IPv6 Firewall: Penggunaan ufw
Tool konfigurasi firewall yang relatif sederhana di kenal dengan nama UFW (singkatan dari Uncomplicated Firewall).
Instalasi
Instalasi bisa menggunakan perintah
sudo su sudo apt install ufw
Cek UFW firewall
Cek bisa menggunakan perintah,
sudo ufw status verbose
Hasil kalau baru di install, kira-kira
Status: inactive
Default-nya UFW firewall biasanya disable.
Enable UFW Firewall
Kita dapat mengaktifkan / meng-enable UFW menggunakan perintah berikut, yang akan me-load firewall dan meng-enable-nya saat boot.
sudo ufw enable
Untuk men-disable UFW firewall, gunakan perintah berikut, yang akan meng-unload firewall dan men-disable-nya saat boot
sudo ufw disable
UFW Default Policy
Secara default, UFW firewall akan menolak semua connection yang masuk dan hanya akan mengijinkan semua traffic yang keluar (outbound) saja. Ini berarti, semua tidak ada yang bisa akses ke server, kecuali jika kita mengijinkan port tertentu untuk dibuka. Maksudnya, semua layanan / service / aplikasi di server dapat mengakses jaringan di luar.
Default UFW firewall policy di letakan di file /etc/default/ufw dan dapat di ubah menggunakan perintah berikut,
sudo ufw default deny incoming sudo ufw default allow outgoing
UFW Application Profile
Saat menginstal paket software menggunakan APT package manager, dia akan menambahkan application profile di directory /etc/ufw/applications.d yang mendefinisikan service dan mengatur setting UFW.
Kita dapat membuat daftar semua profil aplikasi yang tersedia di server kita menggunakan perintah berikut.
sudo ufw app list
Bergantung pada penginstalan paket perangkat lunak pada sistem kita, hasilnya akan terlihat seperti berikut:
Available applications:
APACHE APACHE Full APACHE SECURE CUPS OpenSSH Postfix Postfix SMTPS Postfix Submission
Jika kita ingin mendapatkan informasi lebih lanjut tentang profil tertentu dan aturan yang ditetapkan kita dapat menggunakan perintah berikut.
sudo ufw app info 'Apache'
Profile: Apache Title: Web Server Description: Apache V2 is the next generation f the omnipresent Apache web server. Ports: 80/tcp
Enable IPv6 pada UFW
Jika server kita menggunakan IPv6, pastikan UFW dikonfigurasi untuk mendukung IPv6 dan IPv4. Untuk memverifikasinya, buka file konfigurasi UFW menggunakan editor favorit Anda.
sudo vi /etc/default/ufw
Kemudian pastikan "IPV6" set "yes" di file konfigurasi seperti yang ditunjukkan.
IPV6=yes
Save dan quit. Kemudian restart firewall dengan perintah berikut:
sudo ufw disable sudo ufw enable
Ijinkan sambungan SSH di UFW
Jika kita sekarang sudah mengaktifkan firewall UFW, itu akan memblokir semua koneksi masuk dan jika kita terhubung ke server melalui SSH dari lokasi jarak jauh, kita tidak akan dapat lagi menghubungi-nya.
Mari kita aktifkan koneksi SSH ke server untuk mengatasi hal itu menggunakan perintah berikut:
sudo ufw allow ssh
Jika kita menggunakan port SSH khusus (misalnya port 2222), maka kita harus membuka port tersebut di firewall UFW menggunakan perintah berikut.
sudo ufw allow 2222/tcp
Untuk memblokir semua koneksi SSH ketik perintah berikut.
sudo ufw deny ssh/tcp sudo ufw deny 2222/tcp [Jika menggunakan port yang lain]
Enable Port tertentu di UFW
Kita dapat membuka port tertentu di firewall untuk memungkinkan koneksi melalui port tersebut ke layanan tertentu. Misalnya, jika kita ingin mengatur server web yang listen pada port 80 (HTTP) dan 443 (HTTPS) secara default.
