Cara Mengatur Firewall dengan UFW di Debian 10

UFW, atau Uncomplicated Firewall, adalah antarmuka iptablesyang diarahkan untuk menyederhanakan proses mengkonfigurasi firewall. Walaupun iptablesmerupakan alat yang solid dan fleksibel, para pemula mungkin kesulitan mempelajari cara menggunakannya untuk mengkonfigurasi firewall dengan benar. Jika Anda ingin memulai mengamankan jaringan Anda dan tidak yakin alat mana yang digunakan, UFW mungkin merupakan pilihan yang tepat untuk Anda.

Debian tidak menginstal UFW secara default. Jika Anda mengikuti seluruh tutorial Pengaturan Server Awal , Anda akan menginstal dan mengaktifkan UFW. Jika tidak, instal sekarang menggunakan apt:

Kami akan mengatur UFW dan mengaktifkannya dalam langkah-langkah berikut.
Tutorial ini ditulis dengan IPv4, tetapi akan bekerja untuk IPv6 selama Anda mengaktifkannya. Jika server Debian Anda memiliki IPv6 diaktifkan, Anda akan ingin memastikan bahwa UFW dikonfigurasi untuk mendukung IPv6; ini akan memastikan bahwa UFW akan mengelola aturan firewall untuk IPv6 selain IPv4. Untuk mengonfigurasi ini, buka file konfigurasi UFW /etc/default/ufwdengan nanoatau editor favorit Anda:

Kemudian pastikan nilainya IPV6adalah yes. Seharusnya terlihat seperti ini:

Simpan dan tutup file. Sekarang ketika UFW diaktifkan, itu akan dikonfigurasikan untuk menulis aturan firewall IPv4 dan IPv6. Namun, sebelum mengaktifkan UFW, Anda harus memastikan bahwa firewall Anda dikonfigurasi untuk memungkinkan Anda terhubung melalui SSH. Mari kita mulai dengan menetapkan kebijakan default.
Jika Anda baru saja mulai dengan firewall Anda, aturan pertama yang harus ditentukan adalah kebijakan default Anda. Aturan ini menangani lalu lintas yang tidak secara eksplisit cocok dengan aturan lainnya. Secara default, UFW diatur untuk menolak semua koneksi masuk dan mengizinkan semua koneksi keluar. Ini berarti siapa pun yang mencoba menjangkau server Anda tidak akan dapat terhubung, sementara aplikasi apa pun di dalam server akan dapat menjangkau dunia luar.

Mari kita atur aturan UFW Anda kembali ke default sehingga kami dapat yakin bahwa Anda akan dapat mengikuti tutorial ini. Untuk mengatur standar yang digunakan oleh UFW, gunakan perintah ini:

Perintah-perintah ini mengatur default untuk menolak masuk dan mengizinkan koneksi keluar. Default firewall ini saja mungkin cukup untuk komputer pribadi, tetapi server biasanya perlu menanggapi permintaan yang masuk dari pengguna luar. Kami akan melihat itu selanjutnya.
Jika kami mengaktifkan firewall UFW kami sekarang, itu akan menolak semua koneksi yang masuk. Ini berarti bahwa kita perlu membuat aturan yang secara eksplisit memungkinkan koneksi masuk yang sah - koneksi SSH atau HTTP, misalnya - jika kita ingin server kita menanggapi jenis permintaan tersebut. Jika Anda menggunakan server cloud, Anda mungkin ingin memperbolehkan koneksi SSH yang masuk sehingga Anda dapat terhubung ke dan mengelola server Anda.
Untuk mengonfigurasi server Anda agar mengizinkan koneksi SSH yang masuk, Anda dapat menggunakan perintah ini:

Ini akan membuat aturan firewall yang memungkinkan semua koneksi di port 22, yang merupakan port yang didengarkan daemon SSH secara default. UFW tahu apa allow sshartinya port karena terdaftar sebagai layanan dalam /etc/servicesfile.

