Δημοσιεύτηκε: 01 Ιούλ 2009, 15:45
από panligo
Οδηγός (εύκολης) ρύθμισης του UFW Firewall


Το UFW (Uncomplicated FireWall) είναι ένα firewall ενσωματωμένο στο λειτουργικό σύστημα Ubuntu, δηλαδή όποιος έχει εγκατεστημένο το Ubuntu έχει και firewall αλλά είναι από προεπιλογή απενεργοποιημένο.

Υπενθύμιση: Αν είμαστε πίσω από router με ενεργοποιημένο firewall και NAT δεν είναι απαραίτητο να ακολουθήσουμε τον οδηγό αυτό καθώς έχουμε ήδη κάποιο firewall.Ευχαριστώ τον ftso για την υπενθύμιση αυτή :thumbup:
Επίσης να ευχαριστήσω τον
@SpyrosB για την συμβολή του ώστε να γίνει ο οδηγός ακόμα πιο έγκυρος. :thumbup:


Στην περίπτωση που κάποιος δεν ξέρει πως να ρυθμίσει το firewall του router του ο συγκεκριμένος οδηγός μπορεί να του φανεί χρήσιμος καθώς, αν όχι σε όλα, στα περισσότερα firewall οι κανόνες έχουν την ίδια δομή με τους κανόνες αυτού του οδηγού. Δημιουργούνται δηλαδή με παρόμοιο τρόπο... ;)


Για να εγκαταστήσουμε ένα γραφικό περιβάλλον (υπάρχουν αρκετά, εδώ θα χρησιμοποιήσουμε το GUFW (έκδοση 9.10.4), Graphical User Interface (GUI) for Uncomplicated FireWall (ufw)) για την εύκολη ρύθμιση του firewall ακολουθούμε τα βήματα:
    1)Πάμε εφαρμογές --> Κέντρο λογισμικού Ubuntu.
    2)Κάνουμε αναζήτηση για την λέξη firewall σε όλες τις διαθέσιμες εφαρμογές.
    3)Επιλέγουμε το πρόγραμμα Firewall configuration και πατάμε εφαρμογή αλλαγών.


Αφού ολοκληρωθεί η εγκατάσταση ξεκινάμε το πρόγραμμα από: Σύστημα--> Διαχείριση συστήματος --> Firewall configuration. Θα μας ζητηθεί να πληκτρολογήσουμε το συνθηματικό μας.
Ενεργοποιούμε το firewall επιλέγοντας το firewall enabled (αν δεν το έχουμε ήδη κάνει).



Γενική παρατήρηση: Οι κανόνες που θέτουμε με βάση αυτόν τον οδηγό αφορούν μόνο τα εισερχόμενα πακέτα προς το σύστημά μας. Για παράδειγμα, αν θέσουμε το τείχος προστασίας σε κατάσταση Deny όλες οι θύρες του συστήματος είναι κλειστές (εκτός και αν έχουμε θέσει κάποιους κανόνες) και δεν εισέρχονται πακέτα από το διαδίκτυο. Τα πακέτα από τον υπολογιστή μας προς το διαδίκτυο όμως βγαίνουν ελεύθερα :!:

Παρατηρούμε ότι υπάρχει ένα drop down μενού με τις εξής επιλογές:
Deny: Όπου όλες οι θύρες παραμένουν κλειστές.
Reject: 'Όπου όλες οι θύρες παραμένουν κλειστές και ενημερώνεται ο απομακρυσμένος υπολογιστής ότι έχει απορριφθεί.
Allow: Όπου όλες οι θύρες είναι ανοιχτές.
Αν πατήσουμε το κουμπί προσθήκη ανοίγει ένα νέο παράθυρο με τις εξής καρτέλες:
Α) Simple, Β) Preconfigured, Γ) Advanced.

Α)Στην καρτέλα Simple τα πράγματα είναι......απλά :!:


1)Η πρώτη επιλογή έχει σχέση με το αν θα επιτρέπουμε την σύνδεση (allow), να μην επιτρέπουμε τη σύνδεση ούτε τα PINGs (Deny), να μην επιτρέπουμε την σύνδεση αλλά ο υπολογιστής να απαντάει στα PINGs (Reject) ή να γίνετε υπό περιορισμούς (limit).

Σημείωση: Με την επιλογή limit μπαίνει περιορισμός στις "βιαιες"/πολλαπλές προσπάθειες σύνδεσης που πιθανόν να κάνει μία ip προς τον υπολογιστή μας βάζοντας ανώτατο όριο προσπαθειών τις 6 ανά 30 δευτερόλεπτα.Αν το όριο ξεπεραστεί τότε το firewall δεν επιτρέπει την σύνδεση με την συγκεκριμένη διεύθυνση (η θύρα). Στην παραπάνω περίπτωση (καρτέλα simple) ο περιορισμός θα ισχύσει για όποιον ξεπεράσει το ανώτατο όριο συνδέσεων σε μία συγκεκριμένη θύρα μας που εμείς ορίζουμε. ;)

2) Δίπλα επιλέγουμε το πρωτόκολλο το οποίο θα χρησιμοποιήσουμε για να επικοινωνήσουμε μέσω της θύρας. TCP,UDP ή και τα δύο.
3)Στο διπλανό πλαίσιο συμπληρώνουμε τον αριθμό της θύρας την οποία θέλουμε να ρυθμίσουμε. (από 1 εώς 65535). Επίσης, μπορούμε να βάλουμε και κάποια απόσταση θυρών που θέλουμε να συνδεθούμε με την μορφή θύραΑ:θύραΒ. Για παράδειγμα αν γράψουμε 5:10 τότε ο κανόνας θα ισχύσει για τις θύρες 5 έως και 10.
Πατάμε προσθήκη και ο κανόνας εισήχθηκε.

