Firewall auf Debian installieren und konfigurieren
Bei einer Debian Standard Installation wird Firewall nicht installiert und damit auch nicht konfiguriert. Auch wenn wir ein Server innerhalb eine Firma einsetzen, sollten wir die Firewall installieren und ein paar Regeln setzen. Mit dem Programm Uncomplicated Firewall (UFW) ist das kein großes Problem ein paar Filter zu definieren. UFW besteht aus kleiner Anzahl von unkomplizierten Befehlen und nutzt iptables zur Konfiguration.
# ufw default deny incoming
# ufw allow 67
# ufw allow 68
# ufw allow 53
# ufw allow 1812
# ufw disable
In unserem Fall wird die Asugabe so aussehen.
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip
To Action From
-- ------ ----
22 ALLOW IN Anywhere
67 ALLOW IN Anywhere
68 ALLOW IN Anywhere
53 ALLOW IN Anywhere
1812 ALLOW IN Anywhere
22 (v6) ALLOW IN Anywhere (v6)
67 (v6) ALLOW IN Anywhere (v6)
68 (v6) ALLOW IN Anywhere (v6)
53 (v6) ALLOW IN Anywhere (v6)
1812 (v6) ALLOW IN Anywhere (v6)
In unserem Fall würde die Ausgabe so aussehen.
To Action From
-- ------ ----
[ 1] 22 ALLOW IN Anywhere
[ 2] 67 ALLOW IN Anywhere
[ 3] 68 ALLOW IN Anywhere
[ 4] 53 ALLOW IN Anywhere
[ 5] 1812 ALLOW IN Anywhere
[ 6] 22 (v6) ALLOW IN Anywhere (v6)
[ 7] 67 (v6) ALLOW IN Anywhere (v6)
[ 8] 68 (v6) ALLOW IN Anywhere (v6)
[ 9] 53 (v6) ALLOW IN Anywhere (v6)
[10] 1812 (v6) ALLOW IN Anywhere (v6)
# ufw status numbered
# ufw delete 5
In unserem Fall würde die Ausgabe so aussehen.
To Action From
-- ------ ----
[ 1] 22 ALLOW IN Anywhere
[ 2] 67 ALLOW IN Anywhere
[ 3] 68 ALLOW IN Anywhere
[ 4] 53 ALLOW IN Anywhere
[ 5] 22 (v6) ALLOW IN Anywhere (v6)
[ 6] 67 (v6) ALLOW IN Anywhere (v6)
[ 7] 68 (v6) ALLOW IN Anywhere (v6)
[ 8] 53 (v6) ALLOW IN Anywhere (v6)
# ufw reset
Die IP-Adresse 172.16.0.250 darf auf den Server in vollem Umfang zugreifen. Für die IP-Adresse sind alle Ports offen
Die IP-Adresse 172.16.0.250 darf auf den Server nur auf Port 22 zugreifen.
Die IP-Adresse vom Netz 172.16.0.0/22 dürfen auf den Server auf Port 443 zugreifen. Bei anderen Adressen wir die Verbindung abgelehnt.
Alle Verbindungen von der IP-Adresse 172.16.0.250 werden abgelehnt.
Alle Verbindungen auf Port 80 (http) werden abgelehnt.
Die IP-Adresse 172.16.0.251 darf auf den Server in vollem Umfang zugreifen. Für die IP-Adresse sind alle Ports offen