linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

ufw - Die einfache Firewall

Linux

3 Beiträge 1 Kommentatoren 170 Aufrufe

FrankM

schrieb am

Was ist ufw?

Uncomplicated Firewall (ufw) — The Uncomplicated Firewall (ufw, and gufw - a Graphical User Interface version of the same) is a frontend for iptables and is particularly well-suited for host-based firewalls. Ufw provides a framework for managing netfilter, as well as a command-line interface for manipulating the firewall.

Quelle: https://wiki.debian.org/Uncomplicated Firewall (ufw)

ufw ist nur ein Frontend, im Hintergrund wird weiterhin iptables benutzt. Aber ufw ist wesentlich einfacher. Ja, ich kann mir nicht alles merken

Ich wollte das mal ausprobieren um zu schauen, ob das meine iptables Einstellungen ersetzen kann. Das hier behandelt ufw nur im Kontext einer Server Installation. Solltet ihr das für einen Desktop benötige, dafür gibt es gufw. Ok, auf geht's..

Installation

apt install ufw

Standardeinstellungen

root@test-server:~# ufw status
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                  
OpenSSH (v6)               ALLOW       Anywhere (v6)

Hier sieht man den Status, nachdem ich mittels Ansible einen Server in der Hetzner Cloud erstellt habe. Dazu setze ich ein paar Einstellungen, die wären.

    #####################
    # Setup UFW
    #####################
    - name: Enable UFW
       community.general.ufw:
       state: enabled

    - name: Set policy IN
      community.general.ufw:
        direction: incoming
        policy: deny

    - name: Set policy OUT
      community.general.ufw:
        direction: outgoing
        policy: allow

    - name: Set logging
      community.general.ufw:
        logging: 'on'

    - name: Allow OpenSSH rule
      community.general.ufw:
        rule: allow
        name: OpenSSH

Auf der Konsole wäre das dann folgendes

ufw default deny incoming
ufw default allow outgoing
ufw logging on
ufw allow 22/tcp

Ein

ufw enable

und die Firewall ist aktiv. Kann man mit

root@test-server:~# ufw status
Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere                  
22/tcp (v6)                ALLOW       Anywhere (v6)

überprüfen. Ihr könnt auch mit

iptables -L
ip6tables -L

die entsprechenden Einstellungen für iptables Euch anschauen.

root@test-server:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ufw-before-logging-input  all  --  anywhere             anywhere            
ufw-before-input  all  --  anywhere             anywhere            
ufw-after-input  all  --  anywhere             anywhere            
ufw-after-logging-input  all  --  anywhere             anywhere            
ufw-reject-input  all  --  anywhere             anywhere            
ufw-track-input  all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ufw-before-logging-forward  all  --  anywhere             anywhere            
ufw-before-forward  all  --  anywhere             anywhere            
ufw-after-forward  all  --  anywhere             anywhere            
ufw-after-logging-forward  all  --  anywhere             anywhere            
ufw-reject-forward  all  --  anywhere             anywhere            
ufw-track-forward  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ufw-before-logging-output  all  --  anywhere             anywhere            
ufw-before-output  all  --  anywhere             anywhere            
ufw-after-output  all  --  anywhere             anywhere            
ufw-after-logging-output  all  --  anywhere             anywhere            
ufw-reject-output  all  --  anywhere             anywhere            
ufw-track-output  all  --  anywhere             anywhere            

Chain ufw-after-forward (1 references)
target     prot opt source               destination         
[..gekürzt..]

Mit

ufw reset

löscht man alle Einstellungen.

Hier noch die Ausgabe auf --help

root@test-server:~# ufw --help

Usage: ufw COMMAND

Commands:
 enable                          enables the firewall
 disable                         disables the firewall
 default ARG                     set default policy
 logging LEVEL                   set logging to LEVEL
 allow ARGS                      add allow rule
 deny ARGS                       add deny rule
 reject ARGS                     add reject rule
 limit ARGS                      add limit rule
 delete RULE|NUM                 delete RULE
 insert NUM RULE                 insert RULE at NUM
 prepend RULE                    prepend RULE
 route RULE                      add route RULE
 route delete RULE|NUM           delete route RULE
 route insert NUM RULE           insert route RULE at NUM
 reload                          reload firewall
 reset                           reset firewall
 status                          show firewall status
 status numbered                 show firewall status as numbered list of RULES
 status verbose                  show verbose firewall status
 show ARG                        show firewall report
 version                         display version information

