<div class="et-l et-l--post">
			<div class="et_builder_inner_content et_pb_gutters3"><div class="et_pb_section et_pb_section_0 et_section_regular" >
				
				
				
				
				
				
				<div class="et_pb_row et_pb_row_0">
				<div class="et_pb_column et_pb_column_4_4 et_pb_column_0 et_pb_css_mix_blend_mode_passthrough et-last-child">
				
				
				
				
				<div class="et_pb_module et_pb_text et_pb_text_0 et_pb_text_align_left et_pb_bg_layout_light">
				
				
				
				
				<div class="et_pb_text_inner"><p>
Come <strong>configurare UFW Firewall Linux</strong> su Ubuntu. UFW è l&#8217;acronimo di Uncomplicated Firewall e consente di configurare un firewall su distro linux. E&#8217; stato concepito per semplificare la configurazione delle regole iptables. Inizialmente era disponibile solo per Ubuntu e poi è stato reso disponibile per la maggior parte delle distribuzioni.Una delle funzionalità utili per chi lavora con ipv6 è il supporto nativo messo a disposizione da ufw.</p>
<p>Per installarlo basta semplicemente digitare il comando:</p>
<p><em>sudo apt-get install ufw</em></p>
<p>Il servizio viene installato in modalità disable.</p>
<p>Per vericare lo stato digitiamo:</p>
<p><em>sudo ufw status</em></p>
<p>Se non vogliamo digitare ogni volta la parola sudo possiamo digitare sudo -i per attivare una sessione da super amministratore.</p>
<p>Prima di<strong> abilitare il firewall</strong> impostiamo le regole base. Vediamo alcuni comandi principali per <em>aggiungere e rimuovere regole</em>.</p>
<blockquote>
<p>Non abilitare il firewall finchè le regole non sono state definite perchè di default ufw permettere tutto il traffico in uscita e blocca tutto il traffico in ingresso quindi se state lavoando per esempio su una vps in ssh la macchina non sarebbe più accessibile.</p>
</blockquote>
<p>Per <strong>impostare la regola di accesso ssh</strong> basta digitare:</p>
<p><em>sudo ufw allow ssh/tcp o sudo ufw allow 22/tcp</em></p>
<p>Questa regola apre la porta 22 (dove ci possiamo collegare con client come putty o mRemoteNG o direttamente da shell). Se avete una connessione con ip statico e volete limitate le connessioni ssh solamente dal vostro ip il comando da digitare è:</p>
<p><em>sudo ufw allow from xxx.xxx.xxx.xxx to any port 22</em> (sostituire xxx.xxx.xxx.xxx con il vostro ip pubblico che potete reperire visitando siti come www.mioip.it per esempio). Se non viene specificata il protocollo tcp o udp verranno impostati per default entrambi.</p>
<p>Per abilitare la funzione di logging e monitorare le connessioni bloccate il comando è:</p>
<p><em>sudo ufw logging on</em></p>
<p>Possiamo ora <strong>abilitare il nostro firewall</strong> con il comando:</p>
<p><em>sudo ufw enable</em></p>
<p>Comparirà un messaggio che ci avviserà che tutte le sessioni correnti verranno disattivate, in caso la regola non sia impostata. Digitiamo yes e vediamo come consultare le regole impostate.</p>
<p>Per <strong>vedere tutte le regole impostate di ufw firewall</strong> digitiamo il comando:</p>
<p><em>sudo ufw status numbered</em></p>
<p>Otterremo la lista delle regole impostate con un indicatore numerico che identifica le stesse. Tutte le regole che abbiamo impostato saranno valide per ipv4 che per ipv6.</p>
<p>La <strong>lista delle regole</strong> con il loro identificativo ci consentirà di poter eliminare eventuali regole inserite erroneamente o non più utili. Per eliminare una regola digitiamo il comando:</p>
<p><em>ufw delete 5 </em> (con questo comando si elimina la regola che ha per identificativo il 4)</p>
<p>Se abbiamo la necessità di disabilitare ufw firewall il comando da digitare è :</p>
<p>sudo ufw disable</p></div>
			</div><div class="et_pb_module et_pb_text et_pb_text_1 et_pb_text_align_left et_pb_bg_layout_light">
				
				
				
