Поскольку компьютеры связаны друг с другом, услуги быстро развиваются. Электронное письмо, Социальные медиа, Онлайн магазин, Чат до тех пор Веб-конференции - это сервисы, которые использует пользователь. Но, с другой стороны, это соединение просто как двусторонний нож. Также на эти компьютеры можно отправлять плохие сообщения, например Вирус, вредоносное ПО, троянские приложения являются одним из них.
Интернет, как самая большая компьютерная сеть, не всегда заполняется хорошими людьми. Чтобы убедиться, что наши компьютеры / серверы безопасны, нам необходимо защитить их.
Один из обязательных компонентов на вашем компьютере / сервере - это Брандмауэр. Из Википедия, определение:
В вычислительной технике брандмауэр - это программная или аппаратная система сетевой безопасности, которая контролирует входящие и исходящие сообщения. сетевой трафик, анализируя пакеты данных и определяя, следует ли их пропускать или нет, на основе применяемых набор правил.
Iptables один из брандмауэров, широко используемых серверами. Это программа, используемая для управления входящим и исходящим трафиком на сервере на основе набора правил. Как правило, доступ к серверу разрешен только доверенному соединению. Но
IPTables работает в консольном режиме, и это сложно. Те, кто знаком с правилами и командами iptables, могут прочитать следующую статью, в которой описывается, как использовать брандмауэр iptables.Чтобы упростить настройку IPTables, много фронтовиков. Если ты бежишь Ubuntu Linux, вы найдете ufw как инструмент брандмауэра по умолчанию. Давайте начнем изучать ufw брандмауэр.
В ufw (Несложный брандмауэр) - это интерфейс для наиболее широко используемых брандмауэр iptables и это очень удобно для межсетевых экранов на основе хоста. ufw дает основу для управления сетевой фильтр, а также предоставляет интерфейс командной строки для управления брандмауэром. Он предоставляет удобный и простой в использовании интерфейс для новичков в Linux, которые мало знакомы с концепциями межсетевых экранов.
С другой стороны, такие же сложные команды помогают администраторам устанавливать сложные правила с помощью интерфейса командной строки. В ufw является апстримом для других дистрибутивов, таких как Debian, Ubuntu и Linux Mint.
Сначала проверьте, есть ли ufw устанавливается с помощью следующей команды.
$ sudo dpkg --get-selections | grep ufw ufw установить
Если он не установлен, вы можете установить его с помощью подходящий как показано ниже.
$ sudo apt-get install ufw
Перед использованием следует проверить, есть ли ufw работает или нет. Используйте следующую команду, чтобы проверить это.
$ sudo ufw статус
Если вы нашли статус: неактивный, это означает, что он не активен или отключен.
НОВЫЙ! Незаменимая электронная книга для каждого администратора Linux!
Скачать бесплатную электронную книгу на 696 страницах
Чтобы включить его, вам просто нужно ввести следующую команду в терминале.
$ sudo ufw enable Брандмауэр активен и включается при запуске системы
Чтобы отключить его, просто введите.
$ sudo ufw отключить
После активации межсетевого экрана вы можете добавить в него свои правила. Если вы хотите узнать, какие правила установлены по умолчанию, вы можете ввести.
$ sudo ufw статус подробный
Статус: активен. Ведение журнала: включено (низкое) По умолчанию: запретить (входящий), разрешить (исходящий) Новые профили: пропустить. $
Как видите, по умолчанию все входящие соединения запрещены. Если вы хотите удалить свою машину, вы должны разрешить правильный порт. Например, вы хотите разрешить ssh связь. Вот команда, позволяющая это сделать.
$ sudo ufw allow ssh [sudo] password for pungki: Правило добавлено. Правило добавлено (v6) $
Если вы проверите статус еще раз, вы увидите такой вывод.
$ sudo ufw status To Action From. - 22 РАЗРЕШИТЬ В любом месте. 22 РАЗРЕШИТЬ В любом месте (v6)
Если у вас много правил и вы хотите на лету ставить числа в каждое правило, используйте параметр с номером.
Статус $ sudo ufw пронумерован To Action From. [1] 22 РАЗРЕШИТЬ везде. [2] 22 РАЗРЕШИТЬ В любом месте (v6)
Первое правило гласит, что входящее соединение с порт 22 из Где угодно, оба TCP или udp пакеты разрешены. Что, если вы хотите разрешить TCP только пакет? Затем вы можете добавить параметр TCP после порт номер. Вот пример с образцом вывода.
$ sudo ufw позволяет ssh / tcp выполнять действия из. 22 / tcp РАЗРЕШИТЬ В любом месте. 22 / tcp РАЗРЕШИТЬ Anywhere (v6)
Те же уловки применяются к Отрицать правило. Допустим, вы хотите запретить ftp правило. Так что вам нужно только ввести.
$ sudo ufw deny ftp To Action From. 21 / tcp DENY Anywhere. 21 / tcp ОТКАЗАТЬ В любом месте (v6)
Иногда у нас есть собственный порт, который не соответствует каким-либо стандартам. Допустим, мы меняем ssh порт на нашей машине из 22, в 2290. Затем разрешить порт 2290, мы можем добавить это так.
$ sudo ufw разрешить действие от. - 2290 РАЗРЕШИТЬ В любом месте. 2290 РАЗРЕШИТЬ В любом месте (v6)
Вы также можете добавить диапазон портов в правило. Если мы хотим открыть порт из 2290 – 2300 с TCP протокол, то команда будет такой.
