Ubuntu-gr Forum

Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Το UFW (Uncomplicated FireWall) είναι ένα firewall ενσωματωμένο στο λειτουργικό σύστημα Ubuntu, δηλαδή όποιος έχει εγκατεστημένο το Ubuntu έχει και firewall αλλά είναι από προεπιλογή απενεργοποιημένο.

Υπενθύμιση: Αν είμαστε πίσω από router με ενεργοποιημένο firewall και NAT δεν είναι απαραίτητο να ακολουθήσουμε τον οδηγό αυτό καθώς έχουμε ήδη κάποιο firewall.Ευχαριστώ τον ftso για την υπενθύμιση αυτή
Επίσης να ευχαριστήσω τον @SpyrosB για την συμβολή του ώστε να γίνει ο οδηγός ακόμα πιο έγκυρος.


Στην περίπτωση που κάποιος δεν ξέρει πως να ρυθμίσει το firewall του router του ο συγκεκριμένος οδηγός μπορεί να του φανεί χρήσιμος καθώς, αν όχι σε όλα, στα περισσότερα firewall οι κανόνες έχουν την ίδια δομή με τους κανόνες αυτού του οδηγού. Δημιουργούνται δηλαδή με παρόμοιο τρόπο...


Για να εγκαταστήσουμε ένα γραφικό περιβάλλον (υπάρχουν αρκετά, εδώ θα χρησιμοποιήσουμε το GUFW (έκδοση 9.10.4), Graphical User Interface (GUI) for Uncomplicated FireWall (ufw)) για την εύκολη ρύθμιση του firewall ακολουθούμε τα βήματα:

1)Πάμε εφαρμογές --> Κέντρο λογισμικού Ubuntu.
2)Κάνουμε αναζήτηση για την λέξη firewall σε όλες τις διαθέσιμες εφαρμογές.
3)Επιλέγουμε το πρόγραμμα Firewall configuration και πατάμε εφαρμογή αλλαγών.

Αφού ολοκληρωθεί η εγκατάσταση ξεκινάμε το πρόγραμμα από: Σύστημα--> Διαχείριση συστήματος --> Firewall configuration. Θα μας ζητηθεί να πληκτρολογήσουμε το συνθηματικό μας.
Ενεργοποιούμε το firewall επιλέγοντας το firewall enabled (αν δεν το έχουμε ήδη κάνει).



Γενική παρατήρηση: Οι κανόνες που θέτουμε με βάση αυτόν τον οδηγό αφορούν μόνο τα εισερχόμενα πακέτα προς το σύστημά μας. Για παράδειγμα, αν θέσουμε το τείχος προστασίας σε κατάσταση Deny όλες οι θύρες του συστήματος είναι κλειστές (εκτός και αν έχουμε θέσει κάποιους κανόνες) και δεν εισέρχονται πακέτα από το διαδίκτυο. Τα πακέτα από τον υπολογιστή μας προς το διαδίκτυο όμως βγαίνουν ελεύθερα

Παρατηρούμε ότι υπάρχει ένα drop down μενού με τις εξής επιλογές:
Deny: Όπου όλες οι θύρες παραμένουν κλειστές.
Reject: 'Όπου όλες οι θύρες παραμένουν κλειστές και ενημερώνεται ο απομακρυσμένος υπολογιστής ότι έχει απορριφθεί.
Allow: Όπου όλες οι θύρες είναι ανοιχτές.
Αν πατήσουμε το κουμπί προσθήκη ανοίγει ένα νέο παράθυρο με τις εξής καρτέλες:
Α) Simple, Β) Preconfigured, Γ) Advanced.



1)Η πρώτη επιλογή έχει σχέση με το αν θα επιτρέπουμε την σύνδεση (allow), να μην επιτρέπουμε τη σύνδεση ούτε τα PINGs (Deny), να μην επιτρέπουμε την σύνδεση αλλά ο υπολογιστής να απαντάει στα PINGs (Reject) ή να γίνετε υπό περιορισμούς (limit).

Σημείωση: Με την επιλογή limit μπαίνει περιορισμός στις "βιαιες"/πολλαπλές προσπάθειες σύνδεσης που πιθανόν να κάνει μία ip προς τον υπολογιστή μας βάζοντας ανώτατο όριο προσπαθειών τις 6 ανά 30 δευτερόλεπτα.Αν το όριο ξεπεραστεί τότε το firewall δεν επιτρέπει την σύνδεση με την συγκεκριμένη διεύθυνση (η θύρα). Στην παραπάνω περίπτωση (καρτέλα simple) ο περιορισμός θα ισχύσει για όποιον ξεπεράσει το ανώτατο όριο συνδέσεων σε μία συγκεκριμένη θύρα μας που εμείς ορίζουμε.

