Linux: Uncomplicated FireWall

Die UFW (Uncomplicated FireWall) ist ein Frontend für iptables, um die Handhabung der Netfilter-Module zu vereinfachen. Es bietet eine Befehlszeilenschnittstelle mit ähnlicher Syntax wie der Paketfilter von OpenBSD und ist besonders zum Betrieb einer »host-based« Firewall geeignet.

Installation

sudo aptitude install ufw

Regelanwendung

  1. /etc/ufw/before.rules
  2. /lib/ufw/user.rules
  3. /etc/ufw/after.rules

Dabei überschreiben 3er Regeln 2er Regeln und 2er Regeln 1er Regeln. Bei allen Regeln gilr immer „first match wins“, also spezifische Regeln zuerst, allgemeinere Regeln später anordnen. Angelegte Regeln werden in der /lib/ufw/user.rules Datei (Backup!) gespeichert.

Kommandos

Alle Regeln mit Positionsnummern ausgeben

sudo ufw status numbered

Alle Regeln (unnummeriert), Default-Regeln, Log-Level, Firewall-Status ausgeben

sudo ufw status verbose

Regel entfernen

sudo ufw delete POSITION

oder

sudo ufw delete REGEL

Regel testen und detailiert ausgeben

sudo ufw --dry-run REGEL

Einfache Regel aufnehmen

sudo ufw AKTION [RICHTUNG] [LOGGING] PORT/PROTOKOLL

Komplexe Regel einfügen

sudo ufw [insert POSITION] AKTION [RICHTUNG] [on IFACE] [LOGGING] from ADRESSE port PORT to ADRESEE port PORT proto PROTOKOLL
Definitionen
POSITION
N Nummer
AKTION
allow erlaube
limit erlaube, aber verbiete bei >= 6 Verbindungsversuchen innerhalb von 30 Sekunden
deny verbiete
reject verbiete mit Benachrichtigung des Absenders
RICHTUNG
in eingehend
out ausgehend
IFACE
ethN NIC
LOGGING
log loggt die Verbindung
log-all loggt alle Pakete
ADRESSE
a.b.c.d einzelne IP-Adresse
a.b.c.d/N Netzwerk
any oder 0.0.0.0/0 beliebige IP-Adresse
PORT
N ein Port
N1,N2 Portliste (max. 15)
N1:N2 Portbereich (gilt als 2 Ports in einer Portliste)
PROTKOLL
tcp TCP
udp UDP

Regelberichte

sudo ufw show REPORT
REPORTS
raw zeigt alles an
builtins
before-rules
user-rules
after-rules
logging-rules
listening zeigt für TCP und UDP getrennt Port, Interface und Anwendung zusammen mit den zutreffenden Regeln („firts match wins“) an

oder

sudo iptables -L -n -v

GUI

Wer ein GUI benötigt oder nutzen will, kann sich Gufw (GUI for Uncomplicated Firewall) installieren:

sudo aptitude install gufw

Alternativen

Verweise auf aktuelle Seite