เนื่องจากคอมพิวเตอร์เชื่อมต่อถึงกัน บริการต่างๆ จึงเติบโตอย่างรวดเร็ว อีเมล, สื่อสังคม, ร้านค้าออนไลน์, แชท จนกระทั่ง การประชุมผ่านเว็บ เป็นบริการที่ผู้ใช้บริการใช้ แต่อีกด้านหนึ่ง การเชื่อมต่อนี้เหมือนกับมีดสองด้าน นอกจากนี้ยังสามารถส่งข้อความที่ไม่ดีไปยังคอมพิวเตอร์เหล่านั้นได้เช่น ไวรัส, มัลแวร์, โทรจัน-apps เป็นหนึ่งในนั้น
อินเทอร์เน็ตเป็นเครือข่ายคอมพิวเตอร์ที่ใหญ่ที่สุดไม่ได้เต็มไปด้วยคนดี เพื่อให้แน่ใจว่าคอมพิวเตอร์/เซิร์ฟเวอร์ของเราปลอดภัย เราจำเป็นต้องป้องกันคอมพิวเตอร์
หนึ่งในองค์ประกอบที่ต้องมีบนคอมพิวเตอร์ / เซิร์ฟเวอร์ของคุณคือ ไฟร์วอลล์. จาก วิกิพีเดียคำจำกัดความคือ:
ในการคำนวณ ไฟร์วอลล์คือซอฟต์แวร์หรือระบบรักษาความปลอดภัยเครือข่ายที่ใช้ฮาร์ดแวร์ที่ควบคุมขาเข้าและขาออก การรับส่งข้อมูลเครือข่ายโดยการวิเคราะห์แพ็กเก็ตข้อมูลและพิจารณาว่าควรอนุญาตผ่านหรือไม่ ตามการใช้งาน กฎที่ตั้งไว้
Iptables เป็นหนึ่งในไฟร์วอลล์ที่เซิร์ฟเวอร์ใช้กันอย่างแพร่หลาย เป็นโปรแกรมที่ใช้จัดการทราฟฟิกขาเข้าและขาออกในเซิร์ฟเวอร์ตามกฎชุดหนึ่ง โดยทั่วไป เฉพาะการเชื่อมต่อที่เชื่อถือได้เท่านั้นที่ได้รับอนุญาตให้เข้าสู่เซิร์ฟเวอร์ แต่
IPTables ทำงานในโหมดคอนโซลและซับซ้อน ผู้ที่คุ้นเคยกับกฎและคำสั่ง iptables พวกเขาสามารถอ่านบทความต่อไปนี้ที่อธิบายวิธีใช้ไฟร์วอลล์ iptablesเพื่อลดความซับซ้อนของวิธีการตั้งค่า IPTables,มีจำนวนมากของด้านหน้า. หากคุณกำลังวิ่ง อูบุนตู ลินุกซ์ คุณจะพบ ufw เป็นเครื่องมือไฟร์วอลล์เริ่มต้น มาเริ่มสำรวจกันเลยดีกว่า ufw ไฟร์วอลล์
NS ufw (ไฟร์วอลล์ที่ไม่ซับซ้อน) เป็นส่วนหน้าสำหรับใช้กันอย่างแพร่หลายมากที่สุด ไฟร์วอลล์ iptables และสะดวกสบายสำหรับไฟร์วอลล์ที่ใช้โฮสต์ ufw ให้กรอบสำหรับการจัดการ netfilterรวมทั้งมีอินเทอร์เฟซบรรทัดคำสั่งสำหรับควบคุมไฟร์วอลล์ มันให้อินเทอร์เฟซที่เป็นมิตรต่อผู้ใช้และใช้งานง่ายสำหรับมือใหม่ Linux ที่ไม่คุ้นเคยกับแนวคิดไฟร์วอลล์มากนัก
ในขณะที่ในอีกด้านหนึ่ง คำสั่งที่ซับซ้อนเหมือนกันจะช่วยให้ผู้ดูแลระบบตั้งกฎที่ซับซ้อนโดยใช้อินเทอร์เฟซบรรทัดคำสั่ง NS ufw เป็นต้นน้ำสำหรับการกระจายอื่น ๆ เช่น เดเบียน, อูบุนตู และ Linux Mint.