Application profile commands:
 app list                        list application profiles
 app info PROFILE                show information on PROFILE
 app update PROFILE              update PROFILE
 app default ARG                 set default application policy

FrankM

schrieb am

Um eine Rule zu löschen, macht man folgendes

root@semaphore:/home/semaphore# ufw status numbered

Status: active

Um eine Rule zu löschen, macht man folgendes

root@semaphore:/home/semaphore# ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere                  
[ 2] 3000/tcp                   ALLOW IN    Anywhere                  
[ 3] 80                         ALLOW IN    Anywhere                  
[ 4] 443                        ALLOW IN    Anywhere                  
[ 5] 22/tcp (v6)                ALLOW IN    Anywhere (v6)             
[ 6] 3000/tcp (v6)              ALLOW IN    Anywhere (v6)             
[ 7] 80 (v6)                    ALLOW IN    Anywhere (v6)             
[ 8] 443 (v6)                   ALLOW IN    Anywhere (v6)

Jetzt kann man mit der Nummer die Rule löschen.

 root@semaphore:/home/semaphore# ufw delete 2
 Deleting:
  allow 3000/tcp
 Proceed with operation (y|n)? y       
 Rule deleted

F Offline
F Offline
FrankM
schrieb am zuletzt editiert von

#3
Beispiel um eingehend einen Port für eine IP-Adresse zu erlauben.
```
ufw allow from 1.1.1.1 to any port 8000
```
Im Fediverse -> @FrankM@nrw.social
1. NanoPi R5S
2. Quartz64 Model B, 4GB RAM
3. Quartz64 Model A, 4GB RAM
4. RockPro64 v2.1
1 Antwort Letzte Antwort
0

F

NodeBB - v3.9.0
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NodeBB nodebb linux
1

0 Stimmen

1 Beiträge

81 Aufrufe

Niemand hat geantwortet
F

Give back to open source 2023
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Allgemeine Diskussionen linux opensource
1

0 Stimmen

1 Beiträge

102 Aufrufe

Niemand hat geantwortet
F

Restic v0.16.2
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux restic linux
1

0 Stimmen

1 Beiträge

113 Aufrufe

Niemand hat geantwortet
F

Manjaro KDE Plasma 21.2.6
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux manjaro kde linux
16

0 Stimmen

16 Beiträge

496 Aufrufe

F

@FrankM sagte in Manjaro KDE Plasma 21.2.6:

Eines betrifft die Anordnung der Icons auf dem Desktop. Die Anordnung, die ich wähle, werden immer wieder geändert. Unschön, aber den Desktop nutze ich so gut wie gar nicht. Also kann ich auch auf den Fix warten.

Kann noch was dauern
https://pointieststick.com/2023/03/03/this-week-in-kde-plasma-6-begins/

Desktop icons on the active activity should no longer inappropriately re-arrange themselves when the set of connected screens changes. However during the process of investigation, we discovered that the code for storing desktop file position is inherently problematic and in need of a fundamental rewrite just like we did for multi-screen arrangement in Plasma 5.27. This will be done for Plasma 6.0, and hopefully make Plasma’s long history of being bad about remembering desktop icon positions just that–history (Marco Martin, Plasma 5.27.3. Link)
F

Quartz64 - SPDIF Modul
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Quartz64 - A quartz64 linux
2

0 Stimmen

2 Beiträge

245 Aufrufe

F

Für das bequeme Umschalten der Soundkarten kann man das Tool alsamixer benutzen.
pacman -S alsa-utils
Danach
alsamixer
e912744f-8f69-4b28-a50b-7ffc8a3ab399-grafik.png
F

Kopia 0.7.0-rc1 Kurztest
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Kopia kopia linux
2

0 Stimmen

2 Beiträge

312 Aufrufe

F

Nachdem ich doch ziemlich lange Snapshot Zeiten hatte, habe ich Jarek mal gefragt woran das liegt.

