Jak zainstalować i skonfigurować UFW - niekompletna zapora ogniowa w Debian/Ubuntu

Ponieważ komputery są ze sobą połączone, usługi szybko rosną. E-mail, Media społecznościowe, Sklep internetowy, Czat dopóki Konferencje internetowe to usługi używane przez użytkownika. Ale z drugiej strony ta łączność po prostu lubi nóż dwupoziomowy. Możliwe jest również wysyłanie złych wiadomości do tych komputerów Wirus, złośliwe oprogramowanie, Trojan-Apps są jednym z nich.

Internet, ponieważ największa sieć komputerowa nie zawsze jest wypełniona dobrymi ludźmi. Aby upewnić się, że nasze komputery / serwery są bezpieczne, musimy je chronić.

Jednym z komponentów na komputerze / serwerach jest Zapora. Z Wikipedia, Definicja to:

W obliczeniach zapora to oprogramowanie lub sprzętowy system bezpieczeństwa sieci, który kontroluje przychodzący i wychodzący ruch sieciowy poprzez analizę pakietów danych i określenie, czy powinny być dozwolone, czy nie, na podstawie zastosowanych zestawów reguł.

Iptables jest jedną z zapory, która szeroko stosowana przez serwery. Jest to program używany do zarządzania ruchem przychodzącym i wychodzącym na serwerze na podstawie zestawu reguł. Ogólnie rzecz biorąc, tylko zaufane połączenie może wprowadzić serwer. Ale Iptables działa w trybie konsoli i jest to skomplikowane. Ci, którzy znają reguły i polecenia IPTABLES, mogą przeczytać następujący artykuł opisujący, jak korzystać z zapory iptable.

1. Podstawowy przewodnik IPTables (Linux Firewall)

Instalacja zapory ogniowej UFW w Debian/Ubuntu

Aby zmniejszyć złożoność ustawienia Iptables, Jest dużo frontu. Jeśli biegasz Ubuntu Linux, znajdziesz UFW Jako domyślne narzędzie zapory. Zacznijmy odkrywać UFW Zapora.

Co to jest UFW

UFW (Nieskomplikowana zapora ogniowa) to frontend dla najczęściej używanych Firewall iptables I jest dobrze wygodne dla zapór opartych na gospodarzach. UFW daje ramy do zarządzania Netfilter, a także zapewnia interfejs wiersza poleceń do kontrolowania zapory. Zapewnia przyjazne dla użytkownika i łatwe w użyciu interfejs dla nowicjusz.

Podczas gdy po drugiej stronie te same skomplikowane polecenia pomagają administratorom ustawić skomplikowane reguły za pomocą interfejsu wiersza poleceń. UFW jest upstream dla innych dystrybucji, takich jak Debian, Ubuntu I Linux Mint.

Podstawowe użycie UFW

Najpierw sprawdź, czy UFW jest instalowany za pomocą następującego polecenia.

$ sudo dpkg-Get-Selections | GREP UFW UFW instalacja

Jeśli nie jest zainstalowany, możesz go zainstalować za pomocą trafny polecenie, jak pokazano poniżej.

$ sudo apt-get instaluj UFW

Przed użyciem należy sprawdzić, czy UFW działa czy nie. Użyj następującego polecenia, aby to sprawdzić.

Status $ sudo UFW

Jeśli znalazłeś status: nieaktywny, oznacza to, że nie jest aktywny ani wyłącza.

NOWY! Niezbędny ebook dla każdego administratora Linuksa!

Pobierz bezpłatny ebook 696

Włączanie / wyłączanie UFW

Aby to włączyć, wystarczy wpisać następujące polecenie na terminalu.

$ sudo ufw enable Firewall jest aktywna i włączona na uruchamianie systemu

Aby to wyłączyć, po prostu wpisz.

$ sudo ufw wyłącz

Wypisz aktualne zasady UFW

Po aktywowaniu zapory możesz dodać do niej swoje zasady. Jeśli chcesz zobaczyć, jakie są reguły domyślne, możesz wpisać.

$ sudo UFW status Varebose

Przykładowy wyjście

Status: Aktywne rejestrowanie: ON (niski) domyślnie: Odmowa (przychodzą), Zezwalaj (wychodząc) nowe profile: Skip $

Jak dodać zasady UFW

Jak widać, domyślnie każde przychodzące połączenie jest odrzucane. Jeśli chcesz zdać swój komputer, musisz zezwolić na odpowiedni port. Na przykład chcesz zezwolić ssh połączenie. Oto polecenie, aby na to pozwolić.

