Jak zainstalować i używać zapory ogniowej UFW w Linux
- 731
- 217
- Roland Sokół
Wstęp
UFW znany również jako nieskomplikowana zapora ogniowa jest interfejsem dla IPTables i jest szczególnie odpowiedni do zapory opartych na hostach. UFW zapewnia łatwy w użyciu interfejs dla początkującego użytkownika, który nie zna koncepcji zapory. Jest to najpopularniejsze narzędzie zapory pochodzące z Ubuntu. Obsługuje zarówno IPv4, jak i IPv6.
W tym samouczku dowiemy się, jak instalować i używać zapory ogniowej UFW w Linux.
Wymagania
- Każda dystrybucja oparta na systemie Linuksa zainstalowana w twoim systemie
- Ustawienie uprawnień root w twoim systemie
Instalowanie UFW
Ubuntu
Domyślnie UFW jest dostępne w większości dystrybucji opartych na Ubuntu. Jeśli zostanie usunięty, możesz go zainstalować, uruchamiając następujące polecenie Linux.
# apt -get instaluj UFW -y
Debian
Możesz zainstalować UFW w Debian, uruchamiając następujące polecenie Linux:
# apt -get instaluj UFW -y
Centos
Domyślnie UFW nie jest dostępne w repozytorium Centos. Więc będziesz musiał zainstalować repozytorium EPEL w swoim systemie. Możesz to zrobić, uruchamiając następujące polecenie Linux:
# mniam instaluj epel -uwalanie -y
Po zainstalowaniu repozytorium EPEL można zainstalować UFW, uruchamiając następujące polecenie Linux:
# yum instal --enablerepo = "epel" UFW -y
Po zainstalowaniu UFW uruchom usługę UFW i włącz ją do uruchamiania, uruchamiając następujące polecenie Linux.
# UFW włącz
Następnie sprawdź status UFW za pomocą następujące polecenie Linux. Powinieneś zobaczyć następujące dane wyjściowe:
# Status statusu UFW: aktywny
Możesz także wyłączyć zaporę ogniową UFW, uruchamiając następujące polecenie Linux:
# UFW wyłącz
Ustaw domyślne zasady UFW
Domyślnie domyślna konfiguracja zasad UFW w celu zablokowania całego ruchu przychodzącego i umożliwienia całego ruchu wychodzącego.
Możesz skonfigurować własne zasady domyślne z następującym poleceniem Linux.
UFW Domyślnie Zezwalaj na wychodzące UFW Domyślne odmówienie przychodzenia
Dodaj i usuń zasady zapory
Możesz dodać reguły umożliwiania ruchu przychodzącego i wychodzącego na dwa sposoby, używając numeru portu lub za pomocą nazwy usługi.
Na przykład, jeśli chcesz zezwolić zarówno na połączenia przychodzące, jak i wychodzące. Następnie uruchom następujące polecenie Linux za pomocą nazwy usługi.
UFW Zezwalaj na http
Lub uruchom następujące polecenie za pomocą numeru portu:
UFW zezwala na 80
Jeśli chcesz filtrować pakiety na podstawie TCP lub UDP, uruchom następujące polecenie:
UFW Zezwalaj na 80/TCP UFW Zezwalaj na 21/UDP
Możesz sprawdzić status dodanych reguł za pomocą następujące polecenie Linux.
Status UFW Varebose
Powinieneś zobaczyć następujące dane wyjściowe:
Status: Aktywne rejestrowanie: ON (niski) Domyślnie: Odmowa (przychodzą), Zezwalaj (wychodzący), Odmowa (kierowana) nowe profile: Przejdź do działania od ------- ---- 80/TCP Zezwalaj 21/UDP Zezwalaj na dowolne miejsce 80/tcp (v6) Pozwól w dowolnym miejscu (v6) 21/UDP (v6) Pozwól w dowolnym miejscu (v6)
Możesz także zaprzeczyć jakimkolwiek przychodzącym i wychodzącym ruchu w dowolnym momencie za pomocą następujących poleceń:
# ufw odmów 80 # Ufw Daj 21
Jeśli chcesz usunąć dozwolone reguły dla HTTP, po prostu poprzedzaj oryginalną regułę z usunięciem, jak pokazano poniżej:
# UFW Usuń Zezwalaj na http # ufw Usuń odmówić 21
Zaawansowane zasady UFW
Możesz także dodać określony adres IP, aby umożliwić i odmówić dostępu do wszystkich usług. Uruchom następujące polecenie, aby umożliwić IP 192.168.0.200, aby uzyskać dostęp do wszystkich usług na serwerze:
# UFW pozwól z 192.168.0.200
Zaprzeczyć IP 192.168.0.200 Aby uzyskać dostęp do wszystkich usług na serwerze:
# Ufw Odmawiaj od 192.168.0.200
Możesz zezwolić na zakres adresu IP w UFW. Uruchom następujące polecenie, aby umożliwić wszystkie połączenia z IP 192.168.1.1 do 192.168.1.254:
# UFW pozwól z 192.168.1.0/24
Aby umożliwić adres IP 192.168.1.200 Dostęp do portu 80 Za pomocą TCP uruchom następujące polecenie Linux:
# UFW pozwól z 192.168.1.200 do dowolnego portu 80 Proto TCP
Aby umożliwić dostęp do portu TCP i UDP od 2000 do 3000, uruchom następujące polecenie Linux:
# UFW Zezwalaj na 2000: 3000/TCP # UFW Zezwalaj na 2000: 3000/UDP
Jeśli chcesz zablokować dostęp do portu 22 z IP 192.168.0.4 i 192.168.0.10 Ale pozwól wszystkim innym IPS uzyskać dostęp do portu 22, uruchom następujące polecenie:
# Ufw Odmawiaj od 192.168.0.4 do dowolnego portu 22 # UFW Odmowa z 192.168.0.10 do dowolnego portu 22 # UFW Zezwalaj na 192.168.0.0/24 do dowolnego portu 22
Aby umożliwić ruch HTTP w interfejsie sieciowym ETH0, uruchom następujące polecenie Linux:
# UFW zezwalaj na ETH0 do dowolnego portu 80
Domyślnie UFW umożliwia żądania ping. Jeśli chcesz odmówić prośby o ping, musisz edytować/etc/ufw/wcześniej.Plik reguł:
# nano/etc/ufw/przed.zasady
Usuń następujące linie:
-A UFW-before-input -p icmp --ICMP-Type Destination-Unreachable -j Accept -a Ufw-Before-input -p ICMP --ICMP-TYPE-QUENT -J ICMP --ICMP-Typ-Type-Exed -j Accept -a Ufw-before-input -p icmp --ICMP-Type-Parametr-Problem -j Accept -a Ufw-before-input -p icmp --ICMP-Type Echo- żądanie -j Zaakceptuj
Zapisz plik, po zakończeniu.
