|
Dimensione: 12662
Commento: continuo domani
|
← Versione 46 del 23/11/2023 05.52.04 ⇥
Dimensione: 11001
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| ## page was renamed from UFW | |
| Linea 3: | Linea 4: |
| [[BR]] [[Indice()]] [[Informazioni(rilasci="10.10 10.04 9.10 8.04"; forum="http://forum.ubuntu-it.org/index.php/topic,440673.0.html"; help="http://help.ubuntu-it.org/current/ubuntu/serverguide/it/firewall.html")]] |
<<BR>> <<Indice(depth=1)>> <<Informazioni(forum="http://forum.ubuntu-it.org/viewtopic.php?t=440673"; rilasci="20.04 18.04")>> |
| Linea 9: | Linea 10: |
| L'applicazione predefinita in '''Ubuntu''' per la configurazione di un firewall è '''Ufw'''. Sviluppato per semplificare la configurazione di [:Sicurezza/Iptables:Iptables], '''Ufw''' offre un modo semplice per creare un firewall basato su protocolli IPv4 e IPv6. '''Ufw''', in modo predefinito, è inizialmente disabilitato. = Sintassi di base ed esempi = == Impostare le regole predefinite == E' consigliato impostare la modalità predefinita di '''Ufw''' prima di abilitarlo. * Per bloccare tutto il traffico in entrata, digitare in una finestra di terminale il seguente comando: {{{ |
'''Ufw''' ('''U'''ncomplicated '''f'''ire'''w'''all) è l'applicazione predefinita in Ubuntu per la configurazione del firewall. Sviluppato per semplificare la configurazione di [[Sicurezza/Iptables|iptables]], '''Ufw''' offre un modo semplice per creare un firewall basato su protocolli IPv4 e IPv6. '''Ufw''' è inizialmente disabilitato. {{{#!wiki tip Questa guida richiede l'utilizzo del [[AmministrazioneSistema/Terminale|terminale]]. }}} = Impostare le regole predefinite = È consigliato impostare la modalità predefinita di '''Ufw''' prima di abilitarlo. * Per bloccare tutto il traffico in entrata, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando: {{{ |
| Linea 21: | Linea 23: |
| * Per consentire tutto il traffico in entrata, digitare in una finestra di terminale il seguente comando: {{{ | * Per consentire tutto il traffico in entrata, digitare il comando: {{{ |
| Linea 25: | Linea 27: |
| * Per abilitare '''Ufw''' digitare in una finestra di terminale il seguente comando: {{{ | * Per abilitare '''Ufw''' digitare il comando: {{{ |
| Linea 29: | Linea 31: |
| ||<tablestyle="text-align: justify; width:100%; " style="border:none;" 5% ^>[[Immagine(Icone/Piccole/note.png,,center)]] ||<style="padding:0.5em; border:none;"> A meno che non si sia impostato inizialmente Ufw su `deny`, ufw sarà in modalità `allow` e consentirà tutto il traffico in entrata e in uscita se prima non si è impostato il set di regole. || * Per disabilitare '''Ufw''' digitare in una finestra di terminale il seguente comando: {{{ |
{{{#!wiki note A meno che '''Ufw''' non si sia impostato inizialmente su `deny`, sarà in modalità `allow` e consentirà tutto il traffico in entrata e in uscita se prima non si è impostato il set di regole. }}} * Per disabilitare '''Ufw''' digitare il comando: {{{ |
| Linea 34: | Linea 39: |
| == Consentire e bloccare il traffico == | = Consentire e bloccare il traffico = |
| Linea 39: | Linea 45: |
| * Per consentire i pacchetti tcp e udp in ingresso sulla porta 53, digitare il seguente comando in una finestra di terminale: {{{ | * Per consentire i pacchetti tcp e udp in ingresso sulla porta 53, digitare il comando: {{{ |
| Linea 42: | Linea 48: |
| * Per consentire i pacchetti tcp in ingresso sulla porta 53, digitare il seguente comando in una finestra di terminale: {{{ | * Per consentire i pacchetti tcp in ingresso sulla porta 53, digitare il comando: {{{ |
