Kif tinstalla u tikkonfigura UFW - FireWall mhux ikkumplikat f'Debian/Ubuntu


Peress li l-kompjuters huma konnessi ma 'xulxin, is-servizzi qed jikbru malajr. Email, Social Media, Online Shop, Chat sakemm Web Conferencing huma servizzi li jintużaw mill-utent. Iżda min-naħa l-oħra din il-konnettività tħobb biss sikkina b'żewġ naħat. Huwa wkoll possibbli li tibgħat messaġġi ħżiena lil dawk il-kompjuters bħal Virus, malware, trojan-apps huma wieħed minnhom.

L-Internet, bħala l-akbar netwerk tal-kompjuter mhux dejjem imla b'nies tajbin. Sabiex niżguraw li l-kompjuters/servers tagħna huma sikuri, irridu nipproteġuh.

Wieħed mill-komponent li għandu jkollu fuq il-kompjuter/servers tiegħek huwa Firewall. Mill-Wikipedija, definizzjoni hija:

Fl-informatika, firewall huwa sistema tas-sigurtà tan-netwerk ibbażata fuq softwer jew ħardwer li tikkontrolla t-traffiku tan-netwerk li jkun dieħel u ħerġin billi janalizza l-pakketti tad-dejta u tiddetermina jekk għandhomx jitħallew jgħaddu jew le, abbażi ta' sett ta' regoli applikati.

Iptables huwa wieħed mill-firewall li tintuża ħafna mis-servers. Huwa programm użat biex jimmaniġġja t-traffiku deħlin u ħerġin fis-server ibbażat fuq sett ta 'regoli. Ġeneralment, konnessjoni fdata biss hija permessa li tidħol fis-server. Iżda IPTables qed jaħdem fil-modalità console u huwa kkumplikat. Dawk li huma familjari mar-regoli u l-kmandi ta 'iptables, jistgħu jaqraw l-artikolu li ġej li jiddeskrivi kif tuża l-firewall ta' iptables.

  1. Gwida Bażika dwar IPTables (Linux Firewall)

Installazzjoni ta' UFW Firewall f'Debian/Ubuntu

Biex titnaqqas il-kumplessità tal-iffissar tal-IPTables, hemm ħafna fronted. Jekk qed tħaddem Ubuntu Linux, issib ufw bħala għodda tal-firewall default. Ejja nibdew nesploraw dwar ufw firewall.

L-ufw (Uncomplicated Firewall) huwa frontend għall-aktar firewall iptables użat ħafna u huwa komdu tajjeb għal firewalls ibbażati fuq host. ufw jagħti qafas għall-ġestjoni ta 'netfilter, kif ukoll jipprovdi interface tal-linja tal-kmand għall-kontroll tal-firewall. Jipprovdi interface faċli għall-utent u faċli biex tużah għal newbies Linux li ma tantx huma familjari mal-kunċetti tal-firewall.

Filwaqt li, min-naħa l-oħra, l-istess kmandi kkumplikati jgħinu lill-amministraturi jistabbilixxu regoli kkumplikati bl-użu tal-interface tal-linja tal-kmand. L-ufw huwa upstream għal distribuzzjonijiet oħra bħal Debian, Ubuntu u Linux Mint.

L-ewwel, iċċekkja jekk ufw huwiex installat billi tuża l-kmand li ġej.

$ sudo dpkg --get-selections | grep ufw

ufw 		install

Jekk ma jkunx installat, tista 'tinstallah billi tuża kmand apt kif muri hawn taħt.

$ sudo apt-get install ufw

Qabel ma tuża, għandek tiċċekkja jekk ufw huwiex qed jaħdem jew le. Uża l-kmand li ġej biex tivverifikah.

$ sudo ufw status

Jekk sibt Status: inattiv, dan ifisser li mhuwiex attiv jew diżattivat.

Biex tagħmilha, għandek bżonn biss li ttajpja l-kmand li ġej fit-terminal.

$ sudo ufw enable

Firewall is active and enabled on system startup

Biex tiddiżattivaha, ittajpja biss.

$ sudo ufw disable

Wara li l-firewall jiġi attivat tista 'żżid ir-regoli tiegħek fih. Jekk trid tara x'inhuma r-regoli default, tista' ttajpja.

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
$

Kif tara, awtomatikament kull konnessjoni li tidħol hija miċħuda. Jekk trid titbiegħed il-magna tiegħek imbagħad inti għandek tippermetti port xieraq. Per eżempju trid tippermetti konnessjoni ssh. Hawn il-kmand biex tippermettih.

$ sudo ufw allow ssh

[sudo] password for pungki :
Rule added
Rule added (v6)
$

Jekk terġa 'tiċċekkja l-istatus, tara output bħal dan.

