Para seguir este tutorial, ser\u00e1 necess\u00e1rio:<\/p>\n\n\n\n
O UFW vem instalado por padr\u00e3o no Ubuntu. Se ele tiver sido desinstalado por algum motivo, voc\u00ea pode instal\u00e1-lo com Este tutorial foi escrito tendo o IPv4 em mente, mas funcionar\u00e1 tamb\u00e9m com o IPv6, contanto que voc\u00ea o habilite. Se seu servidor Ubuntu tiver o IPv6 habilitado, certifique-se de que o UFW esteja configurado para dar suporte ao IPv6, para que ele gerencie as regras de firewall do IPv6, al\u00e9m das regras do IPv4. Para fazer isso, abra a configura\u00e7\u00e3o UFW com o Ent\u00e3o, certifique-se de que o valor Salve e feche o arquivo. Agora, quando o UFW estiver habilitado, ele ser\u00e1 configurado para escrever regras de firewall para ambos IPv4 e IPv6. No entanto, antes de habilitar o UFW, n\u00f3s vamos querer garantir que seu firewall esteja configurado para permitir que voc\u00ea se conecte via SSH. Vamos come\u00e7ar configurando as pol\u00edticas padr\u00e3o.<\/p>\n\n\n\n Se voc\u00ea estiver apenas come\u00e7ando com seu firewall, as primeiras regras a definir s\u00e3o suas pol\u00edticas padr\u00e3o. Essas regras controlam a maneira de lidar com tr\u00e1fego que n\u00e3o seja claramente compat\u00edvel com quaisquer outras regras. Por padr\u00e3o, o UFW \u00e9 configurado para negar todas as conex\u00f5es de entrada e permitir todas as conex\u00f5es de sa\u00edda. Isso significa que qualquer um que tentasse acessar o seu servidor n\u00e3o conseguiria conectar-se, ao passo que os aplicativos dentro do servidor conseguiriam alcan\u00e7ar o mundo exterior.<\/p>\n\n\n\n Vamos retornar as regras do seu UFW para as configura\u00e7\u00f5es padr\u00e3o, para que possamos ter certeza de que voc\u00ea conseguir\u00e1 acompanhar este tutorial. Para definir os padr\u00f5es usados pelo UFW, utilize estes comandos:<\/p>\n\n\n\n Esses comandos configuram os padr\u00f5es para negar as conex\u00f5es de entrada e permitir as conex\u00f5es de sa\u00edda. Esses padr\u00f5es do firewall poderiam suprir as necessidades de um computador pessoal Por\u00e9m, os servidores normalmente precisam responder \u00e0s solicita\u00e7\u00f5es que chegam de usu\u00e1rios externos. Vamos verificar isso a seguir.<\/p>\n\n\n\n Se n\u00f3s habilit\u00e1ssemos nosso firewall UFW agora, ele negaria todas as conex\u00f5es de entrada. Isso significa que precisaremos criar regras que permitam de maneira expl\u00edcita as conex\u00f5es de entrada leg\u00edtimas \u2014 conex\u00f5es SSH ou HTTP, por exemplo \u2014 se quisermos que nosso servidor responda a esses tipos de pedidos. Se voc\u00ea estiver usando um servidor na nuvem, voc\u00ea provavelmente ir\u00e1 querer permitir conex\u00f5es de entrada via protocolo SSH para que voc\u00ea consiga se conectar e gerenciar o seu servidor.<\/p>\n\n\n\n Para configurar seu servidor para permitir as conex\u00f5es de entrada via SSH, voc\u00ea pode utilizar este comando:<\/p>\n\n\n\n Esse procedimento criar\u00e1 regras do firewall que permitir\u00e3o todas as conex\u00f5es na porta No entanto, podemos realmente escrever a regra equivalente, especificando a porta em vez do nome do servi\u00e7o. Por exemplo, este comando funciona de forma semelhante ao anterior:<\/p>\n\n\n\n Se voc\u00ea configurou seu SSH daemon para usar uma porta diferente, voc\u00ea ter\u00e1 que especificar a porta apropriada. Por exemplo, se seu servidor SSH estiver escutando na porta Agora que seu firewall est\u00e1 configurado para permitir as conex\u00f5es de entrada via SSH, podemos habilit\u00e1-lo.