteerd
- Het is ook mogelijk om een bepaalde computer of netwerk toegang te geven tot een specifieke netwerkpoort. In het volgende voorbeeld wordt ssh (poort 22) toegang gegeven aan ip-adres 192.168.0.2:
sudo ufw allow proto tcp from 192.168.0.2 to any port 22
Het volgende voorbeeld geeft deze ssh toegang voor een heel ip-subnetwerk (192.168.0.1 t/m 192.168.0.254):
sudo ufw allow proto tcp from 192.168.0.0/24 to any port 22
Als ufw met de optie --dry-run wordt uitgevoerd worden de filterregels getoond maar niet toegepast. Om de regels te tonen voor het openstellen van de HTTP netwerkpoort:
$ sudo ufw --dry-run allow http *filter :ufw-user-input - [0:0] :ufw-user-output - [0:0] :ufw-user-forward - [0:0] :ufw-user-limit - [0:0] :ufw-user-limit-accept - [0:0] ### RULES ### ### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 in -A ufw-user-input -p tcp --dport 80 -j ACCEPT ### END RULES ### -A ufw-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT BLOCK] " -A ufw-user-limit -j REJECT -A ufw-user-limit-accept -j ACCEPT COMMIT Regels bijgewerkt
- Om de status van de firewall te zien:
$ sudo ufw status Status: actief
- voor uitgebreide status informatie:
$ sudo ufw status verbose Status: actief Loggen: on (low) Standaard: deny (inkomend), allow (uitgaand) Nieuwe profielen: skip Naar Actie Van ---- ----- --- 22 ALLOW IN Anywhere
Als het poortnummer bekend is (gedefinieerd in /etc/services) kan de naam van de poort in plaats van het nummer worden gebruikt. In de voorgaande voorbeelden kan 22 vervangen worden door ssh
Programma's
Namen van netwerk-programma's kunnen worden gedefinieerd in het bestand /etc/ufw/applications.d. Dit bestand kan gewijzigd worden als er een afwijkend poortnummer wordt gebruikt.
- Om te zien welke toepassingen zijn gedefinieerd kan de volgende terminalopdracht worden gebruikt:
$ sudo ufw app list Beschikbare programma's: CUPS OpenSSH Samba
- Het is mogelijk de juiste poorten open te stellen middels de naam van het programma:
$ sudo ufw allow Samba Regel toegevoegd
- De naam van het programma kan ook gebruikt worden in uitgebreide(re) regels:
$ sudo ufw allow from 192.168.0.0/24 to any app Samba Regel toegevoegd
Vervang Samba en 192.168.0.0/24 door het programma en netwerk wat ingesteld moet worden.
- Merk op dat geen poortnummers nodig zijn in de ufw regel. De poortnummers komen uit de beschrijving van het programma.
- Om informatie over een bepaald programma te bekijken:
$ sudo ufw app info Samba Profiel: Samba Titel: LanManager-like file and printer server for Unix Description: The Samba software suite is a collection of programs that implements the SMB/CIFS protocol for unix systems, allowing you to serve files and printers to Windows, NT, OS/2 and DOS clients. This protocol is sometimes also referred to as the LanManager or NetBIOS protocol. Ports: 137,138/udp 139,445/tcp
Niet voor alle (netwerk) programma's is een beschrijving aanwezig.
Logregels
- het schrijven van logregels werkt niet in alle versies zoals beschreven. Verbeteringen zijn welkom.
Logregels van de firewall zijn essentieel voor het herkennen van aanvallen op het netwerk, het oplossen van problemen met de firewall instellingen en om inzicht te krijgen in het netwerk verkeer. De log optie moet dan wel zijn opgenomen in de firewall regel (zoals ACCEPT, DROP of REJECT).
Als ufw is geactiveerd kan het schrijven van logregels worden aangezet met de terminalvenster opdracht:
$ sudo ufw logging on Loggen ingeschakeld
Het schrijven kan weer worden gestopt door in deze opdracht on te vervangen door off. Standaard staat het logniveau laag (low) maar ook andere instellingen (medium, high, full) zijn mogelijk door deze aan de opdracht toe te voegen.
- Bijvoorbeeld om netwerk verkeer van poort 22 toe te staan en hiervan een logboekregel te schrijven:
$ sudo ufw allow log 22 Regel bijgewerkt
De logboekregels zijn te vinden in het bestand /var/log/messages.
meer informatie
Gufw is een grafisch programma om de Ubuntu Firewall (ufw) eenvoudig in te stellen. Kijk hier voor een artikel over Gufw.
ufw manual - de laatste versie van de ufw man pagina voor meer (Engelstalige) informatie.
Ubuntu Server Guide - Dit artikel is opgezet aan de hand van dit Engelstalige artikel.
Engelstalige wiki - De Engelstalige wiki.
UbuntuFirewall - Engelstalige community wiki.