				
				<div class="et_pb_text_inner"><h3>Regole Avanzate</h3>
<p>Vediamo come<strong> limitare le connessioni in entrata</strong> onde evitare attacchi brute force o ddos. Blocchiamo il traffico ICMP in modo che la macchina non risponda al ping. Per farlo è necessario modificare il file in /etc/ufw/before.rule con il comando</p>
<p><em>sudo nano /etc/ufw/before.rule</em> (nano è l&#8217;editor che utilizzo io, se non è installato installarlo con il comando sudo apt-get install nano)</p>
<p>Individuare all&#8217;interno del file la riga<strong> #ok icmp codes</strong> e vedremo sotto 5 regole con ACCEPT per il servizio icmp. Modifichiamo ACCEPT in DROP, salviamo il file e applichiamo le modifiche con il comando</p>
<p><em>ufw disable &;&; ufw enable</em></p>
<p>Se proviamo a fare una <strong>richiesta icmp</strong> da un altro computer appartenente ad un altra rete vedremo che la richiesta sarà scaduta.</p>
<p>Se volessimo bloccare la risposta icmp per ipv6 il file da modificare è /etc/ufw/before6.rule</p>
<p>Tornando alla nostra regola che abilitava la porta 22 possiamo applicare la funzione<strong> limiti di ufw</strong> che di default consente un massimo di <strong>6 connessioni ongi 30 secondi</strong> da un singolo ip. Per applicare il limite digitiamo il comando</p>
<p><em>sudo ufw limit 22/tcp</em></p>
<p>Dopo 6 tentativi dallo stesso ip tutte le connessioni successive verranno droppate per 30 secondi. Con questa regola limite di base possiamo evitare tentativi malevoli.</p>
<p>Per limitare le connessioni alla porta 80 (web) dovremmo seguire questi step.</p>
<p><em>sudo ufw llow 80/tcp</em> (apre il traffico sulla porta 80)</p>
<p><em>sudo ufw limit 80/tcp</em> (limitiamo le richiesta come descritto sopra)</p>
<p>In caso di crawling tramite comando wget le prime sei connessioni risponderanno mentre le successive saranno negate.</p></div>
			</div><div class="et_pb_module et_pb_text et_pb_text_2 et_pb_text_align_left et_pb_bg_layout_light">
				
				
				
				
				<div class="et_pb_text_inner"><h3>Consultare i log di ufw firewall</h3>
<p>Per consultare i log e vedere quelle che sta avvenendo dall&#8217;esterno verso la nostra rete possiamo digitare il comando <em>dmesg </em>o il comando tail -f /var&;log/syslog.</p>
<p>Vedremo delle stringhe come questa</p>
<pre class=" language-markup"><code class=" language-markup">[UFW LIMIT BLOCK] IN=eth0 OUT= MAC=00:00:00:00:00:00 SRC=123.123.123.123 DST=456.456.456.46 LEN=60 TOS=0x00 TTL=64 ID=11111 DF PROTO=TCP SPT=11111 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0</code></pre>
<p>SRC = Indirizzo IP bloccato</p>
<p>DST = IP del server su cui abbiamo abilitato ufw</p>
<p>PROTO = Protocollo utilizzato per la connessione</p>
<p>DPT = Porta di destinazione sulla quale IP SRC ha provato l&#8217;accesso.</p>
<p>Gli altri parametri sono riferiti ai contenuti del pacchetto.</p>
<h3>Conclusioni</h3>
<p>Se abbiamo bisogno di abiliate un firewall velocemente sulla nostra macchina locale o remota che sia UFW firewall ce lo permette con 4 semplici comandi procedura che con iptables sarebbe molto più lunga. Le regole di limit sono molto generiche quindi consiglio di utilizzarle temporaneamente o per server casalinghi. Per server di produzione ci sono altri servizi che vedremo molto più utili e performanti alla causa.</p>
<p>Se ti è servito l&#8217;aritcolo e ti è piaciuto lascia la tua mail per rimanere aggiornato e ricevere in anteprima i successivi articoli del settore. Condividi e metti mi piace su facebook.</p>
<p>Grazie e alla prossima.</p>
<p> ;</p></div>
			</div><div class="et_pb_module et_pb_code et_pb_code_0">
				
				
				
				
				
			</div>
			</div>
				
				
				
				
			</div>
				
				
			</div>		</div>
	</div>
	
- 7 anni ago
ivan
Categories:
server