Tanpa firewall, tidak ada aturan atau batasan pada lalu lintas jaringan Anda dan itu mengarah pada sejumlah konsekuensi negatif. Sistem Linux dilengkapi dengan alat konfigurasi firewall default, yaitu Uncomplicated Firewall (UFW). Tetapi bagaimana Anda mengatur firewall UFW? Duduk dan rileks, tutorial ini membantu Anda!
Dalam tutorial ini, Anda akan mempelajari cara mengonfigurasi UFW dan menyiapkan firewall di sistem Linux Anda untuk mengamankan jaringan dan menangkal tindakan jahat.
Siap? Baca terus untuk memulai!
Prasyarat
Tutorial ini akan menjadi demonstrasi langsung. Jika Anda ingin mengikuti, pastikan Anda memiliki yang berikut:
- Mesin Ubuntu – Tutorial ini menggunakan Ubuntu 20.04 LTS, tetapi distribusi Linux lainnya akan berfungsi.
- Hak istimewa root ke mesin Anda.
Memasang UFW dan Mengaktifkan Koneksi IPv6
Meskipun UFW dikemas dengan sistem Ubuntu Anda, UFW tidak diinstal secara default. Instal UFW terlebih dahulu dengan apt manajer paket dan konfigurasikan untuk mengizinkan koneksi melalui IPv6.
1. Buka terminal Anda dan jalankan apt update perintah di bawah ini untuk memperbarui indeks paket lokal Anda. Perintah menerima semua petunjuk (-y ) selama pembaruan untuk mengurangi intervensi pengguna.
sudo apt update -y
2. Selanjutnya, jalankan perintah di bawah ini untuk menginstal UFW (install uwf ) di sistem Anda saat menerima semua perintah (-y ) selama instalasi.
sudo apt install ufw -y
2. Buka file konfigurasi UFW (/etc/default/ufw ) dengan editor teks favorit Anda. UFW mendukung IPv6, tetapi Anda perlu memastikan bahwa firewall dikonfigurasi untuk menerima koneksi melalui IPv6.
Jika Anda hanya mengaktifkan IPv4, Anda masih membiarkan diri Anda terbuka terhadap serangan IPv6.
4. Gulir ke bawah ke IPV6 variabel dan atur nilainya ke ya , seperti gambar di bawah, lalu simpan perubahan dan keluar dari editor
5. Terakhir, jalankan perintah di bawah ini untuk menonaktifkan dan mengaktifkan kembali UFW. Perintah memulai ulang layanan UFW sehingga perubahan dapat diterapkan.
Setelah perintah selesai, firewall Anda sekarang dapat menulis kumpulan aturan firewall IPv4 dan IPv6.
sudo ufw disable && sudo ufw enableMengonfigurasi Kebijakan Default untuk Aturan Firewall
Jika Anda baru memulai UFW, sebaiknya siapkan kebijakan default untuk aturan Anda. Kebijakan default diterapkan ke rantai yang belum memiliki aturan khusus yang ditentukan.
Atur UFW untuk menolak semua koneksi masuk dan mengizinkan semua koneksi keluar. Akibatnya, siapa pun yang mencoba menjangkau mesin Anda dari dunia luar akan ditolak, sementara Anda masih dapat terhubung dengan bebas ke situs web atau server mana pun.
Jalankan ufw perintah di bawah ini untuk deny semua incoming koneksi dengan default .
sudo ufw default deny incoming
Sekarang jalankan perintah berikut ke allow semua outgoing koneksi dengan default .
sudo ufw default allow outgoing
Mengizinkan Koneksi SSH di UFW Firewall
Anda baru saja menyiapkan kebijakan default pada firewall UFW Anda untuk menolak semua lalu lintas masuk, dan aturan "izinkan semua tolak semua" adalah pengaturan yang baik untuk pengguna biasa. Tetapi bagaimana jika Anda menjalankan server? Anda harus mengizinkan lalu lintas tertentu masuk dan keluar. Mengizinkan koneksi SSH di firewall UFW Anda akan membantu untuk mengizinkan lalu lintas tertentu masuk dan keluar.
Anda akan menyiapkan server SSH yang memungkinkan koneksi SSH masuk pada port 22. Tapi mengapa port 22 dan bukan port lain? Pada sistem mirip Unix, daemon SSH mendengarkan port 22 secara default, jadi sebaiknya gunakan port SSH default untuk membuat hidup Anda sedikit lebih mudah.
