Kuinka asentaa ja määrittää UFW - mutkaton palomuuri Debianissa/Ubuntussa
Koska tietokoneet ovat yhteydessä toisiinsa, palvelut kasvavat nopeasti. Sähköposti, Sosiaalinen media, Verkkokauppa, Pikaviestit verkkoneuvotteluun asti ovat palveluita, jotka käyttäjän käyttämä. Mutta toisaalta tämä liitettävyys pitää vain kaksipuoleisesta veitsestä. On myös mahdollista lähettää huonoja viestejä näihin tietokoneisiin, kuten virus, haittaohjelmat ja troijalaiset sovellukset.
Internet, suurin tietokoneverkko, ei aina ole täynnä hyviä ihmisiä. Varmistaaksemme, että tietokoneemme/palvelimemme ovat turvallisia, meidän on suojattava ne.
Yksi tietokoneen/palvelimien pakollisista komponenteista on palomuuri. Wikipediasta oleva määritelmä on:
Laskennassa palomuuri on ohjelmisto- tai laitteistopohjainen verkon turvajärjestelmä, joka ohjaa tulevaa ja lähtevää verkkoliikennettä analysoimalla datapaketit ja määrittämällä, sallitaanko ne läpi vai ei sovelletun sääntöjoukon perusteella.
Iptables on yksi palvelimien laajasti käyttämistä palomuureista. Se on ohjelma, jota käytetään hallitsemaan saapuvaa ja lähtevää liikennettä palvelimella sääntöjen perusteella. Yleensä vain luotettu yhteys saa tulla palvelimelle. Mutta IPTables toimii konsolitilassa ja se on monimutkaista. Ne, jotka tuntevat iptables-säännöt ja -komennot, voivat lukea seuraavan artikkelin, jossa kuvataan iptables-palomuurin käyttöä.
- IPTables (Linux Firewall) -perusopas
UFW-palomuurin asennus Debianiin/Ubuntuun
IPTables-ohjeiden asettamisen monimutkaisuuden vähentämiseksi on olemassa monia etusivuja. Jos käytät Ubuntu Linuxia, ufw on oletuspalomuurityökalu. Aloitetaan tutustuminen ufw-palomuuriin.
Mikä on ufw
ufw (Yksinkertainen palomuuri) on yleisimmin käytetyn iptables-palomuurin käyttöliittymä, ja se on mukava isäntäpohjaisissa palomuurissa. ufw tarjoaa puitteet netfilterin hallintaan sekä komentoriviliittymän palomuurin hallintaan. Se tarjoaa käyttäjäystävällisen ja helppokäyttöisen käyttöliittymän Linux-aloittelijoille, jotka eivät tunne paljoa palomuurikonsepteja.
Toisaalta samat monimutkaiset komennot auttavat ylläpitäjiä asettamaan monimutkaisia sääntöjä komentoriviliittymän avulla. ufw on ylävirran versio muille jakeluille, kuten Debian, Ubuntu ja Linux Mint.
Peruskäyttö ufw
Tarkista ensin, onko ufw asennettu seuraavalla komennolla.
sudo dpkg --get-selections | grep ufw
ufw install
Jos sitä ei ole asennettu, voit asentaa sen apt-komennolla alla kuvatulla tavalla.
sudo apt-get install ufw
Tarkista ennen käyttöä, onko ufw käynnissä vai ei. Käytä seuraavaa komentoa tarkistaaksesi sen.
sudo ufw status
Jos huomasit Tilan: ei-aktiivinen, se tarkoittaa, että se ei ole aktiivinen tai se on poistettu käytöstä.
UUTTA! Korvaamaton e-kirja jokaiselle Linux-järjestelmänvalvojalle!Lataa ilmainen 696 sivun e-kirja
Ufw:n ottaminen käyttöön/poistaminen käytöstä
Ottaaksesi sen käyttöön, sinun tarvitsee vain kirjoittaa seuraava komento terminaaliin.
sudo ufw enable
Firewall is active and enabled on system startup
Poista se käytöstä kirjoittamalla.
sudo ufw disable
Listaa nykyiset ufw-säännöt
Kun palomuuri on aktivoitu, voit lisätä siihen sääntösi. Jos haluat nähdä, mitkä ovat oletussäännöt, voit kirjoittaa.
sudo ufw status verbose
Näytelähtö
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
$
Kuinka lisätä ufw-sääntöjä
Kuten näet, oletusarvoisesti jokainen saapuva yhteys estetään. Jos haluat kauko-ohjata koneesi, sinun on sallittava oikea portti. Haluat esimerkiksi sallia ssh-yhteyden. Tässä on komento sen sallimiseksi.
