Acho que o UFW é apenas uma fachada para o iptables. De qualquer forma, você pode jogar com seu frontend gráfico.
Mas eu sugiro strongmente que você aprenda o iptables. Documentação oficial do Unbuntu: link
Eu tenho um servidor Ubuntu 9.10 com virtualização KVM instalado (vou chamá-lo de HOST). Ele tem três VMs em execução, uma com o Apache instalado (chamando-o de APACHE), uma com o Mysql instalado (chamando-o de MYSQL) e uma com o Jetty rodando na porta 8080 (JETTY). O host tem uma ponte configurada para fornecer acesso às VMs.
Gostaria de executar um firewall no host, mas não em cada VM. O firewall deve bloquear todas as portas no host e nas VMs que não são necessárias. Aqui está especificamente como eu gostaria de configurá-lo:
Eu recentemente mudei para o Ubuntu, então não tenho certeza qual é a melhor ferramenta de firewall. Eu já usei o iptables no CentOS no passado, mas o iptables não está rodando no meu sistema host. Eu vi referência a UWF como a ferramenta de firewall para o Ubuntu? Parece que o UWF está instalado, mas não ativo.
Alguma sugestão sobre como fazer isso acontecer? Quais arquivos devo editar? Existem bons HOWTOs em fazer isso que eu não encontrei?
Para o que você descreve, não acho que você precise de uma configuração de firewall (ou seja, filtro de pacotes). Simplesmente certifique-se de que todos os serviços desnecessários estejam desabilitados ou ouça somente em localhost / 127.0.0.1 e que os serviços necessários (SSH, soquete TCP do MySQL) escutem somente interfaces ou sub-redes específicas.
Para o SSH, essa é a diretiva ListenAddress
em / etc / ssh / sshd_config bind-address em /etc/mysql/my.cnf . Nos sistemas Linux também existe a possibilidade de usar /etc/hosts.allow e /etc/hosts.deny para maior segurança.
Não confie em um filtro de pacotes para fornecer toda a segurança de que você precisa. Muito mais importante é saber exatamente quais serviços estão sendo executados e onde eles estão escutando. Você não pode simplesmente colocar um firewall na frente de um host mal configurado e seguro e esperar acabar com isso. É uma prática muito ruim.
parece um szenario perfeito para shorewall . O shorewall é uma ferramenta de firewall baseada em zonas para o iptables / netfilter e muito fácil de configurar
Veja o que você está procurando ...