Kuinka asentaa ja määrittää UFW - mutkaton palomuuri Debianissa/Ubuntussa


Koska tietokoneet ovat yhteydessä toisiinsa, palvelut kasvavat nopeasti. Sähköposti, Sosiaalinen media, Verkkokauppa, Pikaviestit verkkoneuvotteluun asti ovat palveluita, jotka käyttäjän käyttämä. Mutta toisaalta tämä liitettävyys pitää vain kaksipuoleisesta veitsestä. On myös mahdollista lähettää huonoja viestejä näihin tietokoneisiin, kuten virus, haittaohjelmat ja troijalaiset sovellukset.

Internet, suurin tietokoneverkko, ei aina ole täynnä hyviä ihmisiä. Varmistaaksemme, että tietokoneemme/palvelimemme ovat turvallisia, meidän on suojattava ne.

Yksi tietokoneen/palvelimien pakollisista komponenteista on palomuuri. Wikipediasta oleva määritelmä on:

Laskennassa palomuuri on ohjelmisto- tai laitteistopohjainen verkon turvajärjestelmä, joka ohjaa tulevaa ja lähtevää verkkoliikennettä analysoimalla datapaketit ja määrittämällä, sallitaanko ne läpi vai ei sovelletun sääntöjoukon perusteella.

Iptables on yksi palvelimien laajasti käyttämistä palomuureista. Se on ohjelma, jota käytetään hallitsemaan saapuvaa ja lähtevää liikennettä palvelimella sääntöjen perusteella. Yleensä vain luotettu yhteys saa tulla palvelimelle. Mutta IPTables toimii konsolitilassa ja se on monimutkaista. Ne, jotka tuntevat iptables-säännöt ja -komennot, voivat lukea seuraavan artikkelin, jossa kuvataan iptables-palomuurin käyttöä.

  1. IPTables (Linux Firewall) -perusopas

UFW-palomuurin asennus Debianiin/Ubuntuun

IPTables-ohjeiden asettamisen monimutkaisuuden vähentämiseksi on olemassa monia etusivuja. Jos käytät Ubuntu Linuxia, ufw on oletuspalomuurityökalu. Aloitetaan tutustuminen ufw-palomuuriin.

Mikä on ufw

ufw (Yksinkertainen palomuuri) on yleisimmin käytetyn iptables-palomuurin käyttöliittymä, ja se on mukava isäntäpohjaisissa palomuurissa. ufw tarjoaa puitteet netfilterin hallintaan sekä komentoriviliittymän palomuurin hallintaan. Se tarjoaa käyttäjäystävällisen ja helppokäyttöisen käyttöliittymän Linux-aloittelijoille, jotka eivät tunne paljoa palomuurikonsepteja.

Toisaalta samat monimutkaiset komennot auttavat ylläpitäjiä asettamaan monimutkaisia sääntöjä komentoriviliittymän avulla. ufw on ylävirran versio muille jakeluille, kuten Debian, Ubuntu ja Linux Mint.

Peruskäyttö ufw

Tarkista ensin, onko ufw asennettu seuraavalla komennolla.

sudo dpkg --get-selections | grep ufw

ufw 		install

Jos sitä ei ole asennettu, voit asentaa sen apt-komennolla alla kuvatulla tavalla.

sudo apt-get install ufw

Tarkista ennen käyttöä, onko ufw käynnissä vai ei. Käytä seuraavaa komentoa tarkistaaksesi sen.

sudo ufw status

Jos huomasit Tilan: ei-aktiivinen, se tarkoittaa, että se ei ole aktiivinen tai se on poistettu käytöstä.

UUTTA! Korvaamaton e-kirja jokaiselle Linux-järjestelmänvalvojalle!

Lataa ilmainen 696 sivun e-kirja

Ufw:n ottaminen käyttöön/poistaminen käytöstä

Ottaaksesi sen käyttöön, sinun tarvitsee vain kirjoittaa seuraava komento terminaaliin.

sudo ufw enable

Firewall is active and enabled on system startup

Poista se käytöstä kirjoittamalla.

sudo ufw disable

Listaa nykyiset ufw-säännöt

Kun palomuuri on aktivoitu, voit lisätä siihen sääntösi. Jos haluat nähdä, mitkä ovat oletussäännöt, voit kirjoittaa.

sudo ufw status verbose
Näytelähtö
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
$

Kuinka lisätä ufw-sääntöjä

Kuten näet, oletusarvoisesti jokainen saapuva yhteys estetään. Jos haluat kauko-ohjata koneesi, sinun on sallittava oikea portti. Haluat esimerkiksi sallia ssh-yhteyden. Tässä on komento sen sallimiseksi.