2) Δίπλα επιλέγουμε το πρωτόκολλο το οποίο θα χρησιμοποιήσουμε για να επικοινωνήσουμε μέσω της θύρας. TCP,UDP ή και τα δύο.
3)Στο διπλανό πλαίσιο συμπληρώνουμε τον αριθμό της θύρας την οποία θέλουμε να ρυθμίσουμε. (από 1 εώς 65535). Επίσης, μπορούμε να βάλουμε και κάποια απόσταση θυρών που θέλουμε να συνδεθούμε με την μορφή θύραΑ:θύραΒ. Για παράδειγμα αν γράψουμε 5:10 τότε ο κανόνας θα ισχύσει για τις θύρες 5 έως και 10.
Πατάμε προσθήκη και ο κανόνας εισήχθηκε.



1)Η πρώτη επιλογή παραμένει ίδια
2)Η δεύτερη επιλογή έχει δύο κατηγορίες. Τις υπηρεσίες (Service) και τις εφαρμογές ( Program).

I. Επιλέγοντας τις υπηρεσίες , στο διπλανό πλαίσιο μας εμφανίζει όλες τις πιθανές υπηρεσίες που μπορεί να θέλουμε να χρησιμοποιήσουμε. Επιλέγουμε την επιθυμητή υπηρεσία και πατάμε προσθήκη.
Παρατηρούμε ότι ανάλογα με την υπηρεσία που επιλέξαμε μας δημιουργεί ένα κανόνα με την προεπιλεγμένη θύρα καθώς και το πρωτόκολλο της.

II. Επιλέγοντας τις εφαρμογές (Program),στο διπλανό πλαίσιο μας εμφανίζει μια λίστα με πιθανές εφαρμογές που μπορεί να έχουμε εγκατεστημένες στο σύστημά μας για μεταφόρτωση αρχείων μέσω διαδικτύου (πχ. aMule, Transmission, frostwire κτλ.)
Επιλέγουμε την εφαρμογή που θέλουμε και δημιουργούμε τον κανόνα.

Παρατηρήσεις :
α) Την θύρα και το πρωτόκολλο που τοποθετούνται στον κανόνα (κατηγορία ΙΙ) το gufw τα παίρνει από τις ρυθμίσεις του εκάστοτε προγράμματος αυτόματα.
Αν αλλάξουμε τις ρυθμίσεις ενός προγράμματος π.χ. την θύρα τότε θα πρέπει να διαγράψουμε τον παλιό κανόνα για αυτό το πρόγραμμα και να φτιάξουμε νέο, έτσι ώστε το GUFW να εντοπίσει τις νέες ρυθμίσεις του προγράμματος.

β)Για να προστεθεί ένα πρόγραμμα στην λίστα του GUFW αρκεί να τρέξετε μία φορά το πρόγραμμα αυτό, έχοντας το GUFW κλειστό (όχι απαραίτητα απενεργοποιημένο το firewall )



1) Έχουμε τις γνωστές επιλογές για το αν θα επιτρέπουμε η όχι την επικοινωνία και με πιο πρωτόκολλο.
2) Έχουμε ένα πίνακα με δύο στήλες και δύο σειρές. Στην πρώτη σειρά βάζουμε τις ρυθμίσεις μας για μία εισερχόμενη σύνδεση από μία ip και στην δεύτερη σειρά βάζουμε μία ip που (πιθανών να) έχουμε στο υποδίκτυο μας. Με αυτό το τρόπο μπορούμε να ρυθμίσουμε συγκεκριμένες εξωτερικές ip (και θύρες) να επικοινωνούν με συγκεκριμένες ip (και θύρες) στο τοπικό μας δίκτυο (LAN).

Ι)Στην πρώτη στήλη συμπληρώνουμε τις ip διευθύνσεις για τις οποίες θέλουμε να ισχύσει ο κανόνας.
ΙΙ) Στη δεύτερη στήλη βάζουμε της θύρες με τις οποίες επιθυμούμε να συνδεθούμε ή όχι. Επίσης, μπορούμε να βάλουμε και κάποια απόσταση θυρών που θέλουμε να συνδεθούμε με την μορφή θύραΑ:θύραΒ. Για παράδειγμα αν γράψουμε 5:10 τότε ο κανόνας θα ισχύσει για τις θύρες 5 έως και 10.

]Παρατηρήσεις :
α)Αν στην πρώτη στήλη δεν βάλουμε κάποια ip διεύθυνση τότε ο κανόνας θα ισχύει για όλες τις ip.
β)Αν στην τρίτη στήλη δεν βάλουμε κάποια απόσταση (δηλαδή γράψουμε 5, αντί για 5:10) τότε ο κανόνας θα ισχύει μόνο για μία θύρα, αυτή που έχουμε γράψει. Στην συγκεκριμένη περίπτωση για την θύρα 5.