I guess you could run it in the cloud but latency will be progressively worse
because it's a chatty protocol sensitive to latency

Technisch verstehe ich das nicht, aber ich habe dann mal als kurzen Test auf meine lokale SSD einen Snapshot gemacht. Der war nach 2 Minuten (ca. 11GB) fertig. Der zweite Snapshot brauchte ca. 12 Sekunden. Das hört sich schon mal viel besser an, als die Stunden.

Aktuell ist der Plan den Kopia-Server im Internet zu nutzen damit beerdigt. Das scheint so nicht zu funktionieren. Ich mache da noch einen kurzen Test, diesmal Lokal auf meinem NAS.
F

Kopia - HTTP/S Server
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Kopia kopia linux
3

0 Stimmen

3 Beiträge

1k Aufrufe

F

Ich hatte ein paar Probleme, die ich mir teilweise nicht erklären kann 🤔

Ich möchte den Kopia Server gerne über systemd steuern.
SystemD [Unit] Description=Kopia Server After=syslog.target After=network.target [Service] Type=simple User=kopia Group=kopia ExecStart=/usr/bin/kopia server --tls-cert-file /home/kopia-server/fullchain.pem --tls-key-file /home/kopia-server/privkey.pem --htpasswd-file /home/kopia-server/.htpasswd --address <IPv4>:51515 Restart=always RestartSec=5 [Install] WantedBy=multi-user.target
Danach
systemctl daemon-reload systemctl start kopia-server
Mit
systemctl status kopia-server
kann man sich den Status anzeigen lassen.
Client Rechner
Auf dem Client, der das Backup zum Server schicken soll, machen wir dann folgendes.
USER@HOSTNAME:~$ kopia repo connect server --url=https://<DOMAIN>:51515 --override-username=USER --override-hostname=HOSTNAME Enter password to open repository: Connected to repository API Server. NOTICE: Kopia will check for updates on GitHub every 7 days, starting 24 hours after first use. To disable this behavior, set environment variable KOPIA_CHECK_FOR_UPDATES=false Alternatively you can remove the file "/home/frank/.config/kopia/repository.config.update-info.json".
Danach steht die Verbindung und wir können Backups hochschieben.
kopia snapshot create $HOME
Damit wird das Homeverzeichnis gesichert. Das initiale Backup, hat 30 Minuten gebraucht.
created snapshot with root kb9e50ff5xxxxxxxxxx265d40a5d0861 and ID cda5c0ffxxxxxxxxxxxxxxa4cb4a367b in 30m28s
Ein späteres Backup, sieht so aus.
USER@HOSTNAME:~$ kopia snapshot create $HOME Snapshotting USER@HOSTNAME:/home/frank ... * 0 hashing, 51 hashed (324.8 MB), 8524 cached (6.6 GB), 0 uploaded (0 B), 0 errors 100.0% Created snapshot with root kc20a4xxxxxxxxxxxx745c6c7b37c and ID d7a96eaxxxxxxxxxxx0961018eacffa in 3m12s
Nach 3 Minuten durch. Zu diesem Zeitpunkt hat sich aber auch nicht wirklich was geändert!
Fazit
Das Tool macht immer noch einen sehr guten Eindruck. Die Geschwindigkeit ist sehr gut. Die Anleitung ist leider unzureichend. Da gibt es so viele Möglichkeiten, da braucht es sehr lange, bis man da mal durchsteigt. Zum Glück, ist das was man normalerweise braucht, recht überschaubar. Bis zum produktiven Einsatz braucht das aber bei mir noch eine Menge mehr Tests.

Was ich noch testen möchte
Verzeichnis mounten Backup testweise wieder herstellen (zumindestens teilweise)
Der Test läuft mit Standard Einstellungen, also z.B. ohne Kompression. Das sollte man dann auch mal testen..

Bitte achtet auf gleiche Versionen auf dem Clienten, wie auf dem Server. Ich meine da ein paar Probleme festgestellt zu haben...
F

Upgrade auf NodeBB 1.11.0
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NodeBB nodebb linux
1

0 Stimmen

1 Beiträge

376 Aufrufe

Niemand hat geantwortet