iptables Archive

Questa sera vi propongo un how-to sull'uso e la configurazione del tool di gestione della sicurezza che verrà implementato in hardy heron, ufw che sta per Uncomplicated FireWall...

parto col dire che i comandi sono abbastanza semplici (se no perchè uncomplicated eheh)...

morfeus@hardy:~$ ufw --help

Usage: ufw COMMANDCommands: enable Enables the firewall disable Disables the firewall default ARG set default policy to ALLOW or DENY logging ARG set logging to ON or OFF allow|deny RULE allow or deny RULE delete allow|deny RULE delete the allow/deny RULE status show firewall status version display version information

di default ovviamente è spento, quindi non avremo nessuna politca di filtraggio attiva sul nostro pc.Come prima cosa suggerisco di impostare la default rule su allow, di modo da poterlo attivare senza subire disconnessioni.sudo ufw default ALLOWe quindi poi di abilitarlo:sudo ufw enablecol comando status vediamo, indovinate un pò, la stato del firewall; se attivo o no. Mentre con l'opzione logging accompagnata da on o off, abilitamo il logging degli eventi del firewall.Tips: se prima dell'opzione, dopo del comando sudo ufw per intenderci, scriviamo --dry-run, simuleremo l'implementazione del comando; ossia diremo al programma di non modificare nulla ma di farci solo vedere cosa cambierebbe se lo lanciassimo veramente.Ora viene il bello: l'implementazione delle regole. L'utente lo può fare in due modi seguendo sintassi differenti. Vediamo come funziona la sintassi base, quella più semplice:

N.B. Io userò il comando allow ma a seconda di come deve essere impostato il firewall dovrete sostituire allow con deny

Come prima cosa possiamo specificare ad ufw di abilitare il traffico (entrata/uscita) solo per porta:sudo ufw allow 53abilitando in questo caso traffico per la porta 53, che nel caso dell'udp corrisponde in richieste DNS.Possiamo però, abilitare il traffico solo per tipo di protocollo:sudo ufw allow smtpOppure possiamo mischiare le due cose e permettere solo una determinata porta per un determinato protocollo (sempre in entrambi i sensi):sudo ufw allow 53/udpabilitando in questo caso, solo ed esclusivamente traffico per queries DNS.Adesso entriamo nella sintassi più complessa e efficace, basata sul celebre PF di OpenBSD:sudo ufw deny proto tcp to any port 80in questo caso, ad esempio, neghiamo il traffico in uscita da qualsiasi host e verso qualsiasi host per la porta 80, negando quindi la navigazione HTTP.sudo ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 25oppure possiamo negare, come in questo esempio, il traffico TCP da un determinato host/rete, verso un altro host/rete, sulla porta 25, nella fattispecie neghiamo alla rete 10.0.0.0/8 (quindi 10.x.x.x il /8 ci indica che siamo in classe A), di fare traffico SMTP verso l'host 192.168.0.1, i client di questa rete quindi non potranno inviare mail verso quel server.sudo ufw deny proto tcp from 2001:db8::/32 to any port 25possiamo specificare (e quindi gestire) anche indirizzi di protocollo 6, con questa regola ad esempio neghiamo all'host 2001:db80:0000:0000/32 (gli 0 negli indirizzi ipv6 possono essere omessi per comodità) di effettuare traffico smtp verso qualsiasi host, quindi non potrà inviare mail sempre e comunque. Questo lo possiamo fare a patto che precedentemente abbiamo settato correttamente il file /etc/default/ufw per l'ipv6 firewalling.Quando una regola non serve più possiamo disabilitarla postponendo delete al comando ufw, e seguendo con la regola interessata:sudo ufw delete deny 80/tcpTali regole possono essere configurate anche a firewall spento, anzi devono essere impostate a firewall spento, a meno che non sia stata messa precedentemente la default in allow. Il firewall effettua il ripasso delle regole solo quando viene attivato (con enable si può anche reloadare se è già attivo), oppure quando viene cambiata la default policy. Quando invece aggiungiamo o togliamo una regola questa non verrà "indicizzata", dovremo quindi reloadare il firewall per renderla attiva.Prima di utilizzarlo dobbiamo sapere però una cosa importante, come tutti i firewall anche ufw legge le regole in maniera sequenziale ossia dalla prima inserita fino all'ultima, vien da se che tra due regole successive, vince la prima e non la più restrittiva, pertanto dobbiamo avere cura di inserire per prime le regole più restrittive e poi quelle più generali (un deny any any 80, prima di un permit 1.2.3.4 any 80, coprirà tale regola quindi alla fine nemmeno l'host 1.2.3.4 potrà fare traffico http).UFW è una interfaccia di front-end al comando iptables-restore, le regole vengono salvate nei file /etc/ufw/before.rules, /usr/share/ufw/after.rules, e /var/lib/ufw/user.rules. Le regole possono essere modificate dagli amministratori (aka sudo), nei file before.rules e after.rules, secondo la sintassi iptables.Si tenga a mente che vengono lette per prima le regole all'interno del file before.rules, successivamente quelle di user.rules, ed infine quelle dentro after.rules (ecco il perchè dei nomi).Per ora è tutto, spero questa guida vi sia piaciuta.

Full Story