Sallia pääsy
sudo ufw allow ssh
[sudo] password for pungki :
Rule added
Rule added (v6)
$
Jos tarkistat tilan uudelleen, näet tällaisen lähdön.
sudo ufw status
To Action From
-- ----------- ------
22 ALLOW Anywhere
22 ALLOW Anywhere (v6)
Jos sinulla on paljon sääntöjä ja haluat asettaa numerot jokaiseen sääntöön lennossa, käytä parametria numeroitu.
sudo ufw status numbered
To Action From
------ ----------- ------
[1] 22 ALLOW Anywhere
[2] 22 ALLOW Anywhere (v6)
Ensimmäinen sääntö sanoo, että saapuva yhteys porttiin 22 Mistä tahansa, sekä tcp- että udp-paketit ovat sallittuja. Entä jos haluat sallia vain tcp-paketin? Sitten voit lisätä parametrin tcp portin numeron jälkeen. Tässä on esimerkki näytetuloksesta.
sudo ufw allow ssh/tcp
To Action From
------ ----------- ------
22/tcp ALLOW Anywhere
22/tcp ALLOW Anywhere (v6)
Estä pääsy
Samoja temppuja sovelletaan Estä-sääntöön. Oletetaan, että haluat estä ftp-säännön. Joten sinun tarvitsee vain kirjoittaa.
sudo ufw deny ftp
To Action From
------ ----------- ------
21/tcp DENY Anywhere
21/tcp DENY Anywhere (v6)
Tietyn portin lisääminen
Joskus meillä on mukautettu portti, joka ei noudata mitään standardeja. Oletetaan, että muutamme koneemme ssh-portin arvosta 22 2290:ksi. Sallimme portin 2290 lisäämällä sen näin.
sudo ufw allow
To Action From
-- ----------- ------
2290 ALLOW Anywhere
2290 ALLOW Anywhere (v6)
Voit myös lisätä sääntöön port-range. Jos haluamme avata portin välillä 2290 – 2300 tcp-protokollalla, komento on tällainen.
sudo ufw allow 2290:2300/tcp
To Action From
------ ----------- ------
2290:2300/tcp ALLOW Anywhere
2290:2300/tcp ALLOW Anywhere (v6)
mutta jos haluat käyttää udp-komentoa, käytä seuraavaa komentoa.
sudo ufw allow 2290:2300/udp
To Action From
------ ----------- ------
2290:2300/udp ALLOW Anywhere
2290:2300/udp ALLOW Anywhere (v6)
Muista, että sinun täytyy kirjoittaa "tcp" tai "udp", muuten saat alla olevan kaltaisen virheilmoituksen.
ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports
Lisätään tietty IP
Aiemmin olemme lisänneet sääntöjä, jotka perustuvat palveluun tai porttiin. Ufw:n avulla voit myös lisätä sääntöjä IP-osoitteen perusteella. Tässä on esimerkkikomento.
sudo ufw allow from 192.168.0.104
Voit myös laajentaa aluetta käyttämällä aliverkon peitettä.
sudo ufw allow form 192.168.0.0/24
To Action From
-- ----------- ------
Anywhere ALLOW 192.168.0.104
Anywhere ALLOW 192.168.0.0/24
Kuten näet, parametri rajoittaa vain yhteyslähdettä. Vaikka määränpää – jota edustaa To-sarake – on Anywhere. Voit myös hallita kohdetta Vastaanottaja-parametrilla. Katsotaanpa esimerkkiä, jolla sallitaan pääsy porttiin 22 (ssh).
sudo ufw allow to any port 22
Yllä oleva komento sallii pääsyn porttiin 22 mistä tahansa ja mistä tahansa protokollasta.
Parametrien yhdistäminen
Tarkempia sääntöjä varten voit myös yhdistää IP-osoitteen, protokollan ja portin. Oletetaan, että haluamme luoda säännön, joka rajoittaa yhteyden vain IP-osoitteesta 192.168.0.104, vain protokollasta tcp ja porttiin 22. Sitten komento on kuten alla.
sudo ufw allow from 192.168.0.104 proto tcp to any port 22
Kieltosäännön luomisen syntaksi on samanlainen sallimissäännön kanssa. Sinun tarvitsee vain muuttaa parametri salli-tilasta kiellä.
