Jak skonfigurować zaporę UFW na Ubuntu i Debian
- 3855
- 153
- Juliusz Sienkiewicz
Prawidłowa funkcjonująca zapora jest najważniejszą częścią kompletnego bezpieczeństwa systemu Linux. Domyślnie dystrybucja Debian i Ubuntu jest wyposażona w narzędzie konfiguracyjne zapory o nazwie UFW (Nieskomplikowana zapora ogniowa), to najpopularniejsze i łatwe w użyciu narzędzie wiersza poleceń do konfigurowania i zarządzania zaporą zapory Ubuntu I Debian rozkłady.
W tym artykule wyjaśnimy, jak zainstalować i skonfigurować UFW zapora ogniowa Ubuntu I Debian rozkłady.
Wymagania wstępne
Zanim zaczniesz ten artykuł, upewnij się, że zalogowałeś się na swoim serwerze Ubuntu lub Debian z użytkownikiem Sudo lub z konto głównym. Jeśli nie masz użytkownika Sudo, możesz utworzyć go za pomocą następujących instrukcji jako użytkownika root.
# adduser nazwa użytkownika # Usermod -Ag sudo nazwa użytkownika # su - nazwa użytkownika $ sudo whoami
Zainstaluj zaporę UFW na Ubuntu i Debian
UFW (Nieskomplikowana zapora ogniowa) powinno być domyślnie zainstalowane w Ubuntu i Debian, jeśli nie, zainstaluj go za pomocą menedżera pakietów Apt za pomocą następującego polecenia.
$ sudo apt instal UFW
Sprawdź zaporę ogniową UFW
Po zakończeniu instalacji możesz sprawdzić status UFW, wpisując.
$ sudo UFW status Varebose
W pierwszej instalacji zapora UFW jest domyślnie wyłączona, wyjście będzie podobne do poniżej.
Status: nieaktywny
Włącz zaporę UFW
Możesz aktywować lub włączyć zaporę UFW za pomocą następującego polecenia, która powinna załadować zaporę ogniową i umożliwia rozpoczęcie uruchomienia.
$ sudo ufw
Aby wyłączyć zaporę ogniową UFW, użyj następującego polecenia, które rozładowuje zaporę ogniową i wyłącza ją od uruchamiania.
$ sudo ufw wyłącz
Domyślne zasady UFW
Domyślnie zapora UFW zaprzecza wszystkich połączeń przychodzących i umożliwia tylko wszystkie połączenia wychodzące z serwerem. Oznacza to, że nikt nie może uzyskać dostępu do Twojego serwera, chyba że otworzysz port, podczas gdy wszystkie uruchomione usługi lub aplikacje na serwerze mogą mieć możliwość dostępu do sieci zewnętrznej.
Domyślne zasady zapory UFW są umieszczane w /etc/default/ufw plik i można go zmienić za pomocą następującego polecenia.
$ sudo ufw domyślnie odmówić przychodzące $ sudo ufw default pozwól wychodzącemu
Profile aplikacji UFW
Podczas instalowania pakietu oprogramowania za pomocą TRAFNY Menedżer pakietów, będzie zawierać profil aplikacji w /etc/ufw/aplikacje.D katalog, który określa usługę i przechowuje ustawienia UFW.
Możesz wymienić wszystkie dostępne profile aplikacji na swoim serwerze za pomocą następującego polecenia.
Lista aplikacji $ sudo UFW
W zależności od instalacji pakietów oprogramowania w systemie wyjście będzie wyglądać podobnie do następujących:
Dostępne aplikacje: Apache Apache Full Apache Secure Cups OpenSsh postfix postfix SMTPS Postfix Przesyłanie
Jeśli chcesz uzyskać więcej informacji o określonym profilu i zdefiniowanych regułach, możesz użyć następującego polecenia.