ก่อนอื่นให้ตรวจสอบว่า ufw ติดตั้งโดยใช้คำสั่งต่อไปนี้
$ sudo dpkg --get-selections | grep ufw ufw ติดตั้ง
หากยังไม่ได้ติดตั้ง คุณสามารถติดตั้งโดยใช้ ฉลาด คำสั่งตามที่แสดงด้านล่าง
$ sudo apt-get ติดตั้ง ufw
ก่อนใช้ควรตรวจสอบว่า ufw กำลังทำงานอยู่หรือไม่ ใช้คำสั่งต่อไปนี้เพื่อตรวจสอบ
$ sudo ufw สถานะ
หากคุณพบสถานะ: ไม่ได้ใช้งานหมายความว่าไม่ได้ใช้งานหรือปิดใช้งาน
ใหม่! ebook ที่ขาดไม่ได้สำหรับผู้ดูแลระบบ Linux ทุกคน!
ดาวน์โหลดฟรี 696 หน้า eBook
หากต้องการเปิดใช้งาน คุณเพียงแค่พิมพ์คำสั่งต่อไปนี้ที่เทอร์มินัล
$ sudo ufw enable Firewall เปิดใช้งานและเปิดใช้งานเมื่อเริ่มต้นระบบ
หากต้องการปิดใช้งานเพียงพิมพ์
$ sudo ufw ปิดการใช้งาน
หลังจากเปิดใช้งานไฟร์วอลล์แล้ว คุณสามารถเพิ่มกฎของคุณเข้าไปได้ หากคุณต้องการดูว่ากฎเริ่มต้นคืออะไร คุณสามารถพิมพ์ได้
$ sudo ufw สถานะ verbose
สถานะ: ใช้งานอยู่ กำลังบันทึก: เปิด (ต่ำ) ค่าเริ่มต้น: ปฏิเสธ (ขาเข้า) อนุญาต (ขาออก) โปรไฟล์ใหม่: ข้าม $
อย่างที่คุณเห็น โดยค่าเริ่มต้น ทุกการเชื่อมต่อขาเข้าจะถูกปฏิเสธ หากคุณต้องการรีโมตเครื่องของคุณ คุณต้องอนุญาตพอร์ตที่เหมาะสม ตัวอย่างเช่นคุณต้องการอนุญาต ssh การเชื่อมต่อ. นี่คือคำสั่งที่จะอนุญาต
$ sudo ufw อนุญาต ssh [sudo] รหัสผ่านสำหรับ pungki: เพิ่มกฎแล้ว เพิ่มกฎ (v6) $
หากคุณตรวจสอบสถานะอีกครั้ง คุณจะเห็นผลลัพธ์เช่นนี้
$ sudo ufw สถานะ To Action From - 22 อนุญาตทุกที่ 22 อนุญาตทุกที่ (v6)
หากคุณมีกฎจำนวนมาก และต้องการใส่ตัวเลขในทุกกฎทันที ให้ใช้พารามิเตอร์ที่มีหมายเลข
$ sudo ufw สถานะหมายเลข To Action From [1] 22 อนุญาตทุกที่ [2] 22 อนุญาตทุกที่ (v6)
กฎข้อแรกบอกว่าการเชื่อมต่อขาเข้ากับ พอร์ต 22 จาก ที่ไหนก็ได้, ทั้งสอง tcp หรือ udp แพ็กเก็ตได้รับอนุญาต จะทำอย่างไรถ้าคุณต้องการอนุญาต tcp แพ็คเก็ตเท่านั้น? จากนั้นคุณสามารถเพิ่มพารามิเตอร์ tcp หลังจาก ท่า ตัวเลข. นี่คือตัวอย่างพร้อมเอาต์พุตตัวอย่าง
$ sudo ufw อนุญาตให้ ssh/tcp To Action From 22/tcp อนุญาตทุกที่ 22/tcp อนุญาตทุกที่ (v6)
เทคนิคเดียวกันกับ ปฏิเสธ กฎ. ให้บอกว่าคุณต้องการ ปฏิเสธ ftp กฎ. ดังนั้นคุณต้องพิมพ์เท่านั้น