1. Jalankan perintah di bawah ini untuk menginstal server OpenSSH (install openssh-server ) di sistem Anda dan mulai server OpenSSH (start ssh ).
sudo apt install openssh-server -y
sudo systemctl start ssh2. Sekarang jalankan perintah di bawah ini untuk mengizinkan koneksi SSH yang masuk. Tanpa menentukan port 22 akan cukup karena UFW tahu port apa untuk SSH.
sudo ufw allow ssh
File /etc/services berisi daftar semua layanan yang tersedia di sistem Anda. Buka file di editor teks Anda, gulir ke bawah ke ssh dan lihat nomor port (22 ) adalah bagian dari deskripsi layanan, seperti yang ditunjukkan di bawah ini.
Tapi mungkin Anda lebih suka menentukan nomor port (22 ) untuk memungkinkan SSH. Jika demikian, jalankan perintah berikut sebagai gantinya.
sudo ufw allow 223. Sekarang jalankan perintah di bawah ini untuk mengaktifkan UFW.
sudo ufw enableKetik Y di prompt konfirmasi, seperti yang ditunjukkan di bawah ini, dan tekan Enter untuk melanjutkan menjalankan perintah. UFW sekarang akan mulai memfilter paket di sistem Anda.
4. Terakhir, jalankan salah satu dari perintah di bawah ini untuk memeriksa status firewall UFW Anda.
## Displays more detailed information, such as the interface and
## the packet's current progress
sudo ufw status verbose
## Shows each rule with a number and the corresponding allow or deny status
## The numbered mode is useful when you are trying to delete a rule set here and there
sudo ufw status numbered
Jika Anda menjalankan perintah dengan verbose opsi, Anda akan melihat output yang mirip dengan yang di bawah ini:
- Status:aktif – Menunjukkan firewall sedang berjalan.
- Masuk:aktif (rendah) – Menunjukkan bahwa UFW mencatat semua paket yang sedang diproses oleh firewall.
- Default:tolak (masuk), izinkan (keluar), dinonaktifkan (dirutekan) – Menunjukkan bahwa kebijakan default adalah menolak semua koneksi masuk dan mengizinkan semua koneksi keluar.
- Profil baru:lewati – Menunjukkan firewall saat ini menggunakan seperangkat aturan default.
Jika Anda menjalankan perintah dengan numbered sebagai gantinya, Anda akan melihat output di bawah ini. Anda dapat melihat daftar aturan bernomor dan IZINKAN yang sesuai dengannya atau MENOLAK status.
Mengizinkan Koneksi HTTP dan HTTPS
Pada titik ini, Anda hanya mengizinkan koneksi SSH di firewall UFW Anda, tetapi itu membatasi kemampuan server Anda. Izinkan jenis koneksi lain, seperti HTTP atau HTTPS, dan tambahkan lebih banyak aturan ke firewall UFW.
Jalankan salah satu dari perintah berikut untuk mengizinkan koneksi HTTP masuk.
## HTTP connection uses port 80 (not secure)
sudo ufw allow 80
sudo ufw allow http
Sekarang, jalankan salah satu perintah di bawah ini untuk mengizinkan koneksi HTTPS masuk.
sudo ufw allow https
## HTTP connection uses port 443 (secure)
sudo ufw allow 443
Mengizinkan Koneksi dari Rentang Port dan Alamat IP Tertentu
Beberapa aplikasi menggunakan beberapa port untuk menyediakan layanannya. Dan mungkin Anda memiliki berbagai port untuk dibuka atau Anda perlu mengizinkan koneksi dari alamat IP tertentu. Dalam hal ini, tambahkan lebih banyak aturan firewall UFW.
Jalankan perintah di bawah ini untuk mengizinkan koneksi masuk pada port 5001 hingga 5009. Anda harus selalu menentukan protokol (tcp atau udp ) setelah rentang port tempat aturan berlaku karena tidak semua port digunakan oleh kedua protokol.