| Linea 45: | Linea 51: |
| * Per consentire i pacchetti udp in ingresso sulla porta 53, digitare il seguente comando in una finestra di terminale: {{{ | * Per consentire i pacchetti udp in ingresso sulla porta 53, digitare il comando: {{{ |
| Linea 48: | Linea 54: |
* Per bloccare i pacchetti tcp e udp sulla porta 53, digitare il seguente comando in una finestra di terminale: {{{ |
* Per bloccare i pacchetti tcp e udp sulla porta 53, digitare il comando: {{{ |
| Linea 52: | Linea 57: |
| * Per bloccare i pacchetti tcp sulla porta 53, digitare il seguente comando in una finestra di terminale: {{{ | * Per bloccare i pacchetti tcp sulla porta 53, digitare il comando: {{{ |
| Linea 55: | Linea 60: |
| * Per bloccare i pacchetti udp sulla porta 53, digitare il seguente comando in una finestra di terminale: {{{ | * Per bloccare i pacchetti udp sulla porta 53, digitare il comando: {{{ |
| Linea 59: | Linea 64: |
| == Eliminare una regola esistente == | == Sintassi avanzata == E' anche possibile utilizzare una sintassi più completa specificando l'origine e la destinazione degli indirizzi e delle porte. * In generale, la sintassi è la seguente: {{{ sudo ufw allow/deny from indirizzo_ip to protocollo port numero_porta (protocollo e numero_porta facoltativi) }}} * Per consentire il traffico proveniente dall'indirizzo IP 207.46.232.182, digitare il comando: {{{ sudo ufw allow from 207.46.232.182 }}} * Per bloccare il traffico proveniente dall'indirizzo IP 207.46.232.182, digitare il comando: {{{ sudo ufw deny from 207.46.232.182 }}} * Per consentire il traffico proveniente dall'indirizzo IP 192.168.0.4 alla porta 22 per tutti i protocolli, digitare il comando: {{{ sudo ufw allow from 192.168.0.4 to any port 22 }}} * Per bloccare il traffico proveniente dall'indirizzo IP 192.168.0.4 alla porta 22 per tutti i protocolli, digitare il comando: {{{ sudo ufw deny from 192.168.0.4 to any port 22 }}} * Per consentire il traffico proveniente dalla sottorete 192.168.1.0/24, digitare il comando: {{{ sudo ufw allow from 192.168.1.0/24 }}} * Per bloccare il traffico proveniente dalla sottorete 192.168.1.0/24, digitare il comando: {{{ sudo ufw deny from 192.168.1.0/24 }}} = Eliminare una regola esistente = |
| Linea 69: | Linea 100: |
| == Servizi == Se la porta che si vuole aprire o chiudere è definita in `/etc/services`, è possibile usare il nome della porta al posto del numero della porta. Negli esempi seguenti, si sostituirà 22 con `ssh`. * Per vedere la lista dei servizi, digitare in una finestra ii terminale il seguente comando: {{{ |
= Servizi = Se la porta che si vuole aprire o chiudere è definita in `/etc/services`, è possibile usare il nome al posto del numero della porta. Negli esempi seguenti, si sostituirà 22 con `ssh`. * Per vedere la lista dei servizi, digitare il comando: {{{ |
| Linea 79: | Linea 110: |
| * Per consentire il servizio `ssh`, digitare il seguente comando in una finestra di terminale: {{{ | * Per consentire il servizio `ssh`, digitare il comando: {{{ |
| Linea 82: | Linea 113: |
| * Per bloccare il servizio ssh, digitare il seguente comando in una finestra di terminale: {{{ | * Per bloccare il servizio ssh, digitare il comando: {{{ |
| Linea 86: | Linea 117: |
| == Stato == Verificare lo stato di '''Ufw''' permetterà di sapere se il firewall è attivato o disattivato e verrà mostrato l'elenco delle regole attualmente applicate da Ufw a Iptables. |
= Stato = Verificare lo stato di '''Ufw''' permetterà di sapere se il firewall è attivato o disattivato e verrà mostrato l'elenco delle regole attualmente applicate da '''Ufw''' a '''iptables'''. |
