Jak zainstalować UFW i użyć go do skonfigurowania podstawowej zapory ogniowej
- 1415
- 377
- Natan Cholewa
Cel
Podstawy UFW, w tym instalacja UFW i konfigurowanie podstawowej zapory ogniowej.
Rozkłady
Debian i Ubuntu
Wymagania
Działający instalacja Debiana lub Ubuntu z uprawnieniami root
Konwencje
- # - Wymaga, aby podane polecenie Linux jest wykonywane z uprawnieniami root bezpośrednio jako użytkownik root lub za pomocą użycia
sudo
Komenda - $ - Biorąc pod uwagę polecenie Linux, które ma być wykonane jako zwykły użytkownik niepewny
Wstęp
Założenie zapory może być ogromnym bólem. IPTABLES nie jest znane z przyjaznej składni, a zarządzanie nie jest znacznie lepsze. Na szczęście UFW sprawia, że proces jest o wiele bardziej znośny z uproszczoną składnią i łatwym narzędziami do zarządzania.
UFW pozwala napisać reguły zapory bardziej jak zwykłe zdania lub tradycyjne polecenia. Pozwala zarządzać swoją zaporą, jak każda inna usługa. Oszczędza nawet zapamiętywanie wspólnych numerów portów.
Zainstaluj UFW
Zacznij od zainstalowania UFW. Jest dostępny zarówno w repozytoriach Debiana, jak i Ubuntu.
$ sudo apt instal UFW
Ustaw swoje wartości domyślne
Podobnie jak w przypadku iPtables, najlepiej zacząć od ustawienia domyślnego zachowania. Na komputerach stacjonarnych prawdopodobnie chcesz odmówić ruchu przychodzącego i zezwolić na połączenia pochodzące z komputera.
$ sudo ufw domyślnie odmówić przychodzącego
Składnia umożliwiania ruchu jest podobna.
$ sudo ufw domyślnie umożliwić wychodzenie
Podstawowe zastosowanie
Teraz jesteś skonfigurowany i gotowy do konfigurowania zasad i zarządzania swoją zaporą. Te polecenia powinny być łatwe do odczytania.
Rozpoczęcie i zatrzymanie
Możesz użyć SystemD do kontrolowania UFW, ale ma własne elementy sterujące, które są łatwiejsze. Zacznij od włączenia i uruchamiania UFW.
$ sudo ufw
Teraz przestań. To jednocześnie wyłącza go podczas startupu.
$ sudo ufw wyłącz
Gdy chcesz sprawdzić, czy UFW działa, a które reguły są aktywne, możesz.
Status $ sudo UFW
Polecenia
Zacznij od podstawowego polecenia. Zezwalaj na ruch HTTP. Jest to konieczne, jeśli chcesz wyświetlić stronę internetową lub pobrać coś z Internetu.
$ sudo ufw pozwól http
Spróbuj ponownie z SSH. Znowu jest to bardzo powszechne.
$ sudo ufw pozwól ssh
Możesz zrobić dokładnie to samo za pomocą numerów portów, jeśli je znasz. To polecenie umożliwia ruch przychodzący HTTPS.
$ sudo ufw pozwól 443
Możesz także zezwolić na ruch z określonego adresu IP lub zakresu adresów. Powiedz, że chcesz zezwolić na cały lokalny ruch, użyłbyś polecenia takiego jak ta poniżej.
$ sudo ufw pozwól 192.168.1.0/24
Jeśli chcesz zezwolić na całą gamę portów, na przykład do korzystania z potopu, możesz to zrobić. Jednak kiedy to zrobisz, musisz określić TCP lub UDP.
$ sudo ufw zezwolić 56881: 56889/tcp
Oczywiście, to idzie w obie strony. Używać zaprzeczyć
zamiast umożliwić
dla przeciwnego efektu.
$ sudo ufw odmów 192.168.1.110
Powinieneś także wiedzieć, że wszystkie polecenia do tej pory kontrolują tylko ruch przychodzący. Aby konkretnie ukierunkować połączenia wychodzące, uwzględnij na zewnątrz
.
$ sudo ufw pozwól ssh
Konfigurowanie pulpitu
UFW Status DesktopJeśli chcesz ustanowić podstawową zaporę ogniową na pulpicie, jest to dobre miejsce na rozpoczęcie. To tylko przykład, więc z pewnością nie jest uniwersalny, ale powinien dać ci coś do pracy.