Β)Στη καρτέλα Preconfigured τα πράγματα είναι ακόμα πιο απλά :!: :!:


1)Η πρώτη επιλογή παραμένει ίδια
2)Η δεύτερη επιλογή έχει δύο κατηγορίες. Τις υπηρεσίες (Service) και τις εφαρμογές ( Program).
    I. Επιλέγοντας τις υπηρεσίες , στο διπλανό πλαίσιο μας εμφανίζει όλες τις πιθανές υπηρεσίες που μπορεί να θέλουμε να χρησιμοποιήσουμε. Επιλέγουμε την επιθυμητή υπηρεσία και πατάμε προσθήκη.
    Παρατηρούμε ότι ανάλογα με την υπηρεσία που επιλέξαμε μας δημιουργεί ένα κανόνα με την προεπιλεγμένη θύρα καθώς και το πρωτόκολλο της.

    II. Επιλέγοντας τις εφαρμογές (Program),στο διπλανό πλαίσιο μας εμφανίζει μια λίστα με πιθανές εφαρμογές που μπορεί να έχουμε εγκατεστημένες στο σύστημά μας για μεταφόρτωση αρχείων μέσω διαδικτύου (πχ. aMule, Transmission, frostwire κτλ.)
    Επιλέγουμε την εφαρμογή που θέλουμε και δημιουργούμε τον κανόνα.
Παρατηρήσεις :geek: :
α) Την θύρα και το πρωτόκολλο που τοποθετούνται στον κανόνα (κατηγορία ΙΙ) το gufw τα παίρνει από τις ρυθμίσεις του εκάστοτε προγράμματος αυτόματα.
Αν αλλάξουμε τις ρυθμίσεις ενός προγράμματος π.χ. την θύρα τότε θα πρέπει να διαγράψουμε τον παλιό κανόνα για αυτό το πρόγραμμα και να φτιάξουμε νέο, έτσι ώστε το GUFW να εντοπίσει τις νέες ρυθμίσεις του προγράμματος.

β)Για να προστεθεί ένα πρόγραμμα στην λίστα του GUFW αρκεί να τρέξετε μία φορά το πρόγραμμα αυτό, έχοντας το GUFW κλειστό (όχι απαραίτητα απενεργοποιημένο το firewall :!: :!: )

3) Στην καρτέλα Advanced τα πράγματα είναι λιγάκι πιο πολύπλοκα. :?


1) Έχουμε τις γνωστές επιλογές για το αν θα επιτρέπουμε η όχι την επικοινωνία και με πιο πρωτόκολλο.
2) Έχουμε ένα πίνακα με δύο στήλες και δύο σειρές. Στην πρώτη σειρά βάζουμε τις ρυθμίσεις μας για μία εισερχόμενη σύνδεση από μία ip και στην δεύτερη σειρά βάζουμε μία ip που (πιθανών να) έχουμε στο υποδίκτυο μας. Με αυτό το τρόπο μπορούμε να ρυθμίσουμε συγκεκριμένες εξωτερικές ip (και θύρες) να επικοινωνούν με συγκεκριμένες ip (και θύρες) στο τοπικό μας δίκτυο (LAN).
    Ι)Στην πρώτη στήλη συμπληρώνουμε τις ip διευθύνσεις για τις οποίες θέλουμε να ισχύσει ο κανόνας.
    ΙΙ) Στη δεύτερη στήλη βάζουμε της θύρες με τις οποίες επιθυμούμε να συνδεθούμε ή όχι. Επίσης, μπορούμε να βάλουμε και κάποια απόσταση θυρών που θέλουμε να συνδεθούμε με την μορφή θύραΑ:θύραΒ. Για παράδειγμα αν γράψουμε 5:10 τότε ο κανόνας θα ισχύσει για τις θύρες 5 έως και 10.
]Παρατηρήσεις :geek: :
α)Αν στην πρώτη στήλη δεν βάλουμε κάποια ip διεύθυνση τότε ο κανόνας θα ισχύει για όλες τις ip.
β)Αν στην τρίτη στήλη δεν βάλουμε κάποια απόσταση (δηλαδή γράψουμε 5, αντί για 5:10) τότε ο κανόνας θα ισχύει μόνο για μία θύρα, αυτή που έχουμε γράψει. Στην συγκεκριμένη περίπτωση για την θύρα 5.

Γενικές παρατηρήσεις σχετικά με την εφαρμογή :ugeek: :

1)Ανεξάρτητα από το αν έχουμε επιλέξει η όχι να ξεκινάει αυτόματα η εφαρμογή στην εκκίνηση του συστήματος το firewall ενεργοποιείται αυτόματα σε κάθε εκκίνηση του συστήματος, έκτος και αν το απενεργοποιήσουμε εμείς με την επιλογή μέσα από το πρόγραμμα η από το τερματικό. Δηλαδή δεν είναι ανάγκη να τρέχουμε το πρόγραμμα για να είναι ενεργοποιημένο το firewall με τους κανόνες του. :!: :!:
2)Αυτό μπορούμε εύκολα να το εξακριβώσουμε, αν έχουμε ενεργοποιήσει το firewall και κλείσουμε το πρόγραμμα, εκτελώντας την παρακάτω εντολή στο τερματικό:
Κώδικας: Επιλογή όλων
sudo ufw status

όπου και θα μας εμφανίσει ότι είναι ενεργοποιημένο το firewall καθώς και μία λίστα με τους διάφορους κανόνες που έχουμε θέσει. :thumbup:



Εάν έχω κάνει κάτι λάθος, κάτι λείπει ή χρειάζεται περισσότερη διευκρίνιση σε κάποια ρύθμιση να μου το πείτε για να το διορθώσω.... ;)