UFW-Firewall auf dem Raspberry Pi einrichten

1. UFW - Unkomplizierte Firewall-Grundlagen und -Installation
2. UFW – Regel SSH-Datenverkehr an Raspberry Pi zulassen
3. UFW - Vorhandene Regeln löschen
4. UFW – Sperrregeln basierend auf IP-Adressen oder -Bereichen

In diesem Artikel werden verschiedene Szenarien zum Einrichten der UFW-Firewall auf Raspberry Pi vorgestellt.

UFW - Unkomplizierte Firewall-Grundlagen und -Installation

UFW (Uncomplicated FireWall) ist ein Front-End-Programm zur Manipulation der Regeln des Paketfilter-Subsystems des Linux-Kernels namens NetFilter. Da es sich bei letzterem um ein Linux-Kernel-Modul handelt, ist eine User-Space-Anwendung erforderlich, um Konfigurations- und Verwaltungstools für Endbenutzer bereitzustellen.

Dies wird hauptsächlich von den Hilfsprogrammen iptables und ip6tables erledigt, mit denen die Tabellen der IPv4/IPv6-Paketfilterregeln im Linux-Kernel eingerichtet und überprüft werden können. Obwohl die Konfiguration von iptables für neue Linux-Benutzer und -Administratoren umständlich sein kann, existiert eine weitere Ebene von Front-End-Firewall-Programmen (z. B. UFW), um das Konfigurationsmanagement zu vereinfachen und eine einfachere Schnittstelle zu iptables bereitzustellen.

UFW ist Teil der Standard-Ubuntu-Pakete und ist auch in Raspberry Pi OS verfügbar, um aus den offiziellen Repositories installiert zu werden. Sie können UFW mit dem folgenden Befehl installieren:

sudo apt install ufw

Sobald das UFW-Paket installiert ist, können wir es beim Systemstart aktivieren und die Regeln nach Bedarf konfigurieren. Der nächste Befehl kann verwendet werden, um die Ausführung der Firewall beim Booten zu aktivieren und den Prozess sofort zu starten:

sudo ufw enable

Beachten Sie, dass der vorherige Befehl die Warnung anzeigt, dass die vorhandenen SSH-Verbindungen möglicherweise unterbrochen werden, sodass Sie diese Befehle möglicherweise ohne eine Remoteverbindung ausführen möchten, um nicht vom Computer ausgeschlossen zu werden.

An diesem Punkt legt UFW einige Standardregeln für den eingehenden und ausgehenden Datenverkehr fest, wobei ersterer verweigert und letzterer zugelassen wird. Der aktuelle Status der Firewall kann mit dem Befehl überprüft werden:

sudo ufw status

Alternativ können Sie dem vorherigen Befehl auch die Optionen verbose oder numbered hinzufügen, um die aktuellen Regeln mit zusätzlichen Informationen anzuzeigen:

sudo ufw status verbose
sudo ufw status numbered

UFW – Regel SSH-Datenverkehr an Raspberry Pi zulassen

Im Allgemeinen verwendet SSH die Portnummer - 22, daher werden wir sie in die folgenden Befehle aufnehmen, aber Sie können SSH auf einem anderen Port überwachen lassen. Letzteres kann erreicht werden, indem die SSH-Konfigurationsdatei sshd_config geändert wird, die sich im Pfad /etc/ssh/sshd_config befindet. Wenn Sie SSH-Verbindungen zu Pi zulassen möchten, führen Sie den folgenden Befehl aus.

sudo ufw allow 22

Andererseits möchten Sie möglicherweise SSH-Verbindungen einschränken, sodass nur bestimmte IP-Adressen auf den Host zugreifen dürfen. Sie können den folgenden Befehl für verschiedene IP-Adressen erneut ausführen, um alle Ausnahmen hinzuzufügen, die zum Herstellen einer Verbindung mit dem angegebenen Dienst zugelassen sind.

sudo ufw allow proto tcp from 10.10.10.1 to any port 22

UFW - Vorhandene Regeln löschen

Bestehende Regeln in UFW können mit dem Befehl ufw delete entfernt werden. Sie sollten die Nummer der Regel angeben, um sie zu entfernen. Beachten Sie, dass nummerierte Regeln mit dem Befehl sudo ufw status number aufgelistet werden können. In diesem Fall entfernen wir die vom vorherigen Beispielbefehl festgelegte Regel, die zufällig als dritte nummeriert ist.

sudo ufw delete 3

UFW – Sperrregeln basierend auf IP-Adressen oder -Bereichen

Bestimmte IP-Adressen und -Bereiche können daran gehindert werden, Netzwerkverbindungen zum Raspberry Pi herzustellen. Die spezifische IP-Adresse (z. B. 10.10.10.1) wird nämlich mit dem folgenden Befehl blockiert.

sudo ufw deny from 10.10.10.1

Alternativ kann das gesamte Subnetz blockiert werden, wenn Sie den folgenden Befehl ausführen.

sudo ufw deny from 10.10.10.0/24