Instal·lar un tallafocs a un servidor Ubuntu

isp00rt · April 11, 2025, 9:52am

El meu proveïdor m’ha donat les instruccions per a instal·lar el tallafocs. Són aquestes:

https://contabo.com/blog/how-to-setup-a-software-firewall-in-linux-and-windows/

Què et semblen? En coneixes algun altre que sigui millor? Suposo que hauré d’instal·lar-lo abans que l’escriptori, oi?

wgarcia · April 11, 2025, 10:54am

És més fàcil a un servidor Ubuntu. Moltes distribucions Linux venen amb UFW (Uncomplicated Firewall), que fan allò d’iptables però d’una manera molt més amable.

Com estàs connectant al servidor, amb “ssh”? (per exemple des del Windows amb el programa putty?)

isp00rt · April 11, 2025, 3:18pm

Sempre em connecto via PuTTY. Què he de fer ara?

wgarcia · April 11, 2025, 3:38pm

No, està bé, és per saber quin protocol estàs usant per connectar-te. Ara ja sé que que és “ssh”, per tant s’ha de deixar obert el port 22 que és el que fa servir aquest protocol. A no ser que vulguis algun altre servei al servidor, per exemple servir una pàgina web, amb aquest port ja n’hi prou i es poden mantenir tots els altres tancats.

Primer mira si està configurat per habilitar IPV6, per si un cas el teu proveïdor ho està fent servir, així s’habilitaran les regles tant per a IPV4 com per a IPV6. Simplement mira les primeres línies del fitxer de configuració:

more /etc/default/ufw

la setena o vuitena línia hauria de mostrar IPV6=yes. Si és així, tot bé.

Segurament estarà deshabilitat:

sudo ufw status

Et contestarà status: inactive. Per tant l’habilitem:

sudo ufw enable

Ara obre els ports per al ssh:

sudo ufw allow ssh

I per veure com queda:

sudo ufw status

T’hauria de mostrar:

Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere                  
22/tcp (v6)                ALLOW       Anywhere (v6)

I això és tot.

Si vols millor guarda’t aquests apunts i espera a veure si pots configurar el que et cal (escriptori, màquina virtual, etc) abans d’habilitar el tallafocs.

Sigues conscient que estàs entrant al món Linux per una part força elevada, jo almenys quan vaig començar vaig fer coses com configurar la impressora, veure amb què podia substituir el Word, etc., si m’haguessin dit de configurar un servidor no hagués sabut ni de què m’estaven parlant, i menys de posar-li un tallafoc.

isp00rt · April 11, 2025, 4:01pm

Confirmo que el text IPV6=yes aparix directament com tu dius. Però també m’apareix un text llarg que no sé si és bo o dolent. És aquest:

# Set to yes to apply rules to support IPv6 (no means only IPv6 on loopback
# accepted). You will need to 'disable' and then 'enable' the firewall for
# the changes to take affect.
IPV6=yes

# Set the default input policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_INPUT_POLICY="DROP"

# Set the default output policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_OUTPUT_POLICY="ACCEPT"

# Set the default forward policy to ACCEPT, DROP or REJECT.  Please note that
# if you change this you will most likely want to adjust your rules
DEFAULT_FORWARD_POLICY="DROP"

# Set the default application policy to ACCEPT, DROP, REJECT or SKIP. Please
# note that setting this to ACCEPT may be a security risk. See 'man ufw' for
# details
DEFAULT_APPLICATION_POLICY="SKIP"

# By default, ufw only touches its own chains. Set this to 'yes' to have ufw
# manage the built-in chains too. Warning: setting this to 'yes' will break
# non-ufw managed firewall rules
MANAGE_BUILTINS=no

#
# IPT backend
#
# only enable if using iptables backend
IPT_SYSCTL=/etc/ufw/sysctl.conf

# Extra connection tracking modules to load. IPT_MODULES should typically be
# empty for new installations and modules added only as needed. See
# 'CONNECTION HELPERS' from 'man ufw-framework' for details. Complete list can
# be found in net/netfilter/Kconfig of your kernel source. Some common modules:
# nf_conntrack_irc, nf_nat_irc: DCC (Direct Client to Client) support
# nf_conntrack_netbios_ns: NetBIOS (samba) client support
# nf_conntrack_pptp, nf_nat_pptp: PPTP over stateful firewall/NAT
# nf_conntrack_ftp, nf_nat_ftp: active FTP support
# nf_conntrack_tftp, nf_nat_tftp: TFTP support (server side)
# nf_conntrack_sane: sane support
IPT_MODULES=""
``

Vol dir que tot està bé?

wgarcia · April 11, 2025, 4:03pm

Això és el que hi ha al fitxer, sí no hi ha problema.

Intenta si us plau utilitzar la icona “</>” de l’editor d’aquests missatges quan enganxis codi, en aquest missatge ho he fet per tu.