מכיוון שמחשבים מחוברים זה לזה, השירותים צומחים במהירות. אימייל, מדיה חברתית, חנות מקוונת, לְשׂוֹחֵחַ עד ועידת אינטרנט הם שירותים המשמשים את המשתמש. אבל בצד השני הקישוריות הזו פשוט אוהבת סכין דו צדדית. אפשר גם לשלוח הודעות גרועות לאותם מחשבים כמו נגיף, תוכנה זדונית, טרויאנים-אפליקציות הם אחד מהם.
האינטרנט, כרשת המחשבים הגדולה ביותר, לא תמיד מתמלא באנשים טובים. על מנת לוודא שהמחשבים / השרתים שלנו בטוחים, עלינו להגן עליו.
אחד מרכיבי החובה במחשב / בשרתים שלך הוא חומת אש. מ ויקיפדיה, הגדרה היא:
במחשוב, חומת אש היא מערכת אבטחת רשת מבוססת תוכנה או חומרה השולטת על הנכנסים והיוצאים תעבורת רשת על ידי ניתוח חבילות הנתונים וקביעה אם יש לאפשר להן לעבור או לא, על סמך יישום נקבע כלל.
Iptables הוא אחד מחומת האש שנמצאת בשימוש נרחב על ידי שרתים. זוהי תוכנית המשמשת לניהול תעבורה נכנסת ויוצאת בשרת על סמך מערכת כללים. באופן כללי, רק חיבור מהימן רשאי להיכנס לשרת. אבל IPTables פועל במצב קונסולה וזה מסובך. למי שמכיר את הכללים והפקודות של iptables, הוא יכול לקרוא את המאמר הבא המתאר כיצד להשתמש בחומת האש של iptables.
כדי להפחית את מורכבות ההגדרות IPTables, יש הרבה חזיתות. אם אתה רץ אובונטו לינוקס, תמצא ufw ככלי ברירת מחדל של חומת אש. נתחיל לחקור אודות ufw חומת אש.
ה ufw (חומת אש לא מסובכת) הוא חזית למשתמשים הנפוצים ביותר חומת אש iptables וזה נוח מאוד לחומות אש מבוססות מארח. ufw נותן מסגרת לניהול מסנן רשת, כמו גם מספק ממשק שורת פקודה לשליטה בחומת האש. הוא מספק ממשק ידידותי וקל לשימוש למתחילים בלינוקס שאינם מכירים הרבה מושגי חומת אש.
בעוד שבצד השני אותן פקודות מסובכות מסייעות למנהלי מערכת להגדיר כללים מסובכים באמצעות ממשק שורת הפקודה. ה ufw הוא במעלה הזרם להפצות אחרות כגון דביאן, אובונטו ו מנטה של לינוקס.
ראשית, בדוק אם ufw מותקן באמצעות הפקודה הבאה.
$ sudo dpkg-get-selections | grep ufw ufw להתקין
אם הוא אינו מותקן, תוכל להתקין אותו באמצעות מַתְאִים הפקודה כפי שמוצג להלן.
$ sudo apt-get להתקין ufw
לפני השימוש, עליך לבדוק האם ufw פועל או לא. השתמש בפקודה הבאה כדי לבדוק זאת.
סטטוס $ sudo ufw
אם מצאת סטטוס: לֹא פָּעִיל, זה אומר שהוא לא פעיל או מושבת.
חָדָשׁ! ספר אלקטרוני חיוני לכל מנהל לינוקס!
הורד ספר אלקטרוני של 696 דפים בחינם
כדי להפעיל אותו, עליך רק להקליד את הפקודה הבאה במסוף.
$ sudo ufw הפעל חומת אש פעילה ומופעלת בעת הפעלת המערכת
כדי להשבית אותו, פשוט הקלד.
$ sudo ufw השבת
לאחר הפעלת חומת האש תוכל להוסיף לתוכה את הכללים שלך. אם אתה רוצה לראות מהם כללי ברירת המחדל, תוכל להקליד.
מצב sudo ufw מפורט
סטטוס: פעיל. כניסה: מופעל (נמוך) ברירת מחדל: הכחיש (נכנס), אפשר (יוצא) פרופילים חדשים: דלג. $
כפי שאתה רואה, כברירת מחדל כל חיבור נכנס נדחה. אם אתה רוצה להרחיק את המכשיר שלך, עליך לאפשר יציאה מתאימה. למשל אתה רוצה לאפשר ssh חיבור. להלן הפקודה לאפשר זאת.
