Skip to content

Een Linux Firewall installeren en gebruiken?

9 de september de 2021
security 2168233 1920 5c5f396246e0fb0001105fb1

Linux is een van de veiligste desktop- en serverplatforms ter wereld. Out of the box vind je de meeste Linux-distributies veel veiliger dan Windows of macOS. In feite zal de beveiliging die in de meeste Linux-distributies wordt geboden, voor de meeste desktopgebruiksscenario’s u goed van pas komen. Dat betekent echter niet dat u de beveiliging van het besturingssysteem waarvoor u uw gegevens hebt toevertrouwd volledig moet negeren. Het zou zelfs goed zijn als u weet hoe u met een Linux-firewall moet werken.

Wat is een firewall?

Simpel gezegd, een firewall is een subsysteem op een computer dat voorkomt dat bepaald netwerkverkeer uw computer binnenkomt of verlaat. Firewalls kunnen worden gemaakt om zeer beperkend te zijn (heel weinig in- en/of uitlaten) of zeer toegeeflijk (veel in en/of uit laten). Firewalls zijn er in twee verschillende typen:

  • Hardware: fysieke apparaten die alleen dienen om uw netwerk (en de computers in uw netwerk) te beschermen.
  • Software: subsystemen op afzonderlijke computers die alleen de hostmachine beschermen.

De meeste thuisnetwerken zijn afhankelijk van een combinatie van beide. De hardware-oplossing is over het algemeen de modem/router die door uw ISP wordt ingezet. Vaak zijn deze apparaten zo ingesteld dat ze zeer beperkend zijn. Wat de software betreft, maakt uw desktopcomputer gebruik van een softwarefirewall. Een dergelijke firewall, die op veel Linux-distributies (zoals Ubuntu en zijn derivaten) kan worden geïnstalleerd en gebruikt, is Uncomplicated Firewall (UFW). Ongecompliceerde Firewall is precies hoe het klinkt. Het is een eenvoudige tool die het beheer van het blokkeren/toestaan ​​van netwerkverkeer vrij eenvoudig maakt. UFW is alleen een opdrachtregelprogramma dat uitstekend helpt bij het beveiligen van uw Linux-computer.

Installatie van UFW

Op zowel Ubuntu als de meeste Ubuntu-derivaten is UWF al geïnstalleerd. Om erachter te komen of UFW op uw computer is geïnstalleerd, opent u een terminalvenster en geeft u de opdracht: sudo ufw status

type=”code”> Dit commando zal (waarschijnlijk) melden dat UFW inactief is. Als u merkt dat UFW niet is geïnstalleerd, geeft u het commando sudo apt-get install ufw -y

type=”code”>

UFW activeren

De UFW-firewall inschakelen

Omdat UFW standaard inactief is, moet u het activeren. Geef hiervoor het commando

sudo ufw enableNu wanneer u de status controleert, wordt deze weergegeven als actief.Het standaardbeleid

configuratiebestand in UFW

De meeste gebruikers hoeven zich niet al te veel zorgen te maken over het standaardbeleid. Het is echter het beste om op zijn minst de basisprincipes van dit beleid te begrijpen. Een standaardbeleid is een set regelregels die bepalen hoe verkeer moet worden afgehandeld dat niet expliciet overeenkomt met andere regels. Er zijn vier standaardbeleidsregels:

  • INPUT—verkeer dat de computer binnenkomt.
  • OUTPUT—verkeer dat de computer verlaat.
  • VOORUIT: verkeer dat van de ene bestemming naar de andere wordt doorgestuurd.
  • APPLICATIEBELEID: verkeer dat wordt gedefinieerd door de applicatie (en niet door de netwerkpoort).

Voor de meeste gebruikers is alleen het INPUT- en OUTPUT-beleid van belang. Het standaard UFW-beleid is ingesteld in het bestand /etc/default/ufw. Geef het commando

  • sudo nano /etc/default/ufw

    en zoek naar deze vier regels:
    DEFAULT_INPUT_POLICY=”DROP”

  • DEFAULT_OUTPUT_POLICY=”ACCEPTEREN”
  • ​DEFAULT_FORWARD_POLICY=”DROP”
  • ​DEFAULT_APPLICATION_POLICY=”OVERSLAAN”

Het is belangrijk om te weten dat elk van de bovenstaande beleidsregels kan worden aangepast met een iets andere standaard.