<\/p>\n\n\n\n Para habilitar o UFW, utilize este comando:<\/p>\n\n\n\n Voc\u00ea receber\u00e1 um aviso que diz que o comando pode interromper conex\u00f5es via SSH existentes. N\u00f3s j\u00e1 configuramos uma regra de firewall que permite conex\u00f5es via SSH, ent\u00e3o tudo bem continuar. Responda ao prompt com O firewall agora est\u00e1 ativo. Execute o comando Neste ponto, voc\u00ea deve permitir todas as outras conex\u00f5es \u00e0s quais seu servidor precisa responder. As conex\u00f5es que voc\u00ea deve permitir dependem das suas necessidades espec\u00edficas. Felizmente, voc\u00ea j\u00e1 sabe escrever regras que permitem conex\u00f5es baseadas em um nome de servi\u00e7o ou porta; j\u00e1 fizemos isso para o SSH na porta H\u00e1 v\u00e1rias outras maneiras de permitir outras conex\u00f5es, al\u00e9m de especificar uma porta ou servi\u00e7o conhecido.<\/p>\n\n\n\n Voc\u00ea pode especificar faixas de portas com o UFW. Alguns aplicativos usam v\u00e1rias portas, em vez de uma \u00fanica porta.<\/p>\n\n\n\n Por exemplo, para permitir conex\u00f5es via protocolo X11, que usam as portas Ao especificar as faixas de porta com o UFW, voc\u00ea deve especificar o protocolo ( Ao trabalhar com o UFW, voc\u00ea tamb\u00e9m pode especificar endere\u00e7os IP. Por exemplo, se quiser permitir conex\u00f5es de um endere\u00e7o IP espec\u00edfico, como um endere\u00e7o IP de trabalho ou domic\u00edlio de Voc\u00ea tamb\u00e9m pode especificar uma porta espec\u00edfica na qual o endere\u00e7o IP tem permiss\u00e3o para se conectar, adicionando Se voc\u00ea quiser permitir uma sub-rede de endere\u00e7os IP, voc\u00ea pode fazer isso usando uma nota\u00e7\u00e3o CIDR para especificar uma m\u00e1scara de rede. Por exemplo, se voc\u00ea quiser permitir todos os endere\u00e7os IP na faixa de De maneira similar, voc\u00ea tamb\u00e9m pode especificar a porta de destino na qual a sub-rede Se voc\u00ea quiser criar uma regra de firewall que se aplique apenas a uma interface de rede espec\u00edfica, voc\u00ea pode fazer isso especificando \u201callow in on\u201d seguido do nome da interface de rede.<\/p>\n\n\n\n Voc\u00ea pode querer verificar suas interfaces de rede antes de continuar. Para fazer isso, utilize este comando:<\/p>\n\n\n\n O resultado destacado indica os nomes de interfaces de rede. Normalmente, elas recebem nomes como Ent\u00e3o, se o seu servidor tiver uma interface de rede p\u00fablica chamada Fazer isso permitiria que seu servidor recebesse pedidos HTTP da internet p\u00fablica.<\/p>\n\n\n\n Ou, se voc\u00ea quiser que seu servidor de banco de dados MySQL (porta Isso permitiria que outros servidores na sua rede privada se conectassem ao seu banco de dados MySQL.<\/p>\n\n\n\n Se voc\u00ea n\u00e3o tiver mudado a pol\u00edtica padr\u00e3o para conex\u00f5es de entrada, o UFW est\u00e1 configurado para negar todas as conex\u00f5es de entrada. Geralmente, isso simplifica o processo de cria\u00e7\u00e3o de uma pol\u00edtica de firewall segura ao exigir que voc\u00ea crie regras que permitam explicitamente portas e endere\u00e7os IP espec\u00edficos.