1)Ανεξάρτητα από το αν έχουμε επιλέξει η όχι να ξεκινάει αυτόματα η εφαρμογή στην εκκίνηση του συστήματος το firewall ενεργοποιείται αυτόματα σε κάθε εκκίνηση του συστήματος, έκτος και αν το απενεργοποιήσουμε εμείς με την επιλογή μέσα από το πρόγραμμα η από το τερματικό. Δηλαδή δεν είναι ανάγκη να τρέχουμε το πρόγραμμα για να είναι ενεργοποιημένο το firewall με τους κανόνες του.
2)Αυτό μπορούμε εύκολα να το εξακριβώσουμε, αν έχουμε ενεργοποιήσει το firewall και κλείσουμε το πρόγραμμα, εκτελώντας την παρακάτω εντολή στο τερματικό:

Κώδικας: Επιλογή όλων

sudo ufw status

όπου και θα μας εμφανίσει ότι είναι ενεργοποιημένο το firewall καθώς και μία λίστα με τους διάφορους κανόνες που έχουμε θέσει.



Εάν έχω κάνει κάτι λάθος, κάτι λείπει ή χρειάζεται περισσότερη διευκρίνιση σε κάποια ρύθμιση να μου το πείτε για να το διορθώσω....

Μπράβο , χρήσιμο μπορεί να είναι για κάποιους , απλά κάνει μεγαλύτερες εικόνες και πρόσθεσε τις να είναι με ThumbnailPop

linuxman έγραψε:κάνει μεγαλύτερες εικόνες και πρόσθεσε τις να είναι με ThumbnailPop

Ευχαριστώ για τις συμβουλές. Έφτιαξα τις εικόνες όπως μου είπες.....νομήζω
Αν δεν έχω κάνει κάτι καλά πες μου τι να διορθώσω, και πως να το φτιάξω φυσικά

ftso έγραψε:Επίσης να σημειώσουμε πως αν είμαστε πίσω απο router με firewall και NAT, δεν είναι απαραίτητο να ακολουθήσουμε το οδηγό και γενικά να ασχοληθούμε με το θέμα firewall!

Να ρωτήσω κάτι...

Αυτός είναι γενικός κανόνας; Ισχύει για όλα τα Λ.Σ ή μόνο για το Linux;

Stevez έγραψε:Αυτός είναι γενικός κανόνας; Ισχύει για όλα τα Λ.Σ ή μόνο για το Linux;

Φυσικά. Δεν είναι απόλυτο βέβαια αυτό που γράφω. Μπορείς να τρέχεις και 10 firewall αν θέλεις παραπάνω ασφάλεια. Κατά 99.99999% όλη η δουλειά θα βγαίνει απο το πρώτο του router, ενώ το δεύτερο του pc απλά θα καταναλώνει πόρους και θα μας κουράζει με τις ρυθμίσεις...

Έχεις να προτείνεις και συγκεκριμένες ρυθμίσεις; Για παράδειγμα θα μου δημιουργήσει πρόβλημα το να κλείσω τελείως το telnet; Επίσης χρειάζεται να δημιουργήσω κανόνα και για ssh, tcp;

sindarta έγραψε:Έχεις να προτείνεις και συγκεκριμένες ρυθμίσεις; Για παράδειγμα θα μου δημιουργήσει πρόβλημα το να κλείσω τελείως το telnet; Επίσης χρειάζεται να δημιουργήσω κανόνα και για ssh, tcp;

Εξαρτάται τι ακριβώς θέλεις να κάνεις.
Για παράδειγμα: Αν χρησιμοποιείς το διαδίκτυο μόνο για torrent μπορείς να κλείσεις όλες τις θύρες εκτός από αυτή που χρησιμοποιεί ο torrent client σου. Από εκεί και πέρα αν χρησιμοποιείς και άλλες εφαρμογές ή υπηρεσίες του δικτύου τότε μπορείς να ανοίξεις και τις κατάλληλες θύρες για αυτά/ές.
Εννοείται πως εκτός από απλά να ανοίξεις μια θύρα καλό είναι να περιορίζεις και το πρωτόκολλο το οποίο θα χρησιμοποιεί αυτή τη θύρα για επιπλέον προστασία και όχι απλά να ανοίγεις την θύρα για όλα τα πρωτόκολλα....

Αν μου πεις τι ακριβώς υπηρεσίες του διαδικτύου χρησιμοποιείς και τι θες να κάνεις ίσως μπορέσω να σου πω περίπου τι να κάνεις...
Πάντως σε γενικές γραμμές αν το σύστημά σου δεν προσφέρει κάποια διαδικτυακή υπηρεσία προς τα έξω (πχ e-mail server) δεν χρειάζεται να κάνεις κάτι καθώς από προεπιλογή το Ubuntu προστατεύει στο μέγιστο τον μέσο χρήστη (που απλά σερφάρει, ελέγχει τα e-mail του κ.τ.λ.) ακόμα και χωρίς firewall, κατά την γνώμη μου πάντα.

Ουσιαστικά για σερφάρισμα, dc++ που χρησιμοποιώ μέσω lan και skype το χρησιμοποιώ το ιντερνετ. Δεν έχω καμία περίεργη ανάγκη, πιο πολύ παίζω με το firewall.