Jeśli kiedykolwiek chcesz zresetować UFW, usuwając wszystkie swoje zasady, możesz to zrobić za pomocą następującego polecenia Linux.
# UFW Reset
Skonfiguruj NAT z UFW
Jeśli chcesz zawierać połączenia z interfejsu zewnętrznego do wewnętrznego za pomocą UFW. Następnie możesz to zrobić, edytując /etc/default/ufw I /etc/ufw/wcześniej.zasady plik.
Po pierwsze, otwórz /etc/default/ufw plik za pomocą edytora nano:
# nano/etc/default/ufw
Zmień następujący wiersz:
Default_forward_policy = "akceptuj"
Następnie musisz również umożliwić przekazanie IPv4. Możesz to zrobić, edytując /etc/ufw/sysctl.conf plik:
# nano/etc/ufw/sysctl.conf
Zmień następujący wiersz:
net/ipv4/ip_forward = 1
Następnie musisz dodać NAT do pliku konfiguracyjnego UFW. Możesz to zrobić, edytując /etc/ufw/wcześniej.zasady plik:
# nano/etc/ufw/przed.zasady
Dodaj następujące linie tuż przed regułą filtra:
# Nat Tabela Zasady *NAT: Postrouting Akceptuj [0: 0].168.1.0/24 -O ETH0 -J MASQUERADE # Nie usuwaj wiersza „Commit”, albo te reguły tabeli NAT nie będą przetwarzane Zatrzymaj plik po zakończeniu. Następnie uruchom ponownie UFW z następującym poleceniem Linux: UFW Wyłącz UFW Włącz
Skonfiguruj przekazywanie portów za pomocą UFW
Jeśli chcesz przekazać ruch z publicznego IP np. 150.129.148.155 Port 80 i 443 do innego serwera wewnętrznego z adresem IP 192.168.1.120. Następnie możesz to zrobić, edytując /etc/domyślne/wcześniej.zasady:
# nano/etc/domyślne/przed.zasady
Zmień plik, jak pokazano poniżej:
: Prerouting Zaakceptuj [0: 0] -A Prerouting -i Eth0 -D 150.129.148.155 -p TCP - -DPORT 80 -J DNAT -to -to -Destination 192.168.1.120: 80 -A Prerouting -i ETH0 -D 150.129.148.155 -p TCP - -DPORT 443 -J DNAT -to -to -Destination 192.168.1.120: 443 -A Postrouting -s 192.168.1.0/24 ! -D 192.168.1.0/24 -J Masquerade
Następnie uruchom ponownie UFW z następującym poleceniem:
# UFW Wyłącz # UFW Włącz
Następnie musisz również zezwolić na port 80 i 443. Możesz to zrobić, uruchamiając następujące polecenie:
# UFW zezwalaj na proto TCP z dowolnego do 150.129.148.155 Port 80 # UFW Zezwalaj na Proto TCP z dowolnego do 150.129.148.155 Port 443
Powiązane samouczki Linux:
- Rzeczy do zainstalowania na Ubuntu 20.04
- Rzeczy do zrobienia po zainstalowaniu Ubuntu 20.04 Focal Fossa Linux
- Rzeczy do zainstalowania na Ubuntu 22.04
- Wprowadzenie do automatyzacji, narzędzi i technik Linuksa
- Jak pingować adres IPv6 w systemie Linux
- Rzeczy do zrobienia po zainstalowaniu Ubuntu 22.04 JAMMY Jellyfish…
- Ubuntu 20.04 Przewodnik
- Ubuntu 20.04 sztuczki i rzeczy, których możesz nie wiedzieć
- Pobierz Linux
- Jak ssh do adresu IPv6 w systemie Linux
- « Dbaj o bezpieczeństwo swojego /domu dzięki kopii zapasowych CRON
- Jak podkręcić procesor AMD Ryzen na Linux »