Kif Twaqqaf UFW Firewall fuq Ubuntu u Debian
Firewall li jaħdem sew huwa l-aktar parti kruċjali tas-sigurtà sħiħa tas-sistema Linux. B'mod awtomatiku, id-distribuzzjoni ta 'Debian u Ubuntu tiġi b'għodda ta' konfigurazzjoni tal-firewall imsejħa UFW (Uncomplicated Firewall), hija għodda tal-linja tal-kmand l-aktar popolari u faċli biex tintuża għall-konfigurazzjoni u l-ġestjoni ta 'firewall fuq distribuzzjonijiet ta' Ubuntu u Debian.
F'dan l-artikolu, se nispjegaw kif tinstalla u tissettja firewall UFW fuq distribuzzjonijiet Ubuntu u Debian.
Qabel ma tibda b'dan l-artikolu, kun żgur li dħalt fis-server Ubuntu jew Debian tiegħek mal-utent sudo jew mal-kont root. Jekk ma jkollokx utent sudo, tista 'toħloq wieħed billi tuża l-istruzzjonijiet li ġejjin bħala utent root.
# adduser username # usermod -aG sudo username # su - username $ sudo whoami
Installa UFW Firewall fuq Ubuntu u Debian
L-UFW (Uncomplicated Firewall) għandu jiġi installat awtomatikament f'Ubuntu u Debian, jekk le, installah billi tuża l-maniġer tal-pakkett APT billi tuża l-kmand li ġej.
$ sudo apt install ufw
Ladarba titlesta l-installazzjoni tista 'tiċċekkja l-istatus ta' UFW billi ttajpja.
$ sudo ufw status verbose
Fl-ewwel installazzjoni, il-firewall UFW huwa diżattivat awtomatikament, l-output se simili għal hawn taħt.
Status: inactive
Tista' tattiva jew tattiva l-firewall UFW billi tuża l-kmand li ġej, li għandu jgħabbi l-firewall u jippermettilu jibda mal-but.
$ sudo ufw enable
Biex tiddiżattiva l-firewall UFW, uża l-kmand li ġej, li jħott il-firewall u tiddiżattiva milli jibda mill-but.
$ sudo ufw disable
B'mod awtomatiku, il-firewall UFW jiċħad kull konnessjoni deħlin u jippermetti biss il-konnessjonijiet kollha ħerġin mas-server. Dan ifisser, ħadd ma jista 'jaċċessa s-server tiegħek, sakemm ma tiftaħx speċifikament il-port, filwaqt li s-servizzi jew l-applikazzjonijiet kollha li jaħdmu fuq is-server tiegħek jistgħu jkunu jistgħu jaċċessaw in-netwerk ta' barra.
Il-politiki tal-firewall UFW default jitqiegħdu fil-fajl /etc/default/ufw u jistgħu jinbidlu bl-użu tal-kmand li ġej.
$ sudo ufw default deny incoming $ sudo ufw default allow outgoing
Meta tinstalla pakkett tas-softwer bl-użu tal-maniġer tal-pakkett APT, dan se jinkludi profil tal-applikazzjoni fid-direttorju /etc/ufw/applications.d li jiddefinixxi s-servizz u jżomm is-settings tal-UFW.
Tista' telenka l-profili kollha tal-applikazzjoni disponibbli fuq is-server tiegħek billi tuża l-kmand li ġej.
$ sudo ufw app list
Skont l-installazzjonijiet tal-pakkett tas-softwer fis-sistema tiegħek, l-output se jidher simili għal dan li ġej:
Available applications: APACHE APACHE Full APACHE SECURE CUPS OpenSSH Postfix Postfix SMTPS Postfix Submission
Jekk trid tikseb aktar informazzjoni dwar profil partikolari u regoli definiti tista 'tuża l-kmand li ġej.
$ sudo ufw app info 'Apache'
Profile: Apache Title: Web Server Description: Apache V2 is the next generation f the omnipresent Apache web server. Ports: 80/tcp
Jekk is-server tiegħek huwa kkonfigurat b'IPv6, kun żgur li l-UFW tiegħek huwa kkonfigurat b'appoġġ IPv6 u IPv4. Biex tivverifikaha, iftaħ il-fajl tal-konfigurazzjoni UFW billi tuża l-editur favorit tiegħek.
$ sudo vi /etc/default/ufw
Imbagħad kun żgur li “IPV6” huwa ssettjat għal \iva\ fil-fajl tal-konfigurazzjoni kif muri.
IPV6=yes
Ħlief u nieqaf. Imbagħad erġa ibda l-firewall tiegħek bil-kmandi li ġejjin:
$ sudo ufw disable $ sudo ufw enable
Jekk għamilt il-firewall UFW sa issa, jimblokka l-konnessjonijiet kollha li deħlin u jekk tkun konness mas-server tiegħek permezz ta 'SSH minn post remot, ma tkunx tista' terġa' tikkonnettjah.
Ejja nippermettu konnessjonijiet SSH mas-server tagħna biex inwaqqfu milli jiġri billi tuża l-kmand li ġej:
$ sudo ufw allow ssh
Jekk qed tuża port SSH tad-dwana (per eżempju port 2222), allura għandek bżonn tiftaħ dak il-port fuq firewall UFW billi tuża l-kmand li ġej.
$ sudo ufw allow 2222/tcp
Biex timblokka l-konnessjonijiet SSH kollha ikteb il-kmand li ġej.
$ sudo ufw deny ssh/tcp $ sudo ufw deny 2222/tcp [If using custom SSH port]
Tista 'wkoll tiftaħ port speċifiku fil-firewall biex tippermetti konnessjonijiet permezz tiegħu għal ċertu servizz. Per eżempju, jekk trid issettja web server li jisma fuq il-port 80 (HTTP) u 443 (HTTPS) b'mod awtomatiku.