Sääntöjen poistaminen
Joskus sinun on ehkä poistettava olemassa oleva sääntö. Jälleen kerran ufw:n avulla sääntöjen poistaminen on helppoa. Yllä olevasta näytteestä sinulla on alla sääntö ja haluat poistaa sen.
To Action From
-- ----------- ------
22/tcp ALLOW 192.168.0.104
21/tcp ALLOW Anywhere
21/tcp ALLOW Anywhere (v6)
Sääntöjen poistamiseen on kaksi tapaa.
Menetelmä 1
Alla oleva komento poistaa säännöt, jotka vastaavat palvelua ftp. Joten 21/tcp, joka tarkoittaa ftp-porttia, poistetaan.
sudo ufw delete allow ftp
Menetelmä 2
Mutta kun yritit poistaa ensimmäisen säännön yllä olevassa esimerkissä käyttämällä alla olevaa komentoa.
sudo ufw delete allow ssh
Or
sudo ufw delete allow 22/tcp
Saatat löytää virheilmoituksen, kuten.
Could not delete non-existent rule
Could not delete non-existent rule (v6)
Sitten voit tehdä tämän tempun. Kuten edellä mainittiin, voit näyttää säännön lukumäärän osoittaaksesi, minkä säännön haluamme poistaa. Anna meidän näyttää se sinulle.
sudo ufw status numbered
To Action From
-- ----------- ------
[1] 22/tcp ALLOW 192.168.0.104
[2] 21/tcp ALLOW Anywhere
[3] 21/tcp ALLOW Anywhere (v6)
Sitten voit poistaa ensimmäisen säännön käyttämällä. Paina y poistaa säännön pysyvästi.
sudo ufw delete 1
Deleting :
Allow from 192.168.0.104 to any port 22 proto tcp
Proceed with operation (y|n)? y
Näistä menetelmistä näet eron. Tapa 2 pyytää käyttäjän vahvistusta ennen säännön poistamista, kun taas tapa 1 ei.
Kuinka nollata säännöt
Joissakin tilanteissa saatat haluta poistaa/nollata kaikki säännöt. Voit tehdä sen kirjoittamalla.
sudo ufw reset
Resetting all rules to installed defaults. Proceed with operation (y|n)? y
Jos painat y , ufw varmuuskopioi kaikki olemassa olevat säännöt ennen ufw:n nollausta. Sääntöjen nollaus poistaa myös palomuurisi käytöstä. Sinun on otettava se uudelleen käyttöön, jos haluat käyttää sitä.
Kehittyneet toiminnot
Kuten edellä totesin, ufw-palomuuri pystyy tekemään kaiken, mitä iptables voi tehdä. Tämä saavutetaan käyttämällä erilaisia sääntötiedostoja, jotka ovat vain iptables-restore-soveltuvia tekstitiedostoja. Ufw-komennon hienosäätö ja/tai muiden iptables-komentojen sijoittaminen, joita ei sallita ufw-komennon kautta, on useiden tekstitiedostojen muokkaamista.
- /etc/default/ufw: oletuskäytäntöjen, IPv6-tuen ja ydinmoduulien pääkokoonpano.
- /etc/ufw/before[6].rules: näiden tiedostojen säännöt lasketaan ennen ufw-komennolla lisättyjä sääntöjä.
- /etc/ufw/after[6].rules: näiden tiedostojen säännöt lasketaan ufw-komennolla lisättyjen sääntöjen jälkeen.
- /etc/ufw/sysctl.conf: ydinverkon viritettävät toiminnot.
- /etc/ufw/ufw.conf: määrittää, onko ufw käytössä käynnistyksen yhteydessä ja asettaa LOGLEVEL-arvon.
Johtopäätös
UFW iptablesin käyttöliittymänä tekee käyttäjälle varmasti helpon käyttöliittymän. Käyttäjän ei tarvitse muistaa monimutkaista iptables-syntaksia. UFW käyttää myös parametrina plain english.
Salli, estä, nollaa ovat yksi niistä. Uskon, että siellä on paljon enemmän iptables-käyttöliittymää. Mutta ehdottomasti ufw on yksi parhaista vaihtoehdoista käyttäjille, jotka haluavat asentaa palomuurinsa nopeasti, helposti ja tietysti turvallisesti. Käy ufw manuaalisivulla kirjoittamalla man ufw saadaksesi lisätietoja.