$ sudo ufw allow 2290: 2300 / tcp To Action From. 2290: 2300 / tcp ALLOW Anywhere. 2290: 2300 / tcp РАЗРЕШИТЬ Anywhere (v6)
а если вы хотите использовать udp, просто используйте следующую команду.
$ sudo ufw allow 2290: 2300 / udp To Action From. 2290: 2300 / udp ALLOW Anywhere. 2290: 2300 / UDP РАЗРЕШИТЬ Anywhere (v6)
Пожалуйста, помните, что вы должны поставить "TCP' или 'udp’, Иначе вы получите сообщение об ошибке, подобное приведенному ниже.
ОШИБКА: необходимо указать "tcp" или "udp" с несколькими портами.
Ранее мы добавляли правила на основе служба или порт. Ufw также позволяет добавлять правила на основе Айпи адрес. Вот пример команды.
$ sudo ufw разрешить с 192.168.0.104
Вы также можете использовать маска подсети чтобы расширить диапазон.
$ sudo ufw разрешить форму 192.168.0.0/24 К действию из. - Везде РАЗРЕШИТЬ 192.168.0.104. Везде РАЗРЕШИТЬ 192.168.0.0/24
Как видите, параметр from ограничивает только источник подключения. В то время как пункт назначения - который представлен К столбец - это Где угодно. Вы также можете управлять пунктом назначения с помощью ‘К‘Параметр. Давайте посмотрим на образец, чтобы разрешить доступ к порт 22 (ssh).
$ sudo ufw разрешить любой порт 22
Вышеупомянутая команда разрешит доступ из любого места и с любого протокола к порт 22.
Для более конкретных правил вы также можете объединить IP-адрес, протокол и порт. Допустим, мы хотим создать правило, которое ограничивает подключение только с IP 192.168.0.104, только протокол TCP и портировать 22. Тогда команда будет такой, как показано ниже.
$ sudo ufw разрешить протокол 192.168.0.104 proto tcp на любой порт 22
Синтаксис для создания запрещающего правила аналогичен разрешающему правилу. Вам нужно только изменить параметр с разрешать к Отрицать.
Иногда вам может потребоваться удалить существующее правило. Еще раз с ufw правила легко удалить. В приведенном выше примере у вас есть правило ниже, и вы хотите его удалить.
К действию от. - 22 / tcp РАЗРЕШИТЬ 192.168.0.104. 21 / tcp РАЗРЕШИТЬ везде. 21 / tcp РАЗРЕШИТЬ Anywhere (v6)
Есть два метода удаления правил.
Следующая команда будет Удалить правила, соответствующие сервису ftp. Так что 21/TCP что означает ftp порт будет удален.
$ sudo ufw удалить разрешить ftp
Но когда вы попытались удалить первое правило в приведенном выше примере, используя команду ниже.
$ sudo ufw delete allow ssh или $ sudo ufw delete allow 22 / tcp
Вы можете найти сообщение об ошибке, например.
Не удалось удалить несуществующее правило. Не удалось удалить несуществующее правило (v6)
Тогда ты сможешь проделать этот трюк. Как мы упоминали выше, вы можете показать номер правила, чтобы указать, какое правило мы хотим удалить. Пусть мы вам это покажем.
Статус $ sudo ufw пронумерован To Action From. - [1] 22 / tcp РАЗРЕШИТЬ 192.168.0.104. [2] 21 / tcp ALLOW Anywhere. [3] 21 / tcp РАЗРЕШИТЬ Anywhere (v6)
Затем вы можете удалить первое правило, используя. Нажимать "у»Навсегда удалит правило.
$ sudo ufw delete 1 Удаление: разрешить с 192.168.0.104 на любой порт 22 proto tcp. Продолжить операцию (y | n)? у
Вы увидите разницу в этих методах. Способ 2 спрошу подтверждение пользователя перед удалением правила пока способ 1 не является.
В некоторых ситуациях вы можете захотеть Удалить / перезагрузить все норм. Вы можете сделать это, набрав.
$ sudo ufw reset Сброс всех правил до установленных по умолчанию. Продолжить операцию (y | n)? у
Если вы нажмете «у", потом ufw создаст резервную копию всех существующих правил перед сбросом файла ufw. Сброс правил также отключит ваш брандмауэр. Вам нужно снова включить его, если вы хотите его использовать.
Как я уже говорил выше, брандмауэр ufw может делать все, что могут делать iptables. Это достигается за счет использования различных наборов файлов правил, которые являются не чем иным, как iptables-восстановление соответствующие текстовые файлы. Тонкая настройка ufw и / или размещение дополнительных команд iptables, запрещенных с помощью команды ufw, - это вопрос редактирования нескольких текстовых файлов.
UFW в качестве интерфейса к iptables, несомненно, сделает интерфейс простым для пользователя. Пользователю не нужно запоминать сложный синтаксис iptables. UFW также используйте ‘простой английский‘Как его параметр.
Разрешать, Отрицать, перезагрузить являются одним из них. Я считаю, что существует гораздо больше интерфейсов для iptables. Но определенно ufw - одна из лучших альтернатив для пользователей, которые хотят быстро, легко и, конечно, безопасно настроить свой брандмауэр. Пожалуйста, посетите страница руководства ufw набрав человек ufw для более подробной информации.