$ sudo UFW Informacje o aplikacji „Apache”
Profil: Apache Tytuł: Serwer WWW Opis: Apache V2 to następna generacja f serwer WWW Apache Apache. Porty: 80/TCP
Włącz IPv6 z UFW
Jeśli Twój serwer jest skonfigurowany z IPv6, Upewnij się, że twój UFW jest skonfigurowany z IPv6 I IPv4 wsparcie. Aby to zweryfikować, otwórz plik konfiguracyjny UFW za pomocą ulubionego edytora.
$ sudo vi/etc/default/ufw
Następnie upewnij się „IPv6” jest ustawione na "Tak" w pliku konfiguracyjnym, jak pokazano.
IPv6 = Tak
Zapisz i wyjdź. Następnie uruchom ponownie zaporę z następującymi poleceniami:
$ sudo ufw wyłącz $ sudo ufw
Zezwalaj na połączenia SSH na UFW
Jeśli włączyłeś już zaporę UFW, blokowałby wszystkie połączenia przychodzące, a jeśli jesteś podłączony do serwera przez SSH z zdalnej lokalizacji, nie będziesz już mógł go ponownie podłączyć.
Włączmy połączenia SSH z naszym serwerem, aby zapobiec temu za pomocą następującego polecenia:
$ sudo ufw pozwól ssh
Jeśli używasz niestandardowego portu SSH (na przykład port 2222) Następnie musisz otworzyć ten port w zaporze UFW za pomocą następującego polecenia.
$ sudo ufw zezwala na 2222/tcp
Aby zablokować wszystkie połączenia SSH, wpisz następujące polecenie.
$ sudo ufw odmów ssh/tcp $ sudo ufw odmawianie 2222/tcp [Jeśli używasz niestandardowego portu SSH]
Włącz określone porty na UFW
Możesz także otworzyć określony port w zaporze, aby umożliwić połączenia za pośrednictwem określonej usługi. Na przykład, jeśli chcesz skonfigurować serwer WWW, który słucha w porcie 80 (Http) I 443 (Https) domyślnie.
Poniżej znajduje się kilka przykładów umożliwienia przychodzących połączeń z usługami Apache.
Otwórz port 80 HTTP na UFW
$ sudo ufw Zezwalaj na http [według nazwy usługi] $ sudo ufw Zezwalaj na 80/tcp [według numeru portu] $ sudo ufw Zezwalaj na „apache” [według profilu aplikacji]
Otwórz port 443 HTTPS na UFW
$ sudo ufw zezwolić https $ sudo ufw zezwolić 443/tcp $ sudo ufw zezwolić na „apache bezpieczne”
Zezwalaj na zakresy portów na UFW
Zakładając, że masz niektóre aplikacje, które chcesz uruchomić na różnych portach (5000-5003), możesz dodać wszystkie te porty za pomocą następujących poleceń.
sudo UFW Zezwalaj na 5000: 5003/tcp sudo ufw Zezwalaj na 5000: 5003/UDP
Zezwalaj na określone adresy IP
Jeśli chcesz zezwolić na połączenia na wszystkich portach z określonego adresu IP 192.168.56.1, Następnie musisz określić przed adresem IP.
$ sudo ufw zezwalaj na 192.168.56.1
Zezwalaj na określone adresy IP w określonym porcie
Aby umożliwić połączenie na określonym porcie (na przykład port 22) z komputera domowego z adresem IP 192.168.56.1, Następnie musisz dodać Każdy port i numer portu Po adresie IP, jak pokazano.
$ sudo ufw zezwalaj na 192.168.56.1 do dowolnego portu 22
Zezwalaj na podsieci sieciowe do określonego portu
Aby umożliwić połączenia dla poszczególnych adresów IP, od 192.168.1.1 Do 192.168.1.254 do portu 22 (Ssh), Uruchom następujące polecenie.
$ sudo ufw zezwalaj na 192.168.1.0/24 do dowolnego portu 22
Zezwalaj na określony interfejs sieciowy
Aby umożliwić połączenia z określonym interfejsem sieciowym ETH2 dla konkretnego portu 22 (Ssh), Uruchom następujące polecenie.