$ sudo ufw ปฏิเสธ ftp To Action From 21/tcp ปฏิเสธทุกที่ 21/tcp ปฏิเสธทุกที่ (v6)
บางครั้งเรามีพอร์ตแบบกำหนดเองที่ไม่เป็นไปตามมาตรฐานใดๆ สมมุติว่าเราเปลี่ยน พอร์ต ssh บนเครื่องของเราจาก 22, เข้าไปข้างใน 2290. จากนั้นให้อนุญาต port 2290, เราเพิ่มได้แบบนี้
$ sudo ufw อนุญาตให้ดำเนินการจาก -- 2290 อนุญาตทุกที่ 2290 อนุญาตทุกที่ (v6)
คุณสามารถเพิ่ม ช่วงพอร์ต เข้าไปในกฎ หากเราต้องการเปิดพอร์ตจาก 2290 – 2300 กับ tcp protocol แล้วคำสั่งจะเป็นแบบนี้
$ sudo ufw allow 2290:2300/tcp To Action From. 2290:2300/tcp อนุญาตทุกที่ 2290:2300/tcp อนุญาตทุกที่ (v6)
ในขณะที่ถ้าคุณต้องการใช้ udpเพียงใช้คำสั่งต่อไปนี้
$ sudo ufw allow 2290:2300/udp To Action From. 2290:2300/udp อนุญาตทุกที่ 2290:2300/udp อนุญาตทุกที่ (v6)
โปรดจำไว้ว่าคุณต้องใส่ 'tcp' หรือ 'udp’ ไม่เช่นนั้น คุณจะได้รับข้อความแสดงข้อผิดพลาดดังตัวอย่างด้านล่างอย่างชัดเจน
ข้อผิดพลาด: ต้องระบุ 'tcp' หรือ 'udp' ด้วยหลายพอร์ต
ก่อนหน้านี้เราได้เพิ่มกฎตาม บริการ หรือ ท่า. Ufw ยังอนุญาตให้คุณเพิ่มกฎตาม ที่อยู่ IP. นี่คือตัวอย่างคำสั่ง
$ sudo ufw อนุญาตจาก 192.168.0.104
คุณยังสามารถใช้ a ซับเน็ตมาสก์ เพื่อขยายขอบเขตให้กว้างขึ้น
$ sudo ufw อนุญาตแบบฟอร์ม 192.168.0.0/24 เพื่อดำเนินการจาก -- ทุกที่ อนุญาต 192.168.0.104 ทุกที่ อนุญาต 192.168.0.0/24
อย่างที่คุณเห็น จากพารามิเตอร์จะจำกัดแหล่งที่มาของการเชื่อมต่อเท่านั้น ในขณะที่ปลายทาง – ซึ่งแสดงโดย ถึง คอลัมน์ – is ที่ไหนก็ได้. คุณยังสามารถจัดการปลายทางโดยใช้ 'ถึง' พารามิเตอร์ มาดูตัวอย่างเพื่ออนุญาตให้เข้าถึง พอร์ต 22 (ssh).
$ sudo ufw อนุญาตให้พอร์ตใด ๆ 22
คำสั่งดังกล่าวจะอนุญาตให้เข้าถึงได้จากทุกที่และจากโปรโตคอลใดๆ ถึง พอร์ต 22.
สำหรับกฎที่เฉพาะเจาะจงมากขึ้น คุณยังสามารถรวมที่อยู่ IP มาตรการ และ ท่า. สมมติว่าเราต้องการสร้างกฎที่จำกัดการเชื่อมต่อจาก IP 192.168.0.104 เท่านั้น โปรโตคอลเท่านั้น tcp และไปยังท่าเรือ 22. จากนั้นคำสั่งจะเป็นดังนี้
$ sudo ufw อนุญาตจาก 192.168.0.104 proto tcp ไปยังพอร์ตใด ๆ 22
ไวยากรณ์ในการสร้างกฎการปฏิเสธจะคล้ายกับกฎการอนุญาต คุณต้องเปลี่ยนพารามิเตอร์จาก .เท่านั้น อนุญาต ถึง ปฏิเสธ.