Berikut adalah beberapa contoh cara mengizinkan koneksi masuk ke layanan Apache. Buka Port 80 HTTP di UFW
sudo ufw allow http [dengan service name] sudo ufw allow 80/tcp [dengan port number] sudo ufw allow 'Apache' [dengan application profile]
Buka Port 443 HTTPS di UFW
sudo ufw allow https sudo ufw allow 443/tcp sudo ufw allow 'Apache Secure'
Ijinkan Port Range di UFW
Misalnya, kita memiliki beberapa aplikasi yang ingin kita jalankan di berbagai port (5000-5003), kita dapat menambahkan semua port ini menggunakan perintah berikut.
ufw allow 5000:5003/tcp ufw allow 5000:5003/udp
Ijinkan IP Address tertentu
Jika kita ingin mengizinkan koneksi pada semua port dari alamat IP tertentu 192.168.56.1, maka kita harus allow from sebelum alamat IP.
sudo ufw allow from 192.168.56.1
Ijinkan IP Address tertentu pada Port tertentu
Untuk mengijinkan koneksi pada port tertentu (misalnya port 22) dari mesin di rumah kita dengan alamat IP 192.168.56.1, maka kita perlu menambahkan any port dan nomor port setelah alamat IP sebagai berikut.
sudo ufw allow from 192.168.56.1 to any port 22
Mengijinkan Network Subnet ke Port Tertentu
Untuk mengizinkan koneksi untuk alamat IP tertentu mulai dari 192.168.1.1 hingga 192.168.1.254 ke port 22 (SSH), jalankan perintah berikut.
sudo ufw allow from 192.168.1.0/24 to any port 22
Mengijinkan Network Interface Tertentu
Untuk mengijinkan koneksi ke antarmuka jaringan tertentu eth2 untuk port 22 (SSH) tertentu, jalankan perintah berikut.
sudo ufw allow in on eth2 to any port 22
Tolak Connection pada UFW
Secara default, semua koneksi yang masuk diblokir, kecuali kita secara khusus membuka koneksi di UFW. Misalnya, kita telah membuka port 80 dan 443 dan server web kita sedang diserang dari jaringan yang tidak dikenal 11.12.13.0/24.
Untuk memblokir semua koneksi dari jaringan tertentu 11.12.13.0/24, kita dapat menggunakan perintah berikut.
sudo ufw deny from 11.12.13.0/24
Jika kita hanya ingin memblokir koneksi pada port 80 dan 443, kita dapat menggunakan perintah berikut.
sudo ufw deny from 11.12.13.0/24 to any port 80 sudo ufw deny from 11.12.13.0/24 to any port 443
Delete UFW Rule
Ada 2 cara untuk menghapus UFW rule, dengan nomor rule dan dengan rule yang sebenarnya.
Untuk menghapus UFW rule dengan menggunakan nomor rule, pertama-tama kita harus membuat daftar rule dengan angka menggunakan perintah berikut.
sudo ufw status numbered
Contoh Output
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
Untuk men-delete rule nomor 1, gunakan perintah berikut.
sudo ufw delete 1
Metode kedua adalah menghapus rule dengan menggunakan rule yang sebenarnya, misalnya untuk menghapus rule, tentukan nomor port dengan protokol sebagai berikut.
sudo ufw delete allow 22/tcp
Uji coba UFW Rule
Kita dapat menjalankan perintah ufw tanpa benar-benar membuat perubahan di sistem firewall menggunakan flag ---dry-run, ini hanya menunjukkan perubahan yang seharusnya terjadi.
sudo ufw --dry-run enable
Reset UFW Firewall
Untuk satu alasan atau yang lain, jika kia ingin menghapus / mengatur ulang semua aturan firewall, ketik perintah berikut, itu akan mengembalikan semua perubahan kita dan mulai yang baru.
sudo ufw reset sudo ufw status
Fungsi Advanced UFW
Firewall UFW dapat mengatur untuk melakukan apa pun yang dilakukan iptables. Ini dapat dilakukan dengan sekumpulan file aturan yang berbeda, yang hanya berupa flle iptables-restore teks sederhana.
Me-tune firewall UFW atau menambahkan perintah iptables tambahan tidak diizinkan melalui perintah ufw, hanya masalah mengubah file teks berikut
/etc/default/ufw: File konfigurasi utama dengan aturan yang ditentukan sebelumnya. /etc/ufw/before[6].rules: Dalam file ini aturan dihitung sebelum menambahkan melalui perintah ufw. /etc/ufw/after[6].rules: Dalam file ini aturan dihitung setelah menambahkan melalui perintah ufw. /etc/ufw/sysctl.conf: File ini digunakan untuk menyetel jaringan kernel. /etc/ufw/ufw.conf: File ini mengaktifkan ufw saat boot.
That's It! UFW adalah front-end yang sangat baik untuk iptables dengan antarmuka yang ramah bagi pengguna untuk mendefinisikan aturan kompleks dengan perintah tunggal ufw.