Misalnya, port TCP yang umum digunakan termasuk 80 (HTTP) dan 443 (HTTPS). Tetapi port UDP yang umum mencakup 53 (DNS) dan 67/68 (DHCP).
sudo ufw allow 5001:5010/tcp
sudo ufw allow 5001:5010/udp
Jalankan perintah di bawah ini sebagai gantinya jika Anda lebih suka mengizinkan koneksi SSH dari alamat IP tertentu. Perintah memungkinkan koneksi SSH (port 22 ) hanya dari 192.168.1.2 Alamat IP.
sudo ufw allow from 192.168.1.2 to any port 22
Mengizinkan Lalu Lintas dari Antarmuka Jaringan Tertentu
UFW juga memungkinkan Anda mengizinkan lalu lintas pada antarmuka jaringan tertentu saja, seperti eth0 adalah antarmuka Ethernet pertama dan wlan0 adalah antarmuka Wi-Fi pertama.
Jalankan salah satu perintah di bawah ini untuk mengizinkan koneksi HTTP hanya di eth0 dan wlan0 antarmuka.
## Allow HTTP connection only on the eth0 interface
sudo ufw allow in on eth0 to any port 80
## Allow HTTP connection only on the wlan0 interface
sudo ufw allow in on wlan0 to any port 80
Menghapus Aturan Firewall UFW
Mungkin beberapa aturan firewall UFW tidak berfungsi lagi. Dalam hal ini, Anda mungkin ingin menghapus beberapa aturan dari UFW. Tetapi pertama-tama, Anda harus mengetahui nomor atau nama aturan yang akan dihapus.
1. Jalankan perintah di bawah ini untuk mendapatkan daftar aturan bernomor yang ditambahkan ke UFW.
sudo ufw status numberedPerhatikan nomor atau nama aturan di output, seperti di bawah ini.
2. Selanjutnya jalankan perintah di bawah ini ke delete nomor aturan 4 , yang merupakan 5001:5010/tcp jangkauan pelabuhan.
sudo ufw delete 4
3. Jalankan perintah di bawah ini ke delete aturan dengan nama sebenarnya dengan allow status. Dalam contoh ini, Anda akan menghapus http aturan dengan menjalankan perintah berikut.
sudo ufw delete allow http
4. Sekarang jalankan perintah berikut ke delete aturan dengan menentukan nomor port (443 ) dengan allow status.
sudo ufw delete allow 443
5. Terakhir, jalankan kembali perintah berikut seperti yang Anda lakukan pada langkah pertama untuk membuat daftar semua aturan.
sudo ufw status numbered
Seperti yang dapat dilihat di bawah ini, aturan untuk 5001:5010/tcp rentang port, http , dan 443 pelabuhan sekarang hilang.
Menyetel Ulang Firewall UFW
Mungkin ada saatnya Anda perlu mengatur ulang UFW ke default, seperti setelah mengonfigurasi sejumlah besar aturan. Pembaruan dapat mengubah konfigurasi Anda, mengharuskan Anda untuk mengonfigurasi ulang UFW dan mungkin memulai dari awal.
Jalankan ufw reset perintah di bawah ini untuk mengatur ulang semua aturan firewall Anda ke pengaturan default. Perintah ini menonaktifkan UFW dan menghapus semua aturan firewall Anda saat ini.
sudo ufw resetKetik 'Y' dan tekan Enter untuk melanjutkan menyetel ulang firewall UFW Anda.
Setelah penyetelan ulang selesai, penginstalan baru UFW akan dinonaktifkan sepenuhnya, dan bahkan kebijakan default Anda akan hilang.
Sekarang jalankan perintah di bawah ini untuk mengaktifkan kembali UFW mulai mengonfigurasi aturan firewall Anda dari awal.
sudo ufw enableJika Anda memutuskan tidak ingin menggunakan UFW lagi, maka tidak perlu mengaktifkannya kembali. Atau jalankan perintah di bawah ini untuk memastikan UFW dinonaktifkan.
sudo ufw disable
Kesimpulan
Sepanjang tutorial ini, Anda telah menyadari bahwa menyiapkan firewall tidak terlalu menakutkan saat menggunakan UFW. Anda sekarang harus memiliki pemahaman yang baik tentang cara menyiapkan dan menerapkan aturan Anda sendiri dengan UFW di Ubuntu.
Sekarang, mengapa tidak membangun pengetahuan baru ini dengan mempelajari lebih lanjut tentang UFW dan Keamanan Docker di mesin Linux?