Umożliwić dostęp

$ sudo ufw Zezwalaj na hasło SSH [sudo] dla Pungki: Dodano regułę dodaną (v6) $

Jeśli ponownie sprawdzisz status, zobaczysz takie dane wyjściowe.

$ sudo UFW status do działania z ----------- ------ 22 Zezwól na dowolne miejsce 22 Zezwól na dowolne miejsce (v6)

Jeśli masz wiele zasad i chcesz umieścić liczby na każdej regułach w locie, użyj numerowanego parametru.

$ sudo UFW status numerowany do działania od --------------- ------ [1] 22 Zezwól na dowolne miejsce [2] 22 Zezwól na dowolne miejsce (v6)

Pierwsza zasada mówi, że przychodzące połączenie z Port 22 z Gdziekolwiek, Zarówno TCP Lub UDP Pakiety są dozwolone. Co jeśli chcesz zezwolić TCP Tylko pakiet? Następnie możesz dodać parametr TCP po Port numer. Oto przykład z przykładowym wyjściem.

$ sudo UFW Zezwalaj na działanie SSH/TCP od --------------- ------ 22/TCP Zezwalaj na dowolne miejsce 22/TCP Zezwalaj na dowolne miejsce (v6)

Odmówić dostępu

Te same sztuczki są stosowane Zaprzeczyć reguła. Powiedzmy, że chcesz Odmowa ftp reguła. Więc musisz tylko pisać.

$ sudo ufw Odmów ftp do działania od --------------- ------ 21/TCP DEY Where gdzie 21/TCP Odmów gdziekolwiek (v6)

Dodanie określonego portu

Czasami mamy niestandardowy port, który nie jest zgodny z żadnymi standardami. Powiedzmy, że zmieniamy Port SSH na naszej maszynie od 22, do 2290. Następnie umożliwić port 2290, Możemy to dodać w ten sposób.

$ sudo ufw pozwól na działanie od ----------- ------ 2290 Zezwalaj w dowolnym miejscu 2290 Zezwalaj na dowolne miejsce (v6)

Możesz również dodać Zasięg portu do reguły. Jeśli chcemy otworzyć port z 2290 - 2300 z TCP protokół, wówczas polecenie będzie takie.

$ sudo UFW Zezwalaj na działanie 2290: 2300/TCP od --------------- ------ 2290: 2300/TCP Zezwalaj na 2290: 2300/TCP Zezwalaj na dowolne miejsce ( v6)

Podczas gdy chcesz użyć UDP, Po prostu użyj następującego polecenia.

$ sudo UFW Zezwalaj 2290: 2300/UDP działanie od --------------- ------ 2290: 2300/UDP Zezwalaj na 2290: 2300/UDP Zezwalaj na dowolne miejsce ( v6)

Pamiętaj, że musisz umieścićTCP' Lub 'UDP„W przeciwnym razie wyraźnie otrzymasz komunikat o błędzie podobny do poniżej.

Błąd: musi określić „TCP” lub „UDP” z wieloma portami

Dodanie określonego adresu IP

Wcześniej dodaliśmy reguły oparte na praca Lub Port. UFW pozwala również na dodawanie reguł na podstawie Adres IP. Oto przykładowe polecenie.

$ sudo ufw zezwalaj na 192.168.0.104

Możesz także użyć maska ​​podsieci na szerszy zakres.

$ sudo ufw zezwala na formularz 192.168.0.0/24 do działania od------------ ------ W dowolnym miejscu zezwala na 192.168.0.104 w dowolnym miejscu zezwala na 192.168.0.0/24

Jak widać, z parametru ograniczy tylko źródło połączenia. Podczas gdy miejsce docelowe - reprezentowane przez Do Kolumna - jest Gdziekolwiek. Możesz także zarządzać miejscem docelowym za pomocą 'Do„Parametr. Zobaczmy próbkę, do której umożliwia dostęp Port 22 (ssh).

$ sudo ufw pozwól na dowolny port 22

Powyższe polecenie pozwoli na dostęp z dowolnego miejsca i z dowolnego protokołu do Port 22.

Łączenie parametrów

Aby uzyskać bardziej szczegółowe reguły, możesz również połączyć adres IP, protokół I Port. Powiedzmy, że chcemy utworzyć zasadę, która ogranicza połączenie tylko z IP 192.168.0.104, tylko protokół TCP i do portu 22. Wtedy polecenie będzie jak poniżej.

$ sudo ufw zezwalaj na 192.168.0.104 Proto TCP do dowolnego portu 22

Składnia do utworzenia reguły odmowy jest podobna z regułą zezwolenia. Musisz tylko zmienić parametr z umożliwić Do zaprzeczyć.

