Wstęp
Firewall w Linuksie nie musi być trudny. Dobrym przykładem tego jest UFW, czyli program do zarządzania zaporą ogniową wbudowany w Ubuntu (od wersji 8.04 LTS) i Debiana (od wersji 10). Sama nazwa wskazuje na to, że program jest przyjazny dla użytkownika – UFW to skrót od angielskiego Uncomplicated Firewall.
Źródło: https://pixabay.com/vectors/firewall-fire-brick-wall-network-146529/
Co wyróżnia UFW?
Polecenia UFW nie różni się wiele składnią od poleceń iptables. UFW ma jednak jedną cechę, która jest szczególnie ważna dla początkujących – posiada interfejs graficzny (GUI – Graphical User Interface). Wersja UFW wykorzystująca GUI nazywa się GUFW.
GUFW posiada również trzy profile, które mają domyślnie ustawioną odpowiednią konfigurację dla danego środowiska. Są nimi: Dom, Biuro i Publiczny.
Jakie są opcje w UFW?
Podstawowe opcje są identyczne jak w iptables.
Odmów (deny) – odrzuca pakiet nie informując o tym adresata
Odrzuć (reject) – odrzuca pakiet informując o tym adresata
Pozwól (allow) – pozwala na komunikację
Przykłady użycia w instrukcji programu (man ufw)
UFW posiada rozbudowaną instrukcję, która zawiera kilka przykładów użycia programu. Są nimi m.in.:
ufw deny 53 – odrzucenie całego ruchu wykorzystującego port 53 (domyślny port DNS)
ufw allow 80/tcp – pozwolenie na ruch wykorzystujący protokół TCP na porcie 80
Można również w prosty sposób zezwolić na ruch przychodzący z sieci lokalnej:
ufw allow from 10.0.0.0/8
ufw allow from 172.16.0.0/12
ufw allow from 192.168.0.0/16
Poniższe podsieci zawierają wszystkie zarezerwowane prywatne adresy IP.
Korzystanie z GUFW
Przede wszystkim, zacznijmy od instalacji GUFW. Można to zrobić za pomocą polecenia:
sudo apt install gufw
Po instalacji programu można go otworzyć na dwa sposoby – wpisując gufw w terminalu lub poprzez naciśnięcie ikony programu o nazwie Konfiguracja zapory sieciowej.
Sposób 1
Sposób 2 – GUFW to drugi program od prawej
Po uruchomieniu GUFW domyślnie jest wyłączone – należy je włączyć, naciskając przełącznik obok opcji Stan.
Wyłączone UFW
Włączone UFW
Domyślnie UFW dla profilu Dom składa się z dwóch podstawowych opcji: odmawiania połączenia dla ruchu przychodzącego i pozwolenia na połączenia dla ruchu wychodzącego.
NIE ZALECAM WYŁĄCZANIA BLOKADY RUCHU PRZYCHODZĄCEGO DLA WSZYSTKICH URZĄDZEŃ!
Może to wiązać się z przykrymi konsekwencjami – jak byłem małym chłopcem wyłączyłem zaporę ogniową w Windowsie celem aktywowania systemu za pomocą aktywatora z dziwnej strony. Przy zamykaniu komputera na moim pulpicie pojawiły się pliki zapisane cyrylicą i flagi Cypru Północnego. Naprawdę nie warto .
Przybliżony wygląd mojego pulpitu
Dodawanie prekonfigurowanej reguły
W takim razie, pozwólmy określonym aplikacjom i portom na korzystanie z ruchu wychodzącego. GUFW pozwala na dodanie reguł, które dotyczą określonych programów. Przykładowo, chciałem pozwolić na ruch w obu kierunkach dla gry Vendetta Online. Można to zrobić naciskając plus w lewym dolnym rogu programu, a następnie tworząc regułę poprzez GUI.
Po dodaniu reguły zostanie ona pokazana w zakładce reguły. Tak jak widać poniżej, GUFW pozwala na ruch wychodzący i przychodzący na porcie 21024 z wykorzystaniem protokołu TCP.
Sprawdźmy, do czego służy port 21024.
https://www.speedguide.net/port.php?port=21024
Zgodnie z speedguide.net, port nie jest przypisany do konkretnej usługi. Sprawdźmy więc, czy port faktycznie używany jest do stworzenia serwera tej gry.
https://www.vendetta-online.com/x/msgboard/5/2413
Jak widać we wpisie na blogu z 2003 roku, faktycznie port 21024 jest używany do hostowania serwerów gry.
Dodawanie prostej reguły
Dodawanie prostej reguły opiera się o wskazanie portu, protokołu (TCP/UDP) i kierunku (przychodzący/wychodzący). W moim przypadku dodałem regułę o nazwie ssh, która zezwalała na ruch przychodzący i wychodzący na porcie 22.
Dodawanie zaawansowanej reguły
Zaawansowana reguła w GUFW oparta jest o wiele parametrów, dzięki którym możemy sprecyzować m.in. interfejs sieciowy, docelowy czy źródłowy lub docelowy adres IP wraz z portem. Może to być szczególnie użyteczne w miejscach, które wymagają specjalnego zabezpieczenia – np. widoczności tylko z sieci lokalnej lub wykorzystywania VPN do komunikacji z urządzeniem.
Dziennik
GUFW pozwala na wyświetlanie dziennika zmian, które zostały wprowadzone odnośnie zapory ogniowej. Dzięki temu możemy przeanalizować nasze ustawienia z przeszłości lub zapoznać się ze zmianami, które nie zostały wprowadzone przez nas.
Zrzut ekranu został wykonany po otwarciu portu 21024.
Reguły
W zakładce Reguły możemy zobaczyć obecnie wprowadzone reguły w przystępnej formie. Na zrzucie ekranu widoczne są poprzednio dodane reguły oraz dodatkowa reguła, otwierająca port 1234 dla VLC UDP stream.
Opcja (v6) oznacza, że reguła dotyczy IP wersji 6.
Podsumowanie
UFW lub jego graficzny odpowiednik (GUFW) mogą pomóc w konfiguracji zapory ogniowej w prosty i bezpieczny sposób. Interfejs graficzny GUFW może znacząco ułatwić konfigurowanie firewalla osobom, które nie są przyzwyczajone do pracy z terminalem.
GUFW i UFW pozwalają na tworzenie nie tylko prostych reguł, lecz również na tworzenie skomplikowanych reguły w prosty sposób – np. z wykorzystaniem interfejsu graficznego. Jeżeli nigdy nie było Ci dane konfigurować firewalla, zalecam spróbować z wykorzystaniem GUFW – naprawdę nie jest to trudne .
Pisał dla Was Oskar Klimczuk.