| Linea 105: | Linea 136: |
| * Viceversa, il risultato del comando sarà: {{{ | * Viceversa, il risultato sarà il seguente: {{{ |
| Linea 109: | Linea 140: |
| == Registri == I registri del firewall sono molto utili per riconoscere gli attacchi, migliorare le regole del firewall e per verificare attività inusuali nella propria rete. È necessario includere regole di registrazione per fare in modo che vengano eseguite le registrazioni e queste devono essere inserite prima di qualsiasi regola terminante applicabile (un regola con un obiettivo che decide il destino di un pacchetto, come `ACCEPT`, `DROP` o `REJECT`). * Per attivare la registrazione, digitare il seguente comando in una finestra di terminale: {{{ |
= Registri = I registri del firewall sono molto utili per riconoscere gli attacchi, migliorare le regole del firewall e per verificare attività inusuali nella propria rete. * Per attivare la registrazione, digitare il comando: {{{ |
| Linea 116: | Linea 147: |
| * Per disabilitare la registrazione, digitare il seguente comando in una finestra di terminale: {{{ | * Per disabilitare la registrazione, digitare il comando: {{{ |
| Linea 120: | Linea 151: |
| = Sintassi avanzata = E' anche possibile utilizzare una sintassi più completa specificando gli l'origine e la destinazione degli indirizzi e delle porte. * Per consentire il traffico proveniente da un indirizzo IP specifico, la sintassi è la seguente: {{{ sudo ufw allow from indirizzo_ip }}} * Per esempio, per autorizzare i pacchetti provenienti dall'indirizzo IP 207.46.232.182, digitare il seguente comando in una finestra di terminale: {{{ sudo ufw allow from 207.46.232.182 }}} {{{ in sospeso === Autorizzazione tramite Subnet === Si può usare una 'net mask': {{{ sudo ufw allow from 192.168.1.0/24 }}} }}} * Per consentire il traffico proveniente da un indirizzo IP verso una porta specifica, la sintassi è la seguente: {{{ sudo ufw allow from indirizzo_ip to protocollo port numero_porta }}} * Per esempio, per autorizzare l'accesso dell'indirizzo IP 192.168.0.4 alla porta 22 per tutti i protocolli, digitare il seguente comando in una finestra di terminale: {{{ sudo ufw allow from 192.168.0.4 to any port 22 }}} {{{ dopo == Autorizzare PING == Nota: La sicurezza tramite segretezza può essere di ben poco vantaggio effettivo con i moderni 'cracker script'. '''Per impostazione predefinita, UFW consente richieste ping.''' Si potrebbe desiderare di lasciare autorizzate le richieste (ICMP) ping al fine di diagnosticare eventuali problemi di rete. Per fare ciò si ha bisogno di modificare il file `/etc/ufw/before.rules` e rimuovere modificare le seguenti righe: {{{ |
= Ping = Con i moderni ''cracker script'', disabilitare il ''ping'' può non portare vantaggi. Per impostazione predefinita, '''Ufw''' consente le richieste di ping. Potrebbe darsi, che si voglia mantenere questa funzionalità per diagnosticare eventuali problemi di rete. Viceversa, per disabilitare questa funzionalità: * Con un [[Ufficio/EditorDiTesto|editor di testo]] e i [[AmministrazioneSistema/Sudo|privilegi di amministrazione]] aprire il file `/etc/ufw/before.rules` e sostituire: {{{ |
| Linea 165: | Linea 165: |
| cambiando la voce "ACCEPT" con "DROP": {{{ |
* con: {{{ |
| Linea 176: | Linea 174: |
