Linux: Uncomplicated FireWall
Die UFW (Uncomplicated FireWall) ist ein Frontend für iptables, um die Handhabung der Netfilter-Module zu vereinfachen. Es bietet eine Befehlszeilenschnittstelle mit ähnlicher Syntax wie der Paketfilter von OpenBSD und ist besonders zum Betrieb einer »host-based« Firewall geeignet.
Installation
sudo aptitude install ufw
Regelanwendung
- /etc/ufw/before.rules
- /lib/ufw/user.rules
- /etc/ufw/after.rules
Dabei überschreiben 3er Regeln 2er Regeln und 2er Regeln 1er Regeln. Bei allen Regeln gilt immer „first match wins“, also spezifische Regeln zuerst, allgemeinere Regeln später anordnen. Angelegte Regeln werden in der /lib/ufw/user.rules Datei (Backup!) gespeichert.
Kommandos
Alle Regeln mit Positionsnummern ausgeben
sudo ufw status numbered
Alle Regeln (unnummeriert), Default-Regeln, Log-Level, Firewall-Status ausgeben
sudo ufw status verbose
Regel entfernen
sudo ufw delete POSITION
oder
sudo ufw delete REGEL
Regel testen und detailiert ausgeben
sudo ufw --dry-run REGEL
Einfache Regel aufnehmen
sudo ufw AKTION [RICHTUNG] [LOGGING] PORT/PROTOKOLL
Komplexe Regel einfügen
sudo ufw [insert POSITION] AKTION [RICHTUNG] [on IFACE] [LOGGING] from ADRESSE port PORT to ADRESEE port PORT proto PROTOKOLL
| Definitionen | |
|---|---|
| POSITION | |
| N | Nummer |
| AKTION | |
| allow | erlaube |
| limit | erlaube, aber verbiete bei >= 6 Verbindungsversuchen innerhalb von 30 Sekunden |
| deny | verbiete |
| reject | verbiete mit Benachrichtigung des Absenders |
| RICHTUNG | |
| in | eingehend |
| out | ausgehend |
| IFACE | |
| ethN | NIC |
| LOGGING | |
| log | loggt die Verbindung |
| log-all | loggt alle Pakete |
| ADRESSE | |
| a.b.c.d | einzelne IP-Adresse |
| a.b.c.d/N | Netzwerk |
| any oder 0.0.0.0/0 | beliebige IP-Adresse |
| PORT | |
| N | ein Port |
| N1,N2 | Portliste (max. 15) |
| N1:N2 | Portbereich (gilt als 2 Ports in einer Portliste) |
| PROTKOLL | |
| tcp | TCP |
| udp | UDP |
Regelberichte
sudo ufw show REPORT
| REPORTS | |
|---|---|
| raw | zeigt alles an |
| builtins | |
| before-rules | |
| user-rules | |
| after-rules | |
| logging-rules | |
| listening | zeigt für TCP und UDP getrennt Port, Interface und Anwendung zusammen mit den zutreffenden Regeln („firts match wins“) an |
oder
sudo iptables -L -n -v
GUI
Wer ein GUI benötigt oder nutzen will, kann sich Gufw (GUI for Uncomplicated Firewall) installieren:
sudo aptitude install gufw