Zacznij od ustawienia domyślnych.
$ sudo ufw domyślnie odmówić przychodzące $ sudo ufw default pozwól wychodzącemu
Następnie zezwól na ruch HTTP i HTTPS.
$ sudo ufw pozwól http $ sudo ufw zezwolić na https
Prawdopodobnie też będziesz chciał ssh, więc pozwól na to.
$ sudo ufw pozwól ssh
Większość komputerów stacjonarnych polega na NTP na czas systemu. Pozwól temu też.
$ sudo ufw pozwól NTP
Chyba że używasz statycznego adresu IP, pozwól DHCP. To porty 67 i 68.
$ sudo ufw pozwól 67: 68/tcp
Zdecydowanie również będziesz potrzebować ruchu DNS, aby przejść. W przeciwnym razie nie będziesz w stanie uzyskać dostępu do swojego adresu URL. Port dla DNS wynosi 53.
$ sudo ufw pozwól 53
Jeśli planujesz korzystać z klienta torrentowego, takiego jak zalewaj, włącz ten ruch.
$ sudo ufw zezwolić 56881: 56889/tcp
Para to ból. Używa ładunku portów. To są te, na które musisz pozwolić.
$ sudo ufw zezwolić 27000: 27036/udp $ sudo ufw zezwolić 27036: 27037/tcp $ sudo ufw zezwolić
Konfigurowanie serwera internetowego
Serwery internetowe to kolejny bardzo powszechny przypadek użycia zapory. Potrzebujesz czegoś, co zamknie cały ruch śmieci i złośliwych aktorów, zanim staną się prawdziwym problemem. Jednocześnie musisz upewnić się, że cały twój legalny ruch przechodzi nieskrępowany.
W przypadku serwera możesz bardziej zaostrzyć wszystko, domyślnie odmawiając wszystkiego. Wyłącz zaporę przed to, albo odetnie twoje połączenia SSH.
$ sudo ufw domyślnie odmówić przychodzące $ sudo ufw domyślnie odmówić wychodzącego $ sudo ufw domyślnie odmówić naprzód
Włącz zarówno ruch przychodzący, jak i wychodzący.
$ sudo ufw pozwól http $ sudo ufw zezwolić na http $ sudo ufw zezwolić https $ sudo ufw zezwolić na https
Pozwól SSH. Na pewno będziesz tego potrzebować.
$ sudo ufw pozwól ssh $ sudo ufw zezwolić na ssh
Twój serwer prawdopodobnie używa NTP do utrzymania zegara systemu. Powinieneś na to pozwolić.
$ sudo ufw pozwól ntp $ sudo ufw zezwolić na ntp
Będziesz potrzebować również DNS do aktualizacji swojego serwera.
$ sudo ufw pozwól 53 $ sudo ufw zezwolić na 53
Zamykanie myśli
Do tej pory powinieneś mocno zrozumieć, jak używać UFW do podstawowych zadań. Założenie zapory z UFW nie zajmuje wiele, a naprawdę może pomóc w zabezpieczeniu systemu. UFW, pomimo tego, że jest prosty, jest absolutnie gotowy na najlepszy czas w produkcji. To tylko warstwa na iptables, więc otrzymujesz tę samą jakość bezpieczeństwa.
Powiązane samouczki Linux:
- Rzeczy do zainstalowania na Ubuntu 20.04
- Wprowadzenie do automatyzacji, narzędzi i technik Linuksa
- Rzeczy do zrobienia po zainstalowaniu Ubuntu 20.04 Focal Fossa Linux
- Mastering Bash Script Loops
- Mint 20: Lepsze niż Ubuntu i Microsoft Windows?
- Ubuntu 20.04 sztuczki i rzeczy, których możesz nie wiedzieć
- Ubuntu 20.04 Przewodnik
- Rzeczy do zainstalowania na Ubuntu 22.04
- Polecenia Linux: Top 20 najważniejsze polecenia, które musisz…
- Pobierz Linux
- « Budowanie klastra Raspberry Pi - część instalacji systemu operacyjnego II
- Jak zainstalować niezgodę z Linux »