Die Firewall gehört zu den wichtigsten Sicherheitskomponenten eines Linux-Servers. Unter Debian und Ubuntu hat sich die Uncomplicated Firewall (UFW) als besonders einfaches Werkzeug etabliert. Mit wenigen Befehlen lassen sich Ports freigeben, Zugriffe einschränken oder ganze Netzwerke sperren.
Doch spätestens nach einigen Wochen oder Monaten stellt sich oft die Frage: Wie entfernt man nicht mehr benötigte Regeln? Kann man einzelne Regeln deaktivieren, ohne sie zu löschen? Und wie behält man bei vielen Firewall-Einträgen den Überblick?
In diesem Beitrag erfahren Sie, wie Sie UFW-Regeln anzeigen, löschen, anpassen und verwalten.
Was ist UFW?
UFW steht für „Uncomplicated Firewall“ und dient als benutzerfreundliche Oberfläche für die Linux-Firewall Netfilter bzw. iptables/nftables.
Typische Aufgaben sind:
- Freigeben einzelner Ports
- Einschränken auf bestimmte IP-Adressen
- Blockieren unerwünschter Zugriffe
- Absichern von Serverdiensten
- Verwalten von IPv4- und IPv6-Regeln
Ein großer Vorteil von UFW ist die einfache Bedienung über die Kommandozeile.
Aktuelle Regeln anzeigen
Bevor Änderungen vorgenommen werden, sollte zunächst geprüft werden, welche Regeln bereits existieren.
Die Standardübersicht erhalten Sie mit:
sudo ufw status
Beispiel:
Status: active To Action From -- ------ ---- 22/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 3306/tcp ALLOW 192.168.1.100
Für Verwaltungsarbeiten empfiehlt sich die nummerierte Ansicht:
sudo ufw status numbered
Beispiel:
[1] 22/tcp ALLOW IN Anywhere [2] 80/tcp ALLOW IN Anywhere [3] 443/tcp ALLOW IN Anywhere [4] 3306/tcp ALLOW IN 192.168.1.100
Die Nummern erleichtern später das Löschen einzelner Regeln.
Eine Regel löschen
Am einfachsten erfolgt das Löschen über die Regelnummer.
Angenommen, die Regel für Port 3306 besitzt die Nummer 4:
sudo ufw delete 4
UFW fragt anschließend nach einer Bestätigung:
Deleting: allow from 192.168.1.100 to any port 3306 Proceed with operation (y|n)?
Nach Bestätigung wird die Regel entfernt.
Regel direkt anhand der Definition löschen
Alternativ kann eine Regel über ihren vollständigen Inhalt gelöscht werden.
Beispiel:
sudo ufw delete allow 3306/tcp
Oder:
sudo ufw delete allow from 192.168.1.100 to any port 3306
Diese Methode ist besonders hilfreich bei automatisierten Skripten.
Einzelne IP-Freigaben entfernen
Wurde beispielsweise ein Datenbankzugriff für einen externen Server eingerichtet:
sudo ufw allow from 203.0.113.10 to any port 3306
kann die Freigabe wieder entfernt werden:
sudo ufw delete allow from 203.0.113.10 to any port 3306
Dadurch bleibt der Port geschlossen, während andere Firewall-Regeln unverändert bleiben.
Können UFW-Regeln deaktiviert werden?
Eine häufig gestellte Frage lautet:
„Kann ich eine Regel vorübergehend deaktivieren, ohne sie zu löschen?“
Die Antwort lautet: Nein.
UFW besitzt keine Funktion zum Deaktivieren einzelner Regeln. Eine Regel ist entweder vorhanden oder nicht vorhanden.
Dennoch gibt es verschiedene Möglichkeiten, denselben Effekt zu erzielen.
Möglichkeit 1: Regel löschen und später neu anlegen
Die sauberste Variante besteht darin, die Regel zu entfernen und bei Bedarf erneut anzulegen.
Beispiel:
sudo ufw delete allow 3306/tcp
Später:
sudo ufw allow 3306/tcp
Dies sorgt für eine übersichtliche und nachvollziehbare Firewall-Konfiguration.
Möglichkeit 2: Zugriff gezielt blockieren
Statt eine Freigabe zu löschen, kann zusätzlich eine Sperrregel definiert werden.
Beispiel:
sudo ufw deny 3306/tcp
Dadurch wird der Zugriff auf den Port blockiert.
Anschließend kann die Sperrregel bei Bedarf wieder entfernt werden.
Möglichkeit 3: Firewall komplett deaktivieren
Falls kurzfristig alle Firewall-Regeln außer Kraft gesetzt werden sollen:
sudo ufw disable
Die vorhandenen Regeln bleiben gespeichert.
Zum erneuten Aktivieren:
sudo ufw enable
Diese Methode sollte nur für Wartungsarbeiten oder Fehlersuchen verwendet werden.
IPv4- und IPv6-Regeln beachten
Viele Administratoren übersehen, dass UFW häufig sowohl IPv4- als auch IPv6-Regeln anlegt.
Ein Beispiel:
3306/tcp ALLOW IN Anywhere 3306/tcp (v6) ALLOW IN Anywhere (v6)
Werden Regeln gelöscht, sollte immer geprüft werden, ob zusätzlich eine IPv6-Regel vorhanden ist.
Die Kontrolle erfolgt mit:
sudo ufw status numbered
UFW-Regeln sichern
Vor größeren Änderungen empfiehlt sich ein Backup.
Die aktuellen Regeln können exportiert werden:
sudo ufw status numbered > ufw-backup.txt
Zusätzlich lassen sich die Konfigurationsdateien sichern:
sudo cp /etc/ufw/user.rules /root/user.rules.backup sudo cp /etc/ufw/user6.rules /root/user6.rules.backup
Damit können versehentlich gelöschte Regeln schnell rekonstruiert werden.
Alle Regeln zurücksetzen
Soll die Firewall komplett neu konfiguriert werden:
sudo ufw reset
Achtung:
Dieser Befehl entfernt sämtliche Regeln und deaktiviert UFW.
Nach dem Reset muss die Firewall neu eingerichtet werden.
Best Practices für die Firewall-Verwaltung
Für eine sichere und übersichtliche Firewall-Konfiguration haben sich folgende Regeln bewährt:
- Nur benötigte Ports freigeben
- Datenbankports niemals unnötig global öffnen
- Zugriffe nach Möglichkeit auf feste IP-Adressen beschränken
- Regelmäßig alte Regeln entfernen
- IPv6 nicht vergessen
- Vor Änderungen Backups erstellen
- Änderungen dokumentieren
Besonders bei Datenbanken wie MariaDB oder MySQL sollte Port 3306 nur für bekannte Systeme freigegeben werden.
UFW ermöglicht eine einfache und sichere Verwaltung von Firewall-Regeln unter Linux. Das Löschen einzelner Regeln erfolgt entweder über die Regelnummer oder direkt über die Regeldefinition. Eine echte Funktion zum temporären Deaktivieren einzelner Regeln existiert zwar nicht, allerdings lassen sich ähnliche Effekte durch gezielte Sperrregeln oder das Entfernen und spätere Wiederanlegen erreichen.
Wer seine Firewall regelmäßig überprüft und nur tatsächlich benötigte Freigaben zulässt, erhöht die Sicherheit seines Servers erheblich und reduziert die Angriffsfläche für automatisierte Angriffe aus dem Internet.
