Un firewall care funcționează corect este cea mai importantă parte a securității complete a sistemului Linux. În mod implicit, distribuția Debian și Ubuntu vine cu un instrument de configurare firewall numit UFW (Firewall necomplicat), este cel mai popular și ușor de utilizat instrument de linie de comandă pentru configurarea și gestionarea unui firewall Ubuntu și Debian distribuții.
În acest articol, vom explica cum să instalați și să configurați un UFW firewall activat Ubuntu și Debian distribuții.
Înainte de a începe cu acest articol, asigurați-vă că v-ați conectat la serverul Ubuntu sau Debian cu sudo user sau cu contul root. Dacă nu aveți un utilizator sudo, puteți crea unul folosind următoarele instrucțiuni ca utilizator root.
# adduser nume de utilizator. # usermod -aG sudo username # su - nume de utilizator. $ sudo whoami.
UFW (Firewall necomplicat) ar trebui să fie instalat implicit în Ubuntu și Debian, dacă nu, instalați-l folosind Manager de pachete APT folosind următoarea comandă.
$ sudo apt instalează ufw.
Odată ce instalarea este finalizată, puteți verifica starea UFW tastând.
$ sudo ufw status verbose.
La prima instalare, paravanul de protecție UFW este dezactivat în mod implicit, ieșirea va fi similară cu cea de mai jos.
Stare: inactiv
Puteți activa sau activa paravanul de protecție UFW utilizând următoarea comandă, care ar trebui să încarce paravanul de protecție și să-l permită să pornească la pornire.
$ sudo ufw activate.
Pentru a dezactiva paravanul de protecție UFW, utilizați următoarea comandă, care descarcă paravanul de protecție și îl dezactivează de la pornire la pornire.
$ sudo ufw dezactivează
În mod implicit, paravanul de protecție UFW neagă fiecare conexiune primită și permite numai toate conexiunile de ieșire către server. Aceasta înseamnă că nimeni nu vă poate accesa serverul, decât dacă deschideți portul în mod specific, în timp ce toate serviciile sau aplicațiile care rulează pe serverul dvs. pot accesa rețeaua externă.
Politicile implicite de firewall UFW sunt plasate în /etc/default/ufw
fișier și poate fi modificat folosind următoarea comandă.
$ sudo ufw implicit refuză intrarea. $ sudo ufw implicit permite ieșirea.
Când instalați un pachet software utilizând APT manager de pachete, acesta va include un profil de aplicație în /etc/ufw/applications.d
director care definește serviciul și menține setările UFW.
Puteți lista toate profilurile de aplicații disponibile pe serverul dvs. utilizând următoarea comandă.
Lista de aplicații $ sudo ufw.
În funcție de instalarea pachetelor software pe sistemul dvs., ieșirea va arăta similar cu următoarele:
Aplicații disponibile: APACHE APACHE Full APACHE SECURE CUPS OpenSSH Postfix Postfix SMTPS Postfix Submission.
Dacă doriți să obțineți mai multe informații despre un anumit profil și reguli definite, puteți utiliza următoarea comandă.
$ sudo ufw informații despre aplicație „Apache”
Profil: Apache. Titlu: Server web Descriere: Apache V2 este următoarea generație a omniprezentului server web Apache. Porturi: 80 / tcp.
Dacă serverul dvs. este configurat cu IPv6, asigurați-vă că UFW este configurat cu IPv6 și IPv4 a sustine. Pentru a-l verifica, deschideți fișierul de configurare UFW folosind editorul preferat.
$ sudo vi / etc / default / ufw.
Atunci asigurați-vă „IPV6” este setat sa "da"
în fișierul de configurare așa cum se arată.
IPV6 = da.
Salvează și închide. Apoi reporniți paravanul de protecție cu următoarele comenzi:
$ sudo ufw dezactivează. $ sudo ufw activate.
Dacă ați activat firewall-ul UFW până acum, acesta va bloca toate conexiunile primite și dacă sunteți conectat la serverul dvs. prin SSH dintr-o locație la distanță, nu îl veți mai putea conecta din nou.
Să activăm conexiunile SSH la serverul nostru pentru a opri acest lucru, utilizând următoarea comandă:
$ sudo ufw permite ssh.
Dacă utilizați port SSH personalizat (de exemplu port 2222), atunci trebuie să deschideți acel port pe firewall-ul UFW folosind următoarea comandă.
$ sudo ufw permit 2222 / tcp.
Pentru a bloca toate conexiunile SSH, tastați următoarea comandă.