$ sudo ufw אפשר ssh [sudo] סיסמה עבור pungki: חוק נוסף. חוק נוסף (v6) $
אם תבדוק שוב את הסטטוס, תראה פלט כזה.
סטטוס $ sudo ufw לפעולה מ. - 22 אפשר בכל מקום. 22 אפשר בכל מקום (v6)
אם יש לך הרבה כללים ואתה רוצה לשים מספרים על כל כללים תוך כדי תנועה, השתמש בפרמטר ממוספר.
סטטוס $ sudo ufw ממוספר לפעולה מ. [1] 22 אפשר בכל מקום. [2] 22 אפשר בכל מקום (v6)
הכלל הראשון אומר שהחיבור הנכנס ל- נמל 22 מ בְּכָל מָקוֹם, שניהם tcp אוֹ udp מנות מותרות. מה אם אתה רוצה לאפשר tcp מנות בלבד? לאחר מכן תוכל להוסיף את הפרמטר tcp לאחר נמל מספר. להלן דוגמה עם פלט מדגם.
$ sudo ufw אפשר ssh/tcp לפעולה מ. 22/tcp אפשר בכל מקום. 22/tcp אפשר בכל מקום (v6)
אותם טריקים מיושמים לְהַכּחִישׁ כְּלָל. תגיד שאתה רוצה להכחיש ftp כְּלָל. אז אתה רק צריך להקליד.
$ sudo ufw דוחים ftp לפעולה מ. 21/tcp DENY בכל מקום. 21/tcp DENY Anywhere (v6)
לפעמים יש לנו יציאה מותאמת אישית שאינה עומדת בתקנים כלשהם. נניח שנשנה את ה יציאת ssh על המכונה שלנו מ 22, לתוך 2290. ואז כדי לאפשר יציאה 2290, נוכל להוסיף זאת כך.
$ sudo ufw אפשר לפעול מ. - 2290 אפשר בכל מקום. 2290 אפשר בכל מקום (v6)
אפשר גם להוסיף נמל טווח לתוך הכלל. אם אנחנו רוצים לפתוח יציאה מ 2290 – 2300 עם tcp פרוטוקול, אז הפקודה תהיה כך.
$ sudo ufw אפשר 2290: 2300/tcp לפעולה מ. 2290: 2300/tcp אפשר בכל מקום. 2290: 2300/tcp אפשר בכל מקום (v6)
בעוד אם אתה רוצה להשתמש udp, פשוט השתמש בפקודה הבאה.
$ sudo ufw אפשר 2290: 2300/udp לפעולה מ. 2290: 2300/udp אפשר בכל מקום. 2290: 2300/udp אפשר בכל מקום (v6)
אנא זכור כי עליך לשים 'tcp'או'udp'במפורש אחרת תקבל הודעת שגיאה הדומה להלן.
שגיאה: יש לציין 'tcp' או 'udp' עם מספר יציאות
בעבר הוספנו כללים המבוססים על שֵׁרוּת אוֹ נמל. Ufw גם מאפשר לך להוסיף כללים המבוססים על כתובת ה - IP. להלן פקודת הדוגמא.
$ sudo ufw מאפשר מ- 192.168.0.104
אתה יכול גם להשתמש ב- מסכת רשת משנה להרחבת הטווח.
$ sudo ufw אפשר טופס 192.168.0.0/24 לפעולה מ. - בכל מקום אפשר 192.168.0.104. בכל מקום אפשר 192.168.0.0/24
כפי שאתה יכול לראות, מהפרמטר יגביל רק את מקור החיבור. בעוד היעד - אשר מיוצג על ידי ל טור - הוא בְּכָל מָקוֹם. תוכל גם לנהל את היעד באמצעות 'ל'פרמטר. בואו לראות את המדגם כדי לאפשר גישה אליו נמל 22 (ssh).
$ sudo ufw אפשר לכל יציאה 22
הפקודה לעיל תאפשר גישה מכל מקום ומכל פרוטוקול אל נמל 22.