$ sudo ufw zezwala na ETH2 do dowolnego portu 22
Odmowa połączeń na UFW
Domyślnie wszystkie przychodzące połączenia są zablokowane, chyba że otworzyłeś połączenie na UFW. Na przykład otworzyłeś porty 80 I 443 a Twój serwer WWW jest atakowany z nieznanej sieci 11.12.13.0/24.
Aby zablokować wszystkie połączenia z tego konkretnego 11.12.13.0/24 Zakres sieciowy, możesz użyć następującego polecenia.
$ sudo ufw zaprzecz od 11.12.13.0/24
Jeśli chcesz blokować połączenia w portach 80 I 443, Możesz użyć następujących poleceń.
$ sudo ufw zaprzecz od 11.12.13.0/24 do dowolnego portu 80 $ sudo ufw Odmowa od 11.12.13.0/24 do dowolnego portu 443
Usuń zasady UFW
Istnieją 2 sposoby na usunięcie zasad UFW, przez Numer reguły i przez faktyczna zasada.
Aby usunąć reguły UFW przy użyciu Numer reguły, Najpierw musisz wymienić reguły według liczb za pomocą następującego polecenia.
$ sudo UFW numerowany
Przykładowy wyjście
Status: Aktywne do działania od------- ---- [1] 22/TCP Pozwól w dowolnym miejscu [2] 80/TCP Pozwól w dowolnym miejscu
Aby usunąć numer reguły 1, Użyj następującego polecenia.
$ sudo ufw usuń 1
Drugą metodą jest usunięcie reguły za pomocą faktyczna zasada, Na przykład, aby usunąć regułę, określ numer portu z protokołem, jak pokazano.
$ sudo ufw usuń zezwolić 22/tcp
Suchy Run UFW Zasady
Możesz uruchomić dowolne polecenia UFW bez faktycznego wprowadzania zmian w zaporze systemowym za pomocą --próba flaga, to po prostu pokazuje zmiany, gdzie zamierzam się wydarzyć.
$ sudo ufw-Dry-Run Enable
Zresetuj zaporę ogniową UFW
Z jednego lub drugiego powodu, jeśli chcesz usunąć / zresetować wszystkie reguły zapory, wpisz następujące polecenia, przywróci wszystkie twoje zmiany i zacznie świeżo.
$ sudo ufw reset $ sudo UFW status
Zaawansowana funkcja UFW
UFW Firewall może zrobić wszystko, co robi IPTABLES. Można to zrobić za pomocą różnych zestawów plików reguł, które są niczym, ale prostym IPTABLES-RESTORE pliki tekstowe.
Strojenie zapory ogniowej UFW lub dodanie dodatkowych poleceń IPTables jest niedozwolone za pośrednictwem polecenia UFW, to sprawa po prostu zmiana następujących plików tekstowych
- /etc/default/ufw: Główny plik konfiguracyjny z wcześniej zdefiniowanymi regułami.
- /etc/ufw/przed [6].zasady: W tym pliku reguły są obliczane przed dodaniem za pośrednictwem polecenia UFW.
- /etc/ufw/po [6].zasady: W tym pliku reguły są obliczane po dodaniu za pośrednictwem polecenia UFW.
- /etc/ufw/sysctl.conf: Ten plik służy do dostrojenia sieci jądra.
- /etc/ufw/ufw.conf: Ten plik włączy UFW podczas rozruchu.
Otóż to! UFW jest doskonałym frontem dla iptables z przyjaznym interfejsem użytkownika, aby zdefiniować złożone reguły za pomocą pojedynczego polecenia UFW.
Jeśli masz jakieś zapytania lub przemyślenia na temat tego artykułu UFW, użyj poniższego formularza komentarza, aby skontaktować się z nami.
- « ZZUPDATE - W pełni aktualizuj Ubuntu PC/serwer do nowszej wersji
- Jak zainstalować Gitlab na Ubuntu i Debian »