| }}} * Per bloccare il traffico proveniente da un indirizzo IP specifico, la sintassi è la seguente: {{{ sudo ufw deny from indirizzo_ip }}} * Per esempio, per bloccare i pacchetti provenienti dall'indirizzo IP 207.46.232.182, digitare il seguente comando in una finestra di terminale: {{{ sudo ufw deny from 207.46.232.182 }}} * Per bloccare il traffico proveniente da un indirizzo IP verso una porta specifica, la sintassi è la seguente: {{{ sudo ufw deny from indirizzo_ip to protocollo port numero_porta }}} * Per esempio, per bloccare l'accesso dell'indirizzo IP 192.168.0.4 alla porta 22 per tutti i protocolli, digitare il seguente comando in una finestra di terminale: {{{ sudo ufw deny from 192.168.0.4 to any port 22 }}} == Regole di blocco avanzate == Bloccare gli indirizzi IP non è così semplice se si dispone già di un set di regole esistenti come IPTABLES. Quindi, se si è iniziato con le regole di default impostate su 'deny' e si è aggiunto una autorizzazione sulla porta 80 per un server pubblico: {{{ |
= Regole di blocco avanzate = Se si dispone già di un set di regole '''iptables''', bloccare gli indirizzi IP potrebbe non essere molto semplice. Nel caso si abbiamo già delle regole predefinite impostate su `deny` e successivamente si è provveduto ad autorizzare il traffico in entrata sulla porta 80: {{{ |
| Linea 195: | Linea 180: |
| }}} ma successivamente si è trovato l'indirizzo IP 111.222.3.44 che sta forzando il nostro server, il comando: {{{ | }}} tentare di bloccare l'indirizzo Ip 111.222.3.44 con il comando {{{ |
| Linea 197: | Linea 182: |
| }}} '''non farà nulla (perchè precedentemente si è autorizzato l'accesso con una regola)''' Si avrà bisogno di modificare il file `/etc/ufw/before.rules` e aggiungere una sezione "Block IP" dopo "Drop INVALID packets": {{{ -A ufw-before-input -s 111.222.3.44 -j DROP #Assuming no loging is desired of course) # drop INVALID packets # uncomment to log INVALID packets #-A ufw-before-input -m conntrack --ctstate INVALID -j LOG --log-prefix "[UFW B$ -A ufw-before-input -m conntrack --ctstate INVALID -j DROP # Block IP # This it is efective :) -A ufw-before-input -s 111.222.3.44 -j DROP }}} == Esempio di tipo avanzato == '''Scenario''': si desidera bloccare l'accesso alla porta 22 dagli indirizzi IP 192.168.0.1.e 192.168.0.7 ma contemporaneamente permettere l'accesso a tutti gli altri indirizzi IP 192.168.0.x IPs alla porta 22 {{{ |
}}} non porterà ad alcun risultato in quanto in precedenza l'accesso era stato abilitato. Si avrà bisogno di modificare il file `/etc/ufw/before.rules` e aggiungere una sezione "Block IP" dopo la sezione "Drop INVALID packets": {{{ # drop INVALID packets (logs these in loglevel medium and higher) -A ufw-before-input -m state --state INVALID -j ufw-logging-deny -A ufw-before-input -m state --state INVALID -j DROP # block IP -A ufw-before-input -s 111.222.3.44 -j DROP }}} = Esempio avanzato = Si supponga che si voglia bloccare l'accesso alla porta 22 agli indirizzi IP locali 192.168.0.1.e 192.168.0.7 ma allo stesso tempo si voglia permettere l'accesso a tutti gli altri indirizzi IP della sottorete 192.168.0.0/24. * Le regole da applicare saranno la seguenti: {{{ |
| Linea 218: | Linea 202: |
Questo pone le norme specifiche prima e successivamente le generice. Una volta che una regola è definita le altre non verranno valutate (manuale vedi sotto), quindi è necessario mettere le regole specifiche per prime. Quando le regole cambiano può essere necessario cancellare le vecchie regole per garantire che le nuove regole vengano messe e valutate nel giusto ordine. Per verificare l'ordine delle regole si può controllare lo statu; per lo scenario sopra descritto qui sotto vi è il settaggio desiderato per ifar sì che le regole lavorino nella maniera giusta; {{{ sudo ufw status |