Zasady usuwania

Czasem może być konieczne usunięcie istniejącej zasady. Jeszcze raz z UFW Łatwo jest usunąć zasady. Z powyższej próbki masz regułę poniżej i chcesz ją usunąć.

Do działania od ----------- ------ 22/TCP Zezwalaj na 192.168.0.104 21/TCP Zezwalaj na dowolne miejsce 21/TCP Zezwalaj na dowolne miejsce (V6)

Istnieją dwie metody usuwania zasad.

Metoda 1

Poniższe polecenie będzie usuwać Zasady, które dopasowują usługę ftp. Więc 21/TCP co oznacza ftp Port zostanie usunięty.

$ sudo ufw usuń pozwól ftp

Metoda 2

Ale kiedy próbowałeś usunąć pierwszą regułę na powyższym przykładzie za pomocą poniższego polecenia.

$ sudo ufw usuń ssh lub $ sudo ufw usuń zezwolić na 22/tcp

Możesz znaleźć komunikat o błędzie, taki jak.

Nie można usunąć nieistniejącej reguły nie mogłoby usunąć nieistniejącej reguły (v6)

Wtedy możesz załatwić tę sztuczkę. Jak wspomniano powyżej, możesz pokazać liczbę reguł, aby wskazać, którą zasadę chcemy usunąć. Niech ci to pokazamy.

$ sudo UFW status numerowany do działania z ----------- ------ [1] 22/TCP Zezwalaj na 192.168.0.104 [2] 21/TCP Zezwalaj na dowolne miejsce [3] 21/TCP Zezwalaj na dowolne miejsce (v6)

Następnie możesz usunąć pierwszą regułę za pomocą. Naciskać "y”Na stałe usunie regułę.

$ sudo UFW Usuń 1 Usuwanie: Pozwól z 192.168.0.104 do dowolnego portu 22 Proto TCP kontynuuj działanie (y | n)? y

Z tych metod zobaczysz różnicę. Metoda 2 zapytam Potwierdzenie użytkownika Przed usunięciem reguły Metoda 1 nie jest.

Jak zresetować zasady

W jakiejś sytuacji możesz chcieć usuwać / Resetowanie wszystkie zasady. Możesz to zrobić, wpisując.

$ sudo ufw resetowanie resetowania wszystkich zasad do zainstalowanych domyślnych. Kontynuuj operację (y | n)? y

Jeśli naciśniesz „y", Następnie UFW Kopie wykonują kopię zapasową wszystkich istniejących zasad przed zresetowaniem UFW. Zresetowanie zasad wyłączy również zaporę zapory. Musisz go ponownie włączyć, jeśli chcesz z niego skorzystać.

Zaawansowana funkcjonalność

Jak powiedziałem powyżej, zapora UFW może zrobić wszystko, co iptables może zrobić. Odbywa się to przy użyciu różnych zestawów plików reguł, które są niczym więcej niż IPTABLES-RESTORE odpowiednie pliki tekstowe. Drobne strojenie UFW i/lub umieszczenie dodatkowych poleceń IPTables niedozwolonych za pośrednictwem polecenia UFW to kwestia edycji kilku plików tekstowych.

1. /etc/default/ufw: Główna konfiguracja domyślnych zasad, modułów obsługi IPv6 i modułów jądra.
2. /etc/ufw/przed [6].zasady: Reguły w tych plikach są obliczane przed jakichkolwiek regułami dodanymi za pośrednictwem polecenia UFW.
3. /etc/ufw/po [6].zasady: Reguły w tych plikach są obliczane po dowolnych regułach dodanych za pośrednictwem polecenia UFW.
4. /etc/ufw/sysctl.conf: Network Network jądra.
5. /etc/ufw/ufw.conf: Ustawia, czy UFW jest włączone w rozruchu i ustawia logowanie.

Wniosek

UFW Jako front-end do IPTables z pewnością tworzy łatwy interfejs dla użytkownika. Użytkownik nie musi pamiętać skomplikowanej składni iptables. UFW Użyj również 'zwykły angielski„Jako jego parametr.

Umożliwić, zaprzeczyć, Resetowanie są jednym z nich. Uważam, że jest tam o wiele więcej IPTABLES. Ale zdecydowanie UFW jest jedną z najlepszych alternatyw dla użytkowników, którzy chcą skonfigurować swoją zaporę szybki, łatwy i oczywiście bezpieczny. Proszę odwiedź Strona ręczna UFW przez pisanie Man Ufw Więcej szczegółów.