<\/p>\n\n\n\n No entanto, algumas vezes voc\u00ea ir\u00e1 querer negar conex\u00f5es espec\u00edficas baseadas no endere\u00e7o IP ou na sub-rede da origem, talvez porque voc\u00ea saiba que seu servidor est\u00e1 sendo atacado a partir da\u00ed. Al\u00e9m disso, se voc\u00ea quisesse alterar sua pol\u00edtica de entrada padr\u00e3o para permitir (allow<\/strong>) (o que n\u00e3o \u00e9 recomendado), voc\u00ea precisaria criar regras para negar (deny<\/strong>) quaisquer servi\u00e7os ou endere\u00e7os IP para os quais voc\u00ea n\u00e3o quisesse permitir conex\u00f5es.<\/p>\n\n\n\n Para escrever regras de deny<\/strong>, voc\u00ea pode usar os comandos descritos acima, substituindo allow<\/strong> por deny<\/strong>.<\/p>\n\n\n\n Por exemplo, para negar conex\u00f5es HTTP, voc\u00ea pode usar este comando:<\/p>\n\n\n\n Ou se voc\u00ea quiser negar todas as conex\u00f5es do endere\u00e7o Agora, vamos ver como excluir regras.<\/p>\n\n\n\n Saber como excluir regras do firewall \u00e9 t\u00e3o importante quanto saber como cri\u00e1-las. H\u00e1 duas maneiras diferentes para especificar quais regras excluir: pelo n\u00famero da regra ou pela regra em si (semelhante ao modo como as regras foram especificadas quando foram criadas). Vamos come\u00e7ar com o m\u00e9todo **excluir pelo n\u00famero **da regra porque \u00e9 mais f\u00e1cil.<\/p>\n\n\n\n Se voc\u00ea estiver usando o n\u00famero da regra para excluir regras do firewall, a primeira coisa que voc\u00ea vai querer fazer \u00e9 obter uma lista das regras do seu firewall. O comando status do UFW tem uma op\u00e7\u00e3o para mostrar n\u00fameros ao lado de cada regra, como demonstrado aqui:<\/p>\n\n\n\n Se decidirmos que queremos excluir a regra 2, aquela que permite conex\u00f5es na porta 80 (HTTP), podemos especificar isso em um comando delete do UFW desta forma:<\/p>\n\n\n\n Isso mostraria um prompt de confirma\u00e7\u00e3o e ent\u00e3o excluiria a regra 2, que permite conex\u00f5es HTTP. Note que se voc\u00ea tivesse o IPv6 habilitado, voc\u00ea iria querer excluir a regra correspondente ao IPv6 tamb\u00e9m.<\/p>\n\n\n\n A alternativa para os n\u00fameros das regras \u00e9 especificar a regra propriamente dita a ser exclu\u00edda. Por exemplo, se quiser remover a regra Voc\u00ea tamb\u00e9m poderia especificar a regra por Esse m\u00e9todo ir\u00e1 excluir as regras do IPv4 e do IPv6, se houver.<\/p>\n\n\n\n A qualquer momento, voc\u00ea pode verificar o status do UFW com este comando:<\/p>\n\n\n\n Se o UFW estiver desabilitado – o que acontece por padr\u00e3o, voc\u00ea ver\u00e1 algo como isso:<\/p>\n\n\n\n Se o UFW estiver ativo – o que deve ser o caso se voc\u00ea tiver seguido o Passo 3 – o resultado dir\u00e1 que ele est\u00e1 ativo e listar\u00e1 quaisquer regras que estejam definidas. Por exemplo, se o firewall estiver configurado para permitir conex\u00f5es via SSH (porta Use o comando Se voc\u00ea decidir que n\u00e3o quer usar o UFW, voc\u00ea pode desativ\u00e1-lo com este comando:<\/p>\n\n\n\n Quaisquer regras que voc\u00ea tenha criado com o UFW j\u00e1 n\u00e3o estar\u00e3o mais ativas. Voc\u00ea sempre poder\u00e1 executar Se voc\u00ea j\u00e1 tiver regras do UFW configuradas, mas decidir que quer come\u00e7ar novamente, voc\u00ea pode usar o comando de redefini\u00e7\u00e3o:<\/p>\n\n\n\n Isso ir\u00e1 desabilitar o UFW e excluir quaisquer regras que tiverem sido definidas anteriormente. Lembre-se de que as pol\u00edticas padr\u00e3o n\u00e3o ir\u00e3o voltar para suas configura\u00e7\u00f5es originais se, em algum momento, voc\u00ea as tiver alterado. Isso deve dar a voc\u00ea um novo come\u00e7o com o UFW.