  • INPUT/OUTPUT/FORWARD kan worden ingesteld op ACCEPT, DROP of REJECT
  • TOEPASSING kan worden ingesteld op ACCEPT, DROP, REJECT of SKIP

Het verschil tussen ACCEPT, DROP en REJECT is:

  • ACCEPTEREN—Sta verkeer door de firewall toe.
  • WEIGEREN—Laat geen verkeer door de firewall toe en stuur een ICMP-bericht dat niet bereikbaar is voor de bestemming terug naar de verzendende bron.
  • DROP—Verbied dat een pakket door de firewall gaat en stuur geen reactie.

U kunt het standaardbeleid aanpassen aan uw behoeften. Als u het beleid in het bestand wijzigt, laadt u de UFW-regels opnieuw met het commando: sudo ufw reload

type=”code”>

Inkomend verkeer toestaan

SSH-verkeer toestaan ​​in UFW

Aangezien u waarschijnlijk het standaardbeleid voor uitgaand verkeer niet hoeft te wijzigen, gaan we ons concentreren op het toestaan ​​van inkomend verkeer. Stel dat u bijvoorbeeld shell op uw bureaublad wilt kunnen beveiligen (met behulp van de ssh commando) vanaf een andere machine. Hiervoor moet u UFW instrueren om inkomend verkeer op de standaard SSH-poort (poort 22) toe te staan. Het commando hiervoor zou zijn: sudo ufw allow ssh

type=”code”> Met de bovenstaande opdracht kan elke machine in uw netwerk (of zelfs buiten uw netwerk, als uw router is geconfigureerd om extern verkeer binnen te laten) toegang krijgen tot uw computer, via poort 22.

SSH-verkeer van een specifiek IP-adres toestaan

Dat is allemaal goed en wel, tenzij je alleen specifieke computers in je netwerk wilt toelaten. Stel dat je bijvoorbeeld maar één computer wilt toelaten: een computer met het IP-adres 192.168.1.162. Hiervoor zou het commando zijn: sudo ufw allow from 192.168.1.162 to any port 22

type=”code”> De

toestaan ​​van

instructie instrueert UFW dat wat volgt het adres is waarvan verkeer wordt toegestaan. De

naar elke poort

geeft UFW de opdracht om verkeer op de opgegeven poort toe te staan. In het bovenstaande voorbeeld is de

enkel en alleen

computer op uw netwerk die shell in uw computer zou mogen beveiligen, zou degene op IP-adres 192.168.1.162 zijn. U kunt ook verkeer naar een opgegeven netwerkinterface weigeren. Stel dat uw machine bijvoorbeeld twee netwerkinterfaces heeft:

  • INTERN: via netwerkinterface ens5 met IP-adresschema 192.168.1.x.
  • EXTERN: met netwerkinterface enp0s3 met IP-adresschema 172.217.1.x

Wat als je de regel die inkomend ssh-verkeer toestaat op 192.168.1.162 wilt laten staan, maar al het inkomende verkeer van de externe interface wilt weigeren? Hiervoor zou het commando zijn: sudo ufw deny in op enp0s3 naar elke poort ssh

type=”code”> Geef de opdracht op

sudo ufw-status om te zien dat ssh-verkeer van 192.168.1.162 nog steeds is toegestaan, terwijl verkeer van de externe interface wordt geweigerd.Regels verwijderen

Een lijst met UFW-regels op nummer

Als u merkt dat u regels heeft gemaakt die problemen veroorzaken met computers die verbinding maken met uw computer, is het mogelijk om de regels die u heeft gemaakt te verwijderen. Het eerste dat u wilt doen, is dat UFW uw regels op nummer vermeldt. Geef hiervoor het commando: sudo ufw status numbered

type=”code”> Stel dat u regel nummer 1 wilt verwijderen. Voer hiervoor het commando uit: sudo ufw delete 1

type=”code”> U wordt gevraagd om de verwijdering van de regel te verifiëren. Type ja en gebruiken Enter/Return op uw toetsenbord om te bevestigen. Geef het commando sudo ufw status

type=”code”>