Namun, kita sebenarnya dapat menulis aturan yang setara dengan menentukan port alih-alih nama layanan. Misalnya, perintah ini menghasilkan hasil yang sama dengan yang di atas:

Jika Anda mengkonfigurasi daemon SSH Anda untuk menggunakan port yang berbeda, Anda harus menentukan port yang sesuai. Misalnya, jika server SSH Anda mendengarkan pada port 2222, Anda dapat menggunakan perintah ini untuk mengizinkan koneksi pada port itu:

Sekarang firewall Anda telah dikonfigurasikan untuk memungkinkan koneksi SSH yang masuk, Anda dapat mengaktifkannya.
Untuk mengaktifkan UFW, gunakan perintah ini:

Anda akan menerima peringatan yang mengatakan perintah itu dapat mengganggu koneksi SSH yang ada. Kami telah menyiapkan aturan firewall yang memungkinkan koneksi SSH, jadi tidak apa-apa untuk melanjutkan. Tanggapi permintaan dengan ydan tekan ENTER.
Firewall sekarang aktif. Jalankan sudo ufw status verboseperintah untuk melihat aturan yang telah Anda tetapkan. Sisa tutorial ini mencakup cara menggunakan UFW secara lebih rinci, termasuk mengizinkan dan menolak berbagai jenis koneksi.
Anda dapat menentukan rentang port dengan UFW. Misalnya, beberapa aplikasi menggunakan banyak port alih-alih satu port.
Misalnya, untuk mengizinkan X11koneksi, yang menggunakan port 6000- 6007, gunakan perintah ini:

Saat menentukan rentang port dengan UFW, Anda harus menentukan protokol ( tcpatau udp) yang harus diterapkan aturan. Kami belum menyebutkan ini sebelumnya karena tidak menentukan protokol secara otomatis memungkinkan kedua protokol, yang OK dalam kebanyakan kasus.
Saat bekerja dengan UFW, Anda juga dapat menentukan alamat IP. Misalnya, jika Anda ingin memperbolehkan koneksi dari alamat IP tertentu, seperti alamat IP kantor atau rumah 203.0.113.4, Anda perlu menentukan fromdan kemudian alamat IP:

Anda juga dapat menentukan port tertentu yang diizinkan untuk dihubungkan oleh alamat IP dengan menambahkan to any portdiikuti oleh nomor port. Misalnya, jika Anda ingin mengizinkan 203.0.113.4untuk terhubung ke port 22(SSH), gunakan perintah ini:

Jika Anda ingin memperbolehkan subnet dari alamat IP, Anda dapat melakukannya menggunakan notasi CIDR untuk menentukan netmask. Misalnya, jika Anda ingin mengizinkan semua alamat IP mulai dari 203.0.113.1hingga 203.0.113.254Anda dapat menggunakan perintah ini:

Demikian juga, Anda juga dapat menentukan port tujuan yang 203.0.113.0/24diizinkan untuk disambungkan oleh subnet . Sekali lagi, kami akan menggunakan port 22(SSH) sebagai contoh:

Jika Anda ingin membuat aturan firewall yang hanya berlaku untuk antarmuka jaringan tertentu, Anda dapat melakukannya dengan menentukan allow in on, diikuti dengan nama antarmuka jaringan.
Anda mungkin ingin mencari antarmuka jaringan Anda sebelum melanjutkan. Untuk melakukannya, gunakan perintah ini:

Output yang disorot menunjukkan nama antarmuka jaringan. Mereka biasanya dinamai sesuatu seperti eth0atau enp3s2.
Jika server Anda memiliki antarmuka jaringan publik yang disebut eth0, misalnya, Anda dapat mengizinkan lalu lintas HTTP untuk itu dengan perintah ini:

Melakukan hal itu akan memungkinkan server Anda menerima permintaan HTTP dari internet publik.

Atau, jika Anda ingin server database MySQL (port 3306) Anda mendengarkan koneksi pada antarmuka jaringan pribadi eth1, Anda bisa menggunakan perintah ini:

Ini akan memungkinkan server lain di jaringan pribadi Anda untuk terhubung ke database MySQL Anda.
Jika Anda belum mengubah kebijakan default untuk koneksi masuk, UFW dikonfigurasi untuk menolak semua koneksi masuk. Secara umum, ini menyederhanakan proses pembuatan kebijakan firewall yang aman dengan mengharuskan Anda membuat aturan yang secara eksplisit mengizinkan port dan alamat IP tertentu.