<\/p>\n\n\n\n Seu firewall agora est\u00e1 configurado para permitir (pelo menos) conex\u00f5es via SSH. Certifique-se de permitir outras conex\u00f5es de entrada que seu servidor, ao mesmo tempo em que limita quaisquer conex\u00f5es desnecess\u00e1rias, para que seu servidor seja funcional e seguro.<\/p>\n\n\n\n Para aprender sobre mais configura\u00e7\u00f5es comuns do UFW, verifique o tutorial Fundamentos do UFW: regras comuns de firewall e comandos<\/a>.<\/p>\n\n\n\n <\/p>\n\n\n\n Fonte: https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-set-up-a-firewall-with-ufw-on-ubuntu-18-04-pt<\/p>\n","protected":false},"excerpt":{"rendered":" Pr\u00e9-requisitos Para seguir este tutorial, ser\u00e1 necess\u00e1rio: Um servidor Ubuntu 18.04 com um usu\u00e1rio sudo n\u00e3o raiz, que voc\u00ea pode configurar seguindo os Passos 1\u20133 no Tutorial de Configura\u00e7\u00e3o Inicial de Servidor com o Ubuntu 18.04. O UFW vem instalado por padr\u00e3o no Ubuntu. Se ele tiver sido desinstalado por algum motivo, voc\u00ea pode instal\u00e1-lo … <\/p>\nsudo apt install ufw<\/code>.<\/p>\n\n\n\nPasso 1 \u2014 Usando o IPv6 com o UFW (Opcional)<\/h2>\n\n\n\n
nano<\/code> ou seu editor favorito.<\/p>\n\n\n\nsudo nano \/etc\/default\/ufw\n\n<\/code><\/pre>\n\n\n\nIPV6<\/code> seja yes<\/code>. Deve se parecer com isto: \/etc\/default\/ufw excerpt<\/p>\n\n\n\nIPV6=yes<\/mark>\n<\/code><\/pre>\n\n\n\nPasso 2 \u2014 Configurando as pol\u00edticas padr\u00e3o<\/h2>\n\n\n\n
sudo ufw default deny incoming\nsudo ufw default allow outgoing\n\n<\/code><\/pre>\n\n\n\nPasso 3 \u2014 Permitindo as conex\u00f5es via protocolo SSH<\/h2>\n\n\n\n
sudo ufw allow ssh\n\n<\/code><\/pre>\n\n\n\n22<\/code>, que \u00e9 a porta na qual o SSH daemon escuta por padr\u00e3o. O UFW sabe o que a porta allow ssh<\/code> significa porque ela est\u00e1 listada como um servi\u00e7o no arquivo \/etc\/services<\/code>.<\/p>\n\n\n\nsudo ufw allow 22\n\n<\/code><\/pre>\n\n\n\n2222<\/code>, voc\u00ea pode usar este comando para permitir as conex\u00f5es naquela porta:<\/p>\n\n\n\nsudo ufw allow 2222<\/mark>\n\n<\/code><\/pre>\n\n\n\nPasso 4 \u2014 Habilitando o UFW<\/h2>\n\n\n\n
sudo ufw enable\n\n<\/code><\/pre>\n\n\n\ny<\/code> e tecle ENTER<\/code>.<\/p>\n\n\n\nsudo ufw status verbose<\/code> para ver as regras que foram definidas. O resto deste tutorial tratar\u00e1 de como usar o UFW em mais detalhes, como, por exemplo, permitir ou negar diferentes tipos de conex\u00f5es.<\/p>\n\n\n\nPasso 5 \u2014 Permitindo outras conex\u00f5es<\/h2>\n\n\n\n
22<\/code>. Voc\u00ea tamb\u00e9m pode fazer isso para:<\/p>\n\n\n\nsudo ufw allow http<\/code> ou sudo ufw allow 80<\/code><\/li>sudo ufw allow https<\/code> ou sudo ufw allow 443<\/code><\/li><\/ul>\n\n\n\nFaixas de portas espec\u00edficas<\/h3>\n\n\n\n
6000<\/code>–6007<\/code>, utilize esses comandos:<\/p>\n\n\n\nsudo ufw allow 6000<\/mark>:6007<\/mark>\/tcp\nsudo ufw allow 6000<\/mark>:6007<\/mark>\/udp\n\n<\/code><\/pre>\n\n\n\ntcp<\/code> ou udp<\/code>) para o qual as regras devem aplicar-se. N\u00f3s n\u00e3o mencionamos isso antes porque n\u00e3o especificar o protocolo automaticamente permite ambos os protocolos, o que \u00e9 OK na maioria dos casos.<\/p>\n\n\n\nEndere\u00e7os IP espec\u00edficos<\/h3>\n\n\n\n