$ sudo ufw status

To 		Action 			From
-- 		----------- 		------
22 		ALLOW 			Anywhere
22 		ALLOW 			Anywhere (v6)

Jekk għandek ħafna regoli, u trid tpoġġi numri fuq kull regoli fuq il-fly, uża parametru numerat.

$ sudo ufw status numbered

To 		Action 			From
------ 		----------- 		------
[1] 22 		ALLOW 			Anywhere
[2] 22 		ALLOW 			Anywhere (v6)

L-ewwel regola tgħid li l-konnessjoni deħlin mal-port 22 minn Kullimkien, kemm pakketti tcp kif ukoll udp hija permessa. X'jiġri jekk trid tippermetti pakkett tcp biss? Imbagħad tista 'żżid il-parametru tcp wara n-numru tal-port. Hawn eżempju b'output tal-kampjun.

$ sudo ufw allow ssh/tcp

To 		Action 			From
------ 		----------- 		------
22/tcp 		ALLOW 			Anywhere
22/tcp 		ALLOW 			Anywhere (v6)

L-istess tricks huwa applikat għar-regola Deny. Ejja ngħidu li trid tiċħad ir-regola tal-ftp. Allura għandek biss ittajpja.

$ sudo ufw deny ftp

To 		Action 			From
------ 		----------- 		------
21/tcp 		DENY 			Anywhere
21/tcp 		DENY 			Anywhere (v6)

Kultant għandna port tad-dwana li ma jsegwi l-ebda standard. Ejja ngħidu li nbiddlu l-port ssh fuq il-magna tagħna minn 22, f'2290. Imbagħad biex inħallu l-port 2290, nistgħu nżiduh bħal dan.

$ sudo ufw allow

To 		Action 			From
-- 		----------- 		------
2290 		ALLOW 			Anywhere
2290 		ALLOW 			Anywhere (v6)

Huwa wkoll possibbli għalik li żżid port-range fir-regola. Jekk irridu niftħu port minn 2290 - 2300 bil-protokoll tcp, allura l-kmand ikun bħal dan.

$ sudo ufw allow 2290:2300/tcp

To 			Action 			From
------ 			----------- 		------
2290:2300/tcp 		ALLOW 			Anywhere
2290:2300/tcp 		ALLOW			Anywhere (v6)

filwaqt li jekk trid tuża udp, uża biss il-kmand li ġej.

$ sudo ufw allow 2290:2300/udp

To 			Action 			From
------ 			----------- 		------
2290:2300/udp 		ALLOW 			Anywhere
2290:2300/udp 		ALLOW			Anywhere (v6)

Jekk jogħġbok ftakar li trid tpoġġi 'tcp' jew 'udp' b'mod espliċitu inkella tirċievi messaġġ ta' żball simili għal hawn taħt.

ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports

Preċedentement żidna regoli bbażati fuq is-servizz jew il-port. Ufw jippermettilek ukoll li żżid regoli bbażati fuq l-Indirizz IP. Hawn il-kmand tal-kampjun.

$ sudo ufw allow from 192.168.0.104

Tista 'wkoll tuża maskra tas-subnet biex titwessa' l-firxa.

$ sudo ufw allow form 192.168.0.0/24

To 		Action 			From
-- 		----------- 		------
Anywhere	ALLOW 			192.168.0.104
Anywhere	ALLOW 			192.168.0.0/24

Kif tistgħu taraw, mill-parametru se jillimitaw biss is-sors tal-konnessjoni. Filwaqt li d-destinazzjoni - li hija rappreżentata mill-kolonna To - hija Kullimkien. Tista 'wkoll timmaniġġja d-destinazzjoni billi tuża l-parametru 'To'. Ejja naraw il-kampjun biex tippermetti aċċess għall-port 22 (ssh).

$ sudo ufw allow to any port 22

Il-kmand ta 'hawn fuq se jippermetti aċċess minn kullimkien u minn kwalunkwe protokoll għall-port 22.

Għal regoli aktar speċifiċi, tista 'wkoll tgħaqqad l-indirizz IP, protokoll u port. Ejja ngħidu li rridu noħolqu regola li tillimita l-konnessjoni biss mill-IP 192.168.0.104, protokoll tcp biss u għall-port 22. Imbagħad il-kmand se jkun bħal hawn taħt.

$ sudo ufw allow from 192.168.0.104 proto tcp to any port 22

Is-sintassi biex tinħoloq regola deny hija simili mar-regola permess. Għandek bżonn biss li tibdel il-parametru minn permess għal tiċħad.