Untuk menulis aturan tolak , Anda dapat menggunakan perintah yang dijelaskan di atas, menggantikan izinkan dengan menolak.
Misalnya, untuk menolak koneksi HTTP, Anda bisa menggunakan perintah ini:

Atau jika Anda ingin menolak semua koneksi dari 203.0.113.4Anda bisa menggunakan perintah ini:

Sekarang mari kita lihat cara menghapus aturan.
Mengetahui cara menghapus aturan firewall sama pentingnya dengan mengetahui cara membuatnya. Ada dua cara untuk menentukan aturan mana yang akan dihapus: dengan nomor aturan atau dengan aturan itu sendiri. Ini mirip dengan bagaimana aturan ditentukan ketika dibuat. Kami akan mulai dengan menjelaskan metode nomor hapus dengan aturan.

Jika Anda menggunakan nomor aturan untuk menghapus aturan firewall, hal pertama yang ingin Anda lakukan adalah mendapatkan daftar aturan firewall Anda. statusPerintah UFW memiliki numberedopsi, yang menampilkan angka di sebelah setiap aturan:

Jika kami memutuskan bahwa kami ingin menghapus aturan 2, yang memungkinkan koneksi HTTP pada port 80, kami dapat menentukan ini dalam deleteperintah UFW berikut :

Ini akan menampilkan konfirmasi konfirmasi, yang dapat Anda jawab y/n. Mengetik ykemudian akan menghapus aturan 2. Perhatikan bahwa jika Anda mengaktifkan IPv6, Anda juga ingin menghapus aturan IPv6 yang sesuai.

Alternatif aturan angka adalah dengan menentukan aturan aktual untuk dihapus. Misalnya, jika Anda ingin menghapus allow httpaturan, Anda bisa menulisnya seperti ini:

Anda juga dapat menentukan aturan dengan allow 80alih - alih nama layanan:

Metode ini akan menghapus aturan IPv4 dan IPv6, jika ada.
Kapan saja, Anda dapat memeriksa status UFW dengan perintah ini:

Jika UFW dinonaktifkan, yang merupakan default, Anda akan melihat sesuatu seperti ini:

Jika UFW aktif, yang seharusnya jika Anda mengikuti Langkah 3, output akan mengatakan bahwa itu aktif dan akan mencantumkan aturan apa pun yang telah Anda tetapkan. Misalnya, jika firewall diatur untuk mengizinkan 22koneksi SSH (port ) dari mana saja, output mungkin terlihat seperti ini:

Gunakan statusperintah jika Anda ingin memeriksa bagaimana UFW telah mengkonfigurasi firewall.
Jika Anda memutuskan tidak ingin menggunakan UFW, Anda dapat menonaktifkannya dengan perintah ini:

Setiap aturan yang Anda buat dengan UFW tidak akan lagi aktif. Anda selalu dapat menjalankan sudo ufw enablejika Anda harus mengaktifkannya nanti.
Jika Anda sudah memiliki aturan UFW yang dikonfigurasi tetapi Anda memutuskan ingin memulai kembali, Anda dapat menggunakan perintah reset:

Ini akan menonaktifkan UFW dan menghapus aturan apa pun yang telah Anda tetapkan sebelumnya. Ingatlah bahwa kebijakan default tidak akan berubah ke pengaturan aslinya jika Anda memodifikasinya kapan saja. Ini akan memberi Anda awal yang baru dengan UFW.

Firewall Anda sekarang dikonfigurasi untuk memungkinkan (setidaknya) koneksi SSH. Pastikan untuk mengizinkan koneksi masuk lainnya yang diperlukan server Anda, sementara juga membatasi koneksi yang tidak perlu. Ini akan memastikan bahwa server Anda berfungsi dan aman.