* Nell'esempio, le regole specifiche vengono poste prima della regola generica. Quando le regole cambiano può essere necessario cancellare le vecchie regole per garantire che le nuove regole vengano valutate nel giusto ordine. * Per verificare l'ordine delle regole si può utilizzare il comando: {{{ sudo ufw status }}} * In questo caso le regole saranno le seguenti: {{{ |
| Linea 235: | Linea 219: |
| '''Cambio di scenario''': si vuole bloccare l'accesso alla porta 22 da parte dill'IP 192.168.0.3, 192.168.0.1 e 192.168.0.7 {{{ sudo ufw delete allow from 192.168.0.0/24 to any port 22 sudo ufw status |
Qualora, successivamente, si voglia bloccare l'accesso alla porta 22 anche all'indirizzo IP 192.168.0.3: * Prima è necessario cancellare la regola generica: {{{ sudo ufw delete allow from 192.168.0.0/24 to any port 22 }}} * Lo stato diventerà: {{{ |
| Linea 246: | Linea 232: |
sudo ufw deny 192.168.0.3 to any port 22 sudo ufw allow 192.168.0.0/24 to any port 22 sudo ufw status |
}}} * Successivamente, è necessario applicare la regola all'indirizzo IP 192.168.0.3: {{{ sudo ufw deny 192.168.0.3 to any port 22 }}} * Infine, bisogna rimettere la regola generica: {{{ sudo ufw allow 192.168.0.0/24 to any port 22 }}} * Lo stato diventerà: {{{ |
| Linea 265: | Linea 254: |
| Se si fosse semplicemente aggiunta la regola 'deny' la regola ' allow' savrebbe dovuto essere prima di 'deny' e applicata al posto di 'deny'. | Se si fosse semplicemente aggiunto la regola `deny`, la regola `allow` sarebbe stata prima della regola `deny` per l'indirizzo IP 192.168.0.3 e quindi applicata al suo posto. |
| Linea 269: | Linea 258: |
| * [https://help.ubuntu.com/community/UFW Documento originale] * [http://manpages.ubuntu.com/manpages/maverick/en/man8/ufw.8.html Pagina man di Ufw] * [:Sicurezza/Gufw:Gufw]: interfaccia grafica per Ufw. * [:Sicurezza/Firewall:Firewall] * [http://wiki.ubuntu-it.org/Sicurezza/Iptables Iptables] * Nota per revisione: l'ip di esempio è statico ed è del sito di microsoft. lasciarlo tra le regole di blocco Cambiarlo in quello da autorizzare :-D * Per ridurre lo spazio consolidare le informazioni. Unire le regole di accesso e di blocco. |
* [[https://help.ubuntu.com/community/UFW|Documento originale]] * [[https://wiki.ubuntu.com/UbuntuFirewallSpec|Specifiche tecniche]] * [[http://manpages.ubuntu.com/manpages/artful/en/man8/ufw.8.html|Pagina man di Ufw]] * [[http://manpages.ubuntu.com/manpages/artful/en/man8/ufw-framework.8.html|Pagina man di Ufw framework]] * [[Sicurezza/Gufw|Gufw]]: interfaccia grafica per Ufw. * [[Sicurezza/Firewall|Firewall]] * [[Sicurezza/Iptables|Iptables]] |
| Linea 279: | Linea 267: |
| CategoryNuoviDocumenti CategoryInTraduzione | CategorySicurezza |
Guida verificata con Ubuntu: 20.04
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Ufw (Uncomplicated firewall) è l'applicazione predefinita in Ubuntu per la configurazione del firewall. Sviluppato per semplificare la configurazione di iptables, Ufw offre un modo semplice per creare un firewall basato su protocolli IPv4 e IPv6. Ufw è inizialmente disabilitato.
Questa guida richiede l'utilizzo del terminale.
Impostare le regole predefinite
È consigliato impostare la modalità predefinita di Ufw prima di abilitarlo.
Per bloccare tutto il traffico in entrata, digitare nel terminale il seguente comando:
sudo ufw default deny
Per consentire tutto il traffico in entrata, digitare il comando:
sudo ufw default allow
Per abilitare Ufw digitare il comando:
sudo ufw enable
A meno che Ufw non si sia impostato inizialmente su deny, sarà in modalità allow e consentirà tutto il traffico in entrata e in uscita se prima non si è impostato il set di regole.