$ sudo ufw refuza ssh / tcp. $ sudo ufw deny 2222 / tcp [Dacă utilizați port SSH personalizat]
De asemenea, puteți deschide un anumit port din firewall pentru a permite conexiuni prin intermediul acestuia la un anumit serviciu. De exemplu, dacă doriți să configurați un server web care ascultă pe port 80 (HTTP) și 443 (HTTPS) în mod implicit.
Mai jos sunt câteva exemple despre cum să permiteți conexiunile primite la serviciile Apache.
$ sudo ufw permit http [După numele serviciului] $ sudo ufw permit 80 / tcp [După numărul portului] $ sudo ufw permit „Apache” [După profilul aplicației]
$ sudo ufw permite https. $ sudo ufw permite 443 / tcp. $ sudo ufw permite „Apache Secure”
Presupunând că aveți câteva aplicații pe care doriți să le rulați pe o serie de porturi (5000-5003), puteți adăuga toate aceste porturi utilizând următoarele comenzi.
sudo ufw permit 5000: 5003 / tcp. sudo ufw permit 5000: 5003 / udp.
Dacă doriți să permiteți conexiuni pe toate porturile de la o anumită adresă IP 192.168.56.1, atunci trebuie să specificați înainte de adresa IP.
$ sudo ufw permit de la 192.168.56.1.
Pentru a permite conectarea la un anumit port (de exemplu port 22) de pe mașina dvs. de domiciliu cu adresa IP de 192.168.56.1, atunci trebuie să adăugați orice port si numarul portului după adresa IP așa cum se arată.
$ sudo ufw permite de la 192.168.56.1 la orice port 22.
Pentru a permite conexiuni pentru anumite adrese IP de la 192.168.1.1 la 192.168.1.254 la port 22 (SSH), executați următoarea comandă.
$ sudo ufw permite de la 192.168.1.0/24 la orice port 22.
Pentru a permite conexiuni la o anumită interfață de rețea eth2 pentru un anumit port 22 (SSH), executați următoarea comandă.
$ sudo ufw permite accesul pe eth2 la orice port 22.
În mod implicit, toate conexiunile primite sunt blocate, cu excepția cazului în care ați deschis conexiunea în mod special pe UFW. De exemplu, ați deschis porturile 80 și 443 iar serverul dvs. web este atacat din rețeaua necunoscută 11.12.13.0/24.
Pentru a bloca toate conexiunile din acest anume 11.12.13.0/24 gama de rețea, puteți utiliza următoarea comandă.
$ sudo ufw refuza din 11.12.13.0/24.
Dacă doriți doar să blocați conexiunile pe porturi 80 și 443, puteți utiliza următoarele comenzi.
$ sudo ufw refuza de la 11.12.13.0/24 la orice port 80. $ sudo ufw refuza de la 11.12.13.0/24 la orice port 443.
Există 2 moduri de a șterge regulile UFW, prin numărul regulii și prin regula actuală.
Pentru a șterge regulile UFW utilizând numărul regulii, mai întâi trebuie să listați regulile prin numere folosind următoarea comandă.
Starea $ sudo ufw numerotată.
Stare: activ La acțiune de la - [1] 22 / tcp ALLOW IN Anywhere. [2] 80 / tcp ALLOW IN Anywhere.
Pentru a șterge numărul regulii 1, utilizați următoarea comandă.
$ sudo ufw șterge 1.
A doua metodă este de a șterge o regulă utilizând regula actuală, de exemplu pentru a șterge o regulă, specificați numărul portului cu protocolul așa cum se arată.
$ sudo ufw delete permite 22 / tcp.
Puteți rula orice comenzi ufw fără a efectua modificări în firewall-ul sistemului folosind --funcție uscată
pavilion, aceasta arată pur și simplu schimbările care se presupun că se vor întâmpla.
$ sudo ufw - activare la rularea uscată.
Dintr-un motiv sau altul, dacă doriți să ștergeți / resetați toate regulile firewall-ului, tastați următoarele comenzi, acesta va reveni la toate modificările dvs. și va începe din nou.
$ sudo ufw reset. starea $ sudo ufw.
UFW firewall-ul poate reuși să facă orice face iptables. Acest lucru se poate face cu diferite seturi de fișiere de reguli, care nu sunt altceva decât simple iptables-restaurare fișiere text.
Reglarea firewall-ului UFW sau adăugarea de comenzi iptables suplimentare nu sunt permise prin comanda ufw, este doar o problemă de modificare a fișierelor text următoare
Asta e! UFW este un front-end excelent pentru iptables cu o interfață ușor de utilizat pentru a defini reguli complexe cu o singură comandă ufw.
Dacă aveți întrebări sau gânduri de împărtășit despre acest articol ufw, utilizați formularul de comentarii de mai jos pentru a ne contacta.