Hawn taħt huma l-ftit eżempji ta 'kif tippermetti konnessjonijiet deħlin għas-servizzi Apache.
$ sudo ufw allow http [By service name] $ sudo ufw allow 80/tcp [By port number] $ sudo ufw allow 'Apache' [By application profile]
$ sudo ufw allow https $ sudo ufw allow 443/tcp $ sudo ufw allow 'Apache Secure'
Jekk wieħed jassumi li għandek xi applikazzjonijiet li trid taħdem fuq firxa ta 'portijiet (5000-5003), tista' żżid dawn il-portijiet kollha billi tuża l-kmandi li ġejjin.
sudo ufw allow 5000:5003/tcp sudo ufw allow 5000:5003/udp
Jekk trid tippermetti konnessjonijiet fuq il-portijiet kollha minn indirizz IP speċifiku 192.168.56.1, allura trid tispeċifika minn qabel l-indirizz IP.
$ sudo ufw allow from 192.168.56.1
Biex tippermetti konnessjoni fuq port speċifiku (per eżempju port 22) mill-magna tad-dar tiegħek b'indirizz IP ta '192.168.56.1, imbagħad ikollok bżonn iżżid kwalunkwe port u n-numru tal-port wara l-indirizz IP kif muri.
$ sudo ufw allow from 192.168.56.1 to any port 22
Biex tippermetti konnessjonijiet għal indirizzi IP partikolari li jvarjaw minn 192.168.1.1 sa 192.168.1.254 sal-port 22 (SSH), ħaddem il-kmand li ġej.
$ sudo ufw allow from 192.168.1.0/24 to any port 22
Biex tippermetti konnessjonijiet għal interface tan-netwerk speċifiku eth2 għal port partikolari 22 (SSH), mexxi l-kmand li ġej.
$ sudo ufw allow in on eth2 to any port 22
B'mod awtomatiku, il-konnessjonijiet deħlin kollha huma mblukkati, sakemm ma tkunx iftaħt speċifikament il-konnessjoni fuq UFW. Pereżempju, inti ftaħt il-portijiet 80 u 443 u s-server tal-web tiegħek jinsab taħt attakk min-netwerk mhux magħruf 11.12.13.0/24.
Biex timblokka l-konnessjonijiet kollha minn din il-firxa tan-netwerk partikolari 11.12.13.0/24, tista 'tuża l-kmand li ġej.
$ sudo ufw deny from 11.12.13.0/24
Jekk trid biss timblokka l-konnessjonijiet fuq il-portijiet 80 u 443, tista 'tuża l-kmandi li ġejjin.
$ sudo ufw deny from 11.12.13.0/24 to any port 80 $ sudo ufw deny from 11.12.13.0/24 to any port 443
Hemm 2 modi kif tħassar ir-regoli tal-UFW, bin-numru tar-regola u bir-regola attwali.
Biex tħassar regoli UFW billi tuża n-numru tar-regola, l-ewwel trid telenka r-regoli bin-numri billi tuża l-kmand li ġej.
$ sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
Biex tħassar ir-regola numru 1, uża l-kmand li ġej.
$ sudo ufw delete 1
It-tieni metodu huwa li tħassar regola billi tuża r-regola attwali, pereżempju biex tħassar regola, speċifika n-numru tal-port bil-protokoll kif muri.
$ sudo ufw delete allow 22/tcp
Tista' tmexxi kwalunkwe kmandi ufw mingħajr ma tagħmel xi tibdil fil-firewall tas-sistema billi tuża l-bandiera --dry-run, dan sempliċement juri l-bidliet li suppost iseħħu.
$ sudo ufw --dry-run enable
Għal raġuni waħda jew oħra, jekk tixtieq tħassar/reset ir-regoli kollha tal-firewall, ittajpja l-kmandi li ġejjin, ireġġa’ lura l-bidliet kollha tiegħek u tibda mill-ġdid.
$ sudo ufw reset $ sudo ufw status
Il-firewall UFW jista' jirnexxilu jagħmel dak kollu li jagħmel iptables. Dan jista 'jsir b'settijiet differenti ta' fajls ta 'regoli, li huma xejn, iżda sempliċi iptables-restore test files.
L-irfinar tal-firewall UFW jew iż-żieda ta' kmandi ta' iptables addizzjonali mhumiex permessi permezz tal-kmand ufw, hija kwistjoni ġusta li tbiddel il-fajls tat-test li ġejjin
- /etc/default/ufw: Il-fajl ewlieni tal-konfigurazzjoni b'regoli definiti minn qabel.
- /etc/ufw/before[6].regoli: F'dan il-fajl ir-regoli huma kkalkulati qabel ma jiżdiedu permezz tal-kmand ufw.
- /etc/ufw/after[6].regoli: F'dan il-fajl ir-regoli huma kkalkulati wara li jiżdiedu permezz tal-kmand ufw.
- /etc/ufw/sysctl.conf: Dan il-fajl jintuża biex jirranġa n-netwerk tal-kernel.
- /etc/ufw/ufw.conf: Dan il-fajl jippermetti l-ufw on boot.
Dak hu! UFW huwa front-end eċċellenti għall-iptables b'interface faċli għall-utent biex tiddefinixxi regoli kumplessi bi kmand wieħed ufw.
Jekk għandek xi mistoqsijiet jew ħsibijiet x'taqsam dwar dan l-artikolu ufw, uża l-formola tal-kummenti hawn taħt biex tilħaqna.