203.0.113.4<\/code>, voc\u00ea precisa especificar from<\/code>, ent\u00e3o o endere\u00e7o IP:<\/p>\n\n\n\nsudo ufw allow from 203.0.113.4<\/mark>\n\n<\/code><\/pre>\n\n\n\nto any port<\/code> seguido do n\u00famero da porta. Por exemplo, se quiser permitir que o endere\u00e7o 203.0.113.4<\/code> se conecte \u00e0 porta 22<\/code> (SSH), utilize este comando:<\/p>\n\n\n\nsudo ufw allow from 203.0.113.4<\/mark> to any port 22<\/mark>\n\n<\/code><\/pre>\n\n\n\nSub-redes<\/h3>\n\n\n\n
203.0.113.1<\/code> a 203.0.113.254<\/code>, voc\u00ea pode usar este comando:<\/p>\n\n\n\nsudo ufw allow from 203.0.113.0<\/mark>\/24<\/mark>\n\n<\/code><\/pre>\n\n\n\n203.0.113.0\/24<\/code> tem permiss\u00e3o para se conectar. Novamente, n\u00f3s vamos usar a porta 22<\/code> (SSH) como um exemplo:<\/p>\n\n\n\nsudo ufw allow from 203.0.113.0<\/mark>\/24<\/mark> to any port 22\n\n<\/code><\/pre>\n\n\n\nConex\u00f5es a uma Interface de Rede Espec\u00edfica<\/h3>\n\n\n\n
ip addr\n\n<\/code><\/pre>\n\n\n\nOutput Excerpt2: eth0<\/mark>: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state\n. . .\n3: eth1<\/mark>: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default\n. . .\n<\/code><\/pre>\n\n\n\neth0<\/code> ou enp3s2<\/code>.<\/p>\n\n\n\neth0<\/code>, voc\u00ea pode permitir o tr\u00e1fego HTTP (porta 80<\/code>) nela, usando este comando:<\/p>\n\n\n\nsudo ufw allow in on eth0<\/mark> to any port 80<\/mark>\n\n<\/code><\/pre>\n\n\n\n3306<\/code>) escute conex\u00f5es na interface de rede privada eth1<\/code>, por exemplo, voc\u00ea pode usar este comando:<\/p>\n\n\n\nsudo ufw allow in on eth1<\/mark> to any port 3306<\/mark>\n\n<\/code><\/pre>\n\n\n\nPasso 6 \u2014 Negando conex\u00f5es<\/h2>\n\n\n\n
sudo ufw deny http\n\n<\/code><\/pre>\n\n\n\n203.0.113.4<\/code> voc\u00ea pode usar este comando:<\/p>\n\n\n\nsudo ufw deny from 203.0.113.4<\/mark>\n\n<\/code><\/pre>\n\n\n\nPasso 7 \u2014 Excluindo regras<\/h2>\n\n\n\n
Pelo n\u00famero da regra<\/h3>\n\n\n\n
sudo ufw status numbered\n\n<\/code><\/pre>\n\n\n\nNumbered Output:Status: active\n\n To Action From\n -- ------ ----\n[ 1] 22 ALLOW IN 15.15.15.0\/24\n[ 2] 80 ALLOW IN Anywhere\n<\/code><\/pre>\n\n\n\nsudo ufw delete 2<\/mark>\n\n<\/code><\/pre>\n\n\n\nPela regra<\/h3>\n\n\n\n
allow http<\/code>, voc\u00ea pode escrever desta forma:<\/p>\n\n\n\nsudo ufw delete allow http<\/mark>\n\n<\/code><\/pre>\n\n\n\nallow 80<\/code>, em vez de pelo nome do servi\u00e7o:<\/p>\n\n\n\nsudo ufw delete allow 80<\/mark>\n\n<\/code><\/pre>\n\n\n\nPasso 8 \u2014 Verificando o status e as regras do UFW<\/h2>\n\n\n\n
sudo ufw status verbose\n\n<\/code><\/pre>\n\n\n\nOutputStatus: inactive\n<\/code><\/pre>\n\n\n\n22<\/code>) de qualquer lugar, o resultado poderia parecer com este:<\/p>\n\n\n\nOutputStatus: active\nLogging: on (low)\nDefault: deny (incoming), allow (outgoing), disabled (routed)\nNew profiles: skip\n\nTo Action From\n-- ------ ----\n22\/tcp ALLOW IN Anywhere\n<\/code><\/pre>\n\n\n\nstatus<\/code>, se quiser verificar como o UFW configurou o firewall.<\/p>\n\n\n\nPasso 9 \u2014 Desabilitando ou redefinindo o UFW (opcional)<\/h2>\n\n\n\n
sudo ufw disable\n\n<\/code><\/pre>\n\n\n\nsudo ufw enable<\/code> se precisar ativ\u00e1-lo mais tarde.<\/p>\n\n\n\nsudo ufw reset\n\n<\/code><\/pre>\n\n\n\nConclus\u00e3o<\/h2>\n\n\n\n