Xi drabi jista' jkollok bżonn tħassar ir-regola eżistenti tiegħek. Għal darb'oħra bl-ufw huwa faċli li tħassar ir-regoli. Mill-kampjun ta 'hawn fuq, għandek regola hawn taħt u trid tħassarha.

To 		Action 			From
-- 		----------- 		------
22/tcp		ALLOW 			192.168.0.104
21/tcp		ALLOW 			Anywhere
21/tcp 		ALLOW 			Anywhere (v6)

Hemm żewġ metodi kif tħassar ir-regoli.

Il-kmand hawn taħt se jħassar ir-regoli li jaqblu mal-ftp tas-servizz. Allura l-21/tcp li jfisser port ftp se jitħassar.

$ sudo ufw delete allow ftp

Imma meta ppruvajt tħassar l-ewwel regola fl-eżempju ta 'hawn fuq billi tuża l-kmand ta' hawn taħt.

$ sudo ufw delete allow ssh

Or 

$ sudo ufw delete allow 22/tcp

Tista' ssib messaġġ ta' żball bħal.

Could not delete non-existent rule
Could not delete non-existent rule (v6)

Imbagħad tista 'tagħmel dan il-trick. Kif semmejna hawn fuq, tista 'turi n-numru ta' regola biex tindika liema regola rridu nħassru. Ħa nuruh lilek.

$ sudo ufw status numbered

To 		Action 			From
-- 		----------- 		------
[1] 22/tcp		ALLOW 			192.168.0.104
[2] 21/tcp		ALLOW 			Anywhere
[3] 21/tcp 		ALLOW 			Anywhere (v6)

Imbagħad tista 'tħassar l-ewwel regola bl-użu. Agħfas \y se tħassar ir-regola b'mod permanenti.

$ sudo ufw delete 1

Deleting :
Allow from 192.168.0.104 to any port 22 proto tcp
Proceed with operation (y|n)? y

Minn dawk il-metodi se tara d-differenza. Il-Metodu 2 se jitlob konferma tal-utent qabel iħassar ir-regola filwaqt li l-metodu 1 mhuwiex.

F'xi sitwazzjoni, tista 'tkun trid tħassar/reset ir-regoli kollha. Tista 'tagħmel dan billi ttajpja.

$ sudo ufw reset

Resetting all rules to installed defaults. Proceed with operation (y|n)? y

Jekk tagħfas \y, allura l-ufw se tagħmel backup tar-regoli eżistenti kollha qabel ma tagħmel ir-reset tal-ufw tiegħek. Ir-reset tar-regoli se jiskonnettja wkoll il-firewall tiegħek. Jeħtieġ li terġa 'tippermettiha jekk trid tużah.

Kif iddikjarajt hawn fuq, il-firewall ufw jista 'jagħmel dak kollu li jista' jagħmel iptables. Dan jitwettaq bl-użu ta 'settijiet varji ta' fajls ta 'regoli, li huma xejn aktar minn iptables-restore fajls ta' test xierqa. L-irfinar ta' ufw u/jew it-tqegħid ta' kmandi iptables addizzjonali mhux permessi permezz tal-kmand ufw hija kwistjoni ta' editjar ta' diversi fajls ta' test.

  1. /etc/default/ufw: Il-konfigurazzjoni ewlenija għall-politiki default, appoġġ IPv6 u moduli tal-kernel.
  2. /etc/ufw/before[6].regoli: ir-regoli f'dawn il-fajls huma kkalkulati qabel kwalunkwe regola miżjuda permezz tal-kmand ufw.
  3. /etc/ufw/after[6].regoli: ir-regoli f'dawn il-fajls huma kkalkulati wara kwalunkwe regola miżjuda permezz tal-kmand ufw.
  4. /etc/ufw/sysctl.conf: tunables tan-netwerk tal-kernel.
  5. /etc/ufw/ufw.conf: jistabbilixxi jekk ufw huwiex attivat jew le fuq il-boot u jistabbilixxi l-LOGLEVEL.

Konklużjoni

UFW bħala front-end għal iptables żgur jagħmel interface faċli għall-utent. L-utent m'għandux għalfejn jiftakar is-sintassi iptables kkumplikata. L-UFW tuża wkoll 'plain english' bħala l-parametru tagħha.

Ħalli, jiċħad, reset huma wieħed minnhom. Nemmen li hemm ħafna aktar iptables front-end hemmhekk. Imma żgur ufw hija waħda mill-aħjar alternattiva għall-utenti li jixtiequ jwaqqfu l-firewall tagħhom malajr, faċli u naturalment sigur. Jekk jogħġbok żur il-paġna tal-manwal tal-ufw billi ttajpja man ufw għal aktar dettalji.