לכללים ספציפיים יותר, תוכל גם לשלב כתובת IP, נוהל ו נמל. נניח שאנחנו רוצים ליצור כלל המגביל את החיבור רק מ- IP 192.168.0.104, רק פרוטוקול tcp ולנמל 22. אז הפקודה תהיה כמו להלן.
$ sudo ufw אפשר מ- 192.168.0.104 proto tcp לכל פורט 22
תחביר ליצירת כלל הכחשה דומה לכלל אפשר. אתה רק צריך לשנות פרמטר מ להתיר ל לְהַכּחִישׁ.
לפעמים יהיה עליך למחוק את הכלל הקיים שלך. שוב פעם עם ufw קל למחוק כללים. מהמדגם למעלה, יש לך כלל למטה ואתה רוצה למחוק אותו.
לפעולה מ. - 22/tcp אפשר 192.168.0.104. 21/tcp אפשר בכל מקום. 21/tcp אפשר בכל מקום (v6)
ישנן שתי שיטות למחיקת כללים.
הפקודה שלהלן תעשה לִמְחוֹק כללים התואמים שירות ftp. אז ה 21/tcp מה שאומר ftp הפורט יימחק.
$ sudo ufw delete אפשר ftp
אך כאשר ניסית למחוק את הכלל הראשון בדוגמה למעלה באמצעות הפקודה למטה.
$ sudo ufw delete allow ssh או $ sudo ufw delete allow 22/tcp
ייתכן שתמצא הודעת שגיאה כגון.
לא ניתן למחוק כלל שאינו קיים. לא ניתן למחוק כלל שאינו קיים (v6)
אז אתה יכול לעשות את הטריק הזה. כפי שהזכרנו לעיל, תוכל להציג את מספר הכללים כדי לציין איזה כלל אנו רוצים למחוק. בואו נראה לכם את זה.
סטטוס $ sudo ufw ממוספר לפעולה מ. - [1] 22/tcp אפשר 192.168.0.104. [2] 21/tcp אפשר בכל מקום. [3] 21/tcp אפשר בכל מקום (v6)
לאחר מכן תוכל למחוק את הכלל הראשון באמצעות. ללחוץ "y”ימחק את הכלל לצמיתות.
$ sudo ufw delete 1 מחיקה: אפשר מ- 192.168.0.104 לכל יציאה 22 proto tcp. להמשיך בפעולה (y | n)? y
משיטות אלו תראה את ההבדל. שיטה 2 אשאל אישור משתמש לפני מחיקת הכלל בזמן שיטה 1 לא.
במצבים מסוימים, ייתכן שתרצה לִמְחוֹק / אִתחוּל כל החוקים. אתה יכול לעשות זאת על ידי הקלדה.
$ sudo ufw אפס איפוס כל הכללים לברירות מחדל מותקנות. להמשיך בפעולה (y | n)? y
אם תלחץ על "y", לאחר מכן ufw יגבה את כל הכללים הקיימים לפני שתאפס את ה- ufw שלך. איפוס החוקים גם ישבית את חומת האש שלך. עליך להפעיל אותו שוב אם ברצונך להשתמש בו.
כפי שציינתי למעלה, חומת האש ufw יכולה לעשות כל מה ש- iptables יכול לעשות. זה מושג על ידי שימוש בקבוצות כללים שונות, שהן לא יותר מאשר iptables-שחזור קבצי טקסט מתאימים. כוונון עדין של ufw ו/או הצבת פקודות iptables נוספות שאינן מותרות באמצעות הפקודה ufw היא עניין של עריכת מספר קבצי טקסט.
UFW כחזית ל- iptables בוודאי יוצרים ממשק קל למשתמש. המשתמש לא צריך לזכור תחביר iptables מסובך. UFW תשתמש גם 'אנגלית פשוטה'כפרמטר שלו.
להתיר, לְהַכּחִישׁ, אִתחוּל הם אחד מהם. אני מאמין שיש עוד הרבה חזית iptables בחוץ. אבל בהחלט ufw היא אחת החלופות הטובות ביותר עבור משתמשים שרוצים להתקין את חומת האש שלהם במהירות, קלה וכמובן מאובטחת. בבקשה תבקר ufw דף ידני על ידי הקלדה איש ufw לפרטים נוספים.