Per disabilitare Ufw digitare il comando:
sudo ufw disable
Consentire e bloccare il traffico
In generale, la sintassi è la seguente:
sudo ufw allow/deny porta/protocollo (facoltativo)
Per consentire i pacchetti tcp e udp in ingresso sulla porta 53, digitare il comando:
sudo ufw allow 53
Per consentire i pacchetti tcp in ingresso sulla porta 53, digitare il comando:
sudo ufw allow 53/tcp
Per consentire i pacchetti udp in ingresso sulla porta 53, digitare il comando:
sudo ufw allow 53/udp
Per bloccare i pacchetti tcp e udp sulla porta 53, digitare il comando:
sudo ufw deny 53
Per bloccare i pacchetti tcp sulla porta 53, digitare il comando:
sudo ufw deny 53/tcp
Per bloccare i pacchetti udp sulla porta 53, digitare il comando:
sudo ufw deny 53/udp
Sintassi avanzata
E' anche possibile utilizzare una sintassi più completa specificando l'origine e la destinazione degli indirizzi e delle porte.
In generale, la sintassi è la seguente:
sudo ufw allow/deny from indirizzo_ip to protocollo port numero_porta (protocollo e numero_porta facoltativi)
Per consentire il traffico proveniente dall'indirizzo IP 207.46.232.182, digitare il comando:
sudo ufw allow from 207.46.232.182
Per bloccare il traffico proveniente dall'indirizzo IP 207.46.232.182, digitare il comando:
sudo ufw deny from 207.46.232.182
Per consentire il traffico proveniente dall'indirizzo IP 192.168.0.4 alla porta 22 per tutti i protocolli, digitare il comando:
sudo ufw allow from 192.168.0.4 to any port 22
Per bloccare il traffico proveniente dall'indirizzo IP 192.168.0.4 alla porta 22 per tutti i protocolli, digitare il comando:
sudo ufw deny from 192.168.0.4 to any port 22
Per consentire il traffico proveniente dalla sottorete 192.168.1.0/24, digitare il comando:
sudo ufw allow from 192.168.1.0/24
Per bloccare il traffico proveniente dalla sottorete 192.168.1.0/24, digitare il comando:
sudo ufw deny from 192.168.1.0/24
Eliminare una regola esistente
Per eliminare una regola, usare delete seguito dalla regola.
Per esempio, se la regola originale era:
ufw deny 80/tcp
Usare questo comando per cancellarla:
sudo ufw delete deny 80/tcp
Servizi
Se la porta che si vuole aprire o chiudere è definita in /etc/services, è possibile usare il nome al posto del numero della porta. Negli esempi seguenti, si sostituirà 22 con ssh.
Per vedere la lista dei servizi, digitare il comando:
less /etc/services
La sintassi sarà la seguente:
sudo ufw allow/deny nome_servizio
Per consentire il servizio ssh, digitare il comando:
sudo ufw allow ssh
Per bloccare il servizio ssh, digitare il comando:
sudo ufw deny ssh
Stato
Verificare lo stato di Ufw permetterà di sapere se il firewall è attivato o disattivato e verrà mostrato l'elenco delle regole attualmente applicate da Ufw a iptables.
Per visualizzare lo stato del firewall, digitare il seguente comando in una finestra di terminale:
sudo ufw status
Se abilitato, un possibile output sarà il seguente:
Firewall attivato To Action From -- ------ ---- 22:tcp DENY 192.168.0.1 22:udp DENY 192.168.0.1 22:tcp DENY 192.168.0.7 22:udp DENY 192.168.0.7 22:tcp ALLOW 192.168.0.0/24 22:udp ALLOW 192.168.0.0/24
Viceversa, il risultato sarà il seguente:
Stato: inattivo
Registri
I registri del firewall sono molto utili per riconoscere gli attacchi, migliorare le regole del firewall e per verificare attività inusuali nella propria rete.
Per attivare la registrazione, digitare il comando:
sudo ufw logging on
Per disabilitare la registrazione, digitare il comando:
sudo ufw logging off
Ping
Con i moderni cracker script, disabilitare il ping può non portare vantaggi. Per impostazione predefinita, Ufw consente le richieste di ping.