บางครั้งคุณอาจต้องลบกฎที่มีอยู่ อีกครั้งกับ ufw ง่ายต่อการลบกฎ จากตัวอย่างด้านบน คุณมีกฎด้านล่างและต้องการลบออก
เพื่อดำเนินการจาก -- 22/tcp อนุญาต 192.168.0.104 21/tcp อนุญาตทุกที่ 21/tcp อนุญาตทุกที่ (v6)
การลบกฎมีสองวิธี
คำสั่งด้านล่างจะ ลบ กฎที่ตรงกับบริการ ftp. ดังนั้น 21/tcp ซึ่งหมายความว่า ftp พอร์ตจะถูกลบ
$ sudo ufw ลบ อนุญาต ftp
แต่เมื่อคุณพยายามลบกฎข้อแรกในตัวอย่างข้างต้นโดยใช้คำสั่งด้านล่าง
$ sudo ufw delete allow ssh หรือ $ sudo ufw delete allow 22/tcp
คุณอาจพบข้อความแสดงข้อผิดพลาดเช่น
ไม่สามารถลบกฎที่ไม่มีอยู่ ไม่สามารถลบกฎที่ไม่มีอยู่ (v6)
จากนั้นคุณก็ทำเคล็ดลับนี้ได้ ดังที่เราได้กล่าวไว้ข้างต้น คุณสามารถแสดงจำนวนกฎเพื่อระบุว่าเราต้องการลบกฎใด ให้เราแสดงให้คุณเห็น
$ sudo ufw สถานะหมายเลข To Action From -- [1] 22/tcp อนุญาต 192.168.0.104. [2] 21/tcp อนุญาตทุกที่ [3] 21/tcp อนุญาตทุกที่ (v6)
จากนั้นคุณสามารถลบกฎข้อแรกได้โดยใช้ กด "y” จะลบกฎอย่างถาวร
$ sudo ufw delete 1 การลบ: อนุญาตจาก 192.168.0.104 ไปยังพอร์ตใด ๆ 22 proto tcp ดำเนินการต่อไป (y|n)? y
จากวิธีการเหล่านั้น คุณจะเห็นความแตกต่าง วิธีที่ 2 จะถาม การยืนยันผู้ใช้ ก่อนลบกฎในขณะที่ วิธีที่ 1 ไม่ใช่.
ในบางสถานการณ์คุณอาจต้องการ ลบ / รีเซ็ต กฎทั้งหมด คุณสามารถทำได้โดยการพิมพ์
$ sudo ufw reset การรีเซ็ตกฎทั้งหมดเป็นค่าเริ่มต้นที่ติดตั้งไว้ ดำเนินการต่อไป (y|n)? y
หากคุณกด “y", แล้ว ufw จะสำรองข้อมูลกฎที่มีอยู่ทั้งหมดก่อนที่จะทำการรีเซ็ต ufw ของคุณ การรีเซ็ตกฎจะปิดใช้งานไฟร์วอลล์ของคุณด้วย คุณต้องเปิดใช้งานอีกครั้งหากต้องการใช้งาน
ดังที่ฉันได้กล่าวไว้ข้างต้น ufw firewall สามารถทำทุกอย่างที่ iptables สามารถทำได้ ทำได้โดยใช้ไฟล์กฎชุดต่างๆ ซึ่งไม่มีอะไรมากไปกว่า iptables-restore ไฟล์ข้อความที่เหมาะสม การปรับแต่ง ufw และ/หรือการวางคำสั่ง iptables เพิ่มเติมไม่ได้รับอนุญาตผ่านคำสั่ง ufw เป็นเรื่องของการแก้ไขไฟล์ข้อความหลายไฟล์
UFW ในฐานะส่วนหน้าของ iptables ทำให้อินเทอร์เฟซสำหรับผู้ใช้เป็นเรื่องง่าย ผู้ใช้ไม่จำเป็นต้องจำไวยากรณ์ iptables ที่ซับซ้อน UFW ยังใช้'ภาษาอังกฤษธรรมดา' เป็นพารามิเตอร์
อนุญาต, ปฏิเสธ, รีเซ็ต เป็นหนึ่งในนั้น ฉันเชื่อว่ามี iptables ส่วนหน้าอีกมากมาย แต่แน่นอนว่า ufw เป็นหนึ่งในทางเลือกที่ดีที่สุดสำหรับผู้ใช้ที่ต้องการติดตั้งไฟร์วอลล์ของตนอย่างรวดเร็ว ง่ายดาย และปลอดภัยแน่นอน กรุณาเยี่ยมชม หน้าคู่มือ ufw โดยการพิมพ์ ผู้ชาย ufw สำหรับรายละเอียดเพิ่มเติม