Potrebbe darsi, che si voglia mantenere questa funzionalità per diagnosticare eventuali problemi di rete. Viceversa, per disabilitare questa funzionalità:
Con un editor di testo e i privilegi di amministrazione aprire il file /etc/ufw/before.rules e sostituire:
# ok icmp codes -A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT -A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT -A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT -A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
con:
# ok icmp codes -A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP -A ufw-before-input -p icmp --icmp-type source-quench -j DROP -A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP -A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP -A ufw-before-input -p icmp --icmp-type echo-request -j DROP
Regole di blocco avanzate
Se si dispone già di un set di regole iptables, bloccare gli indirizzi IP potrebbe non essere molto semplice.
Nel caso si abbiamo già delle regole predefinite impostate su deny e successivamente si è provveduto ad autorizzare il traffico in entrata sulla porta 80:
sudo ufw allow 80
tentare di bloccare l'indirizzo Ip 111.222.3.44 con il comando
sudo ufw deny 111.222.3.44
non porterà ad alcun risultato in quanto in precedenza l'accesso era stato abilitato.
Si avrà bisogno di modificare il file /etc/ufw/before.rules e aggiungere una sezione "Block IP" dopo la sezione "Drop INVALID packets":
# drop INVALID packets (logs these in loglevel medium and higher) -A ufw-before-input -m state --state INVALID -j ufw-logging-deny -A ufw-before-input -m state --state INVALID -j DROP # block IP -A ufw-before-input -s 111.222.3.44 -j DROP
Esempio avanzato
Si supponga che si voglia bloccare l'accesso alla porta 22 agli indirizzi IP locali 192.168.0.1.e 192.168.0.7 ma allo stesso tempo si voglia permettere l'accesso a tutti gli altri indirizzi IP della sottorete 192.168.0.0/24.
Le regole da applicare saranno la seguenti:
sudo ufw deny from 192.168.0.1 to any port 22 sudo ufw deny from 192.168.0.7 to any port 22 sudo ufw allow from 192.168.0.0/24 to any port 22
- Nell'esempio, le regole specifiche vengono poste prima della regola generica. Quando le regole cambiano può essere necessario cancellare le vecchie regole per garantire che le nuove regole vengano valutate nel giusto ordine.
Per verificare l'ordine delle regole si può utilizzare il comando:
sudo ufw status
In questo caso le regole saranno le seguenti:
Firewall loaded To Action From -- ------ ---- 22:tcp DENY 192.168.0.1 22:udp DENY 192.168.0.1 22:tcp DENY 192.168.0.7 22:udp DENY 192.168.0.7 22:tcp ALLOW 192.168.0.0/24 22:udp ALLOW 192.168.0.0/24
Qualora, successivamente, si voglia bloccare l'accesso alla porta 22 anche all'indirizzo IP 192.168.0.3:
Prima è necessario cancellare la regola generica:
sudo ufw delete allow from 192.168.0.0/24 to any port 22
Lo stato diventerà:
Firewall loaded To Action From -- ------ ---- 22:tcp DENY 192.168.0.1 22:udp DENY 192.168.0.1 22:tcp DENY 192.168.0.7 22:udp DENY 192.168.0.7
Successivamente, è necessario applicare la regola all'indirizzo IP 192.168.0.3:
sudo ufw deny 192.168.0.3 to any port 22
Infine, bisogna rimettere la regola generica:
sudo ufw allow 192.168.0.0/24 to any port 22
Lo stato diventerà:
Firewall loaded To Action From -- ------ ---- 22:tcp DENY 192.168.0.1 22:udp DENY 192.168.0.1 22:tcp DENY 192.168.0.7 22:udp DENY 192.168.0.7 22:tcp DENY 192.168.0.3 22:udp DENY 192.168.0.3 22:tcp ALLOW 192.168.0.0/24 22:udp ALLOW 192.168.0.0/24
Se si fosse semplicemente aggiunto la regola deny, la regola allow sarebbe stata prima della regola deny per l'indirizzo IP 192.168.0.3 e quindi applicata al suo posto.
Ulteriori risorse
Gufw: interfaccia grafica per Ufw.