Sallia pääsy
sudo ufw allow ssh

[sudo] password for pungki :
Rule added
Rule added (v6)
$

Jos tarkistat tilan uudelleen, näet tällaisen lähdön.

sudo ufw status

To 		Action 			From
-- 		----------- 		------
22 		ALLOW 			Anywhere
22 		ALLOW 			Anywhere (v6)

Jos sinulla on paljon sääntöjä ja haluat asettaa numerot jokaiseen sääntöön lennossa, käytä parametria numeroitu.

sudo ufw status numbered

To 		Action 			From
------ 		----------- 		------
[1] 22 		ALLOW 			Anywhere
[2] 22 		ALLOW 			Anywhere (v6)

Ensimmäinen sääntö sanoo, että saapuva yhteys porttiin 22 Mistä tahansa, sekä tcp- että udp-paketit ovat sallittuja. Entä jos haluat sallia vain tcp-paketin? Sitten voit lisätä parametrin tcp portin numeron jälkeen. Tässä on esimerkki näytetuloksesta.

sudo ufw allow ssh/tcp

To 		Action 			From
------ 		----------- 		------
22/tcp 		ALLOW 			Anywhere
22/tcp 		ALLOW 			Anywhere (v6)
Estä pääsy

Samoja temppuja sovelletaan Estä-sääntöön. Oletetaan, että haluat estä ftp-säännön. Joten sinun tarvitsee vain kirjoittaa.

sudo ufw deny ftp

To 		Action 			From
------ 		----------- 		------
21/tcp 		DENY 			Anywhere
21/tcp 		DENY 			Anywhere (v6)

Tietyn portin lisääminen

Joskus meillä on mukautettu portti, joka ei noudata mitään standardeja. Oletetaan, että muutamme koneemme ssh-portin arvosta 22 2290:ksi. Sallimme portin 2290 lisäämällä sen näin.

sudo ufw allow

To 		Action 			From
-- 		----------- 		------
2290 		ALLOW 			Anywhere
2290 		ALLOW 			Anywhere (v6)

Voit myös lisätä sääntöön port-range. Jos haluamme avata portin välillä 22902300 tcp-protokollalla, komento on tällainen.

sudo ufw allow 2290:2300/tcp

To 			Action 			From
------ 			----------- 		------
2290:2300/tcp 		ALLOW 			Anywhere
2290:2300/tcp 		ALLOW			Anywhere (v6)

mutta jos haluat käyttää udp-komentoa, käytä seuraavaa komentoa.

sudo ufw allow 2290:2300/udp

To 			Action 			From
------ 			----------- 		------
2290:2300/udp 		ALLOW 			Anywhere
2290:2300/udp 		ALLOW			Anywhere (v6)

Muista, että sinun täytyy kirjoittaa "tcp" tai "udp", muuten saat alla olevan kaltaisen virheilmoituksen.

ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports

Lisätään tietty IP

Aiemmin olemme lisänneet sääntöjä, jotka perustuvat palveluun tai porttiin. Ufw:n avulla voit myös lisätä sääntöjä IP-osoitteen perusteella. Tässä on esimerkkikomento.

sudo ufw allow from 192.168.0.104

Voit myös laajentaa aluetta käyttämällä aliverkon peitettä.

sudo ufw allow form 192.168.0.0/24

To 		Action 			From
-- 		----------- 		------
Anywhere	ALLOW 			192.168.0.104
Anywhere	ALLOW 			192.168.0.0/24

Kuten näet, parametri rajoittaa vain yhteyslähdettä. Vaikka määränpää – jota edustaa To-sarake – on Anywhere. Voit myös hallita kohdetta Vastaanottaja-parametrilla. Katsotaanpa esimerkkiä, jolla sallitaan pääsy porttiin 22 (ssh).

sudo ufw allow to any port 22

Yllä oleva komento sallii pääsyn porttiin 22 mistä tahansa ja mistä tahansa protokollasta.

Parametrien yhdistäminen

Tarkempia sääntöjä varten voit myös yhdistää IP-osoitteen, protokollan ja portin. Oletetaan, että haluamme luoda säännön, joka rajoittaa yhteyden vain IP-osoitteesta 192.168.0.104, vain protokollasta tcp ja porttiin 22. Sitten komento on kuten alla.

sudo ufw allow from 192.168.0.104 proto tcp to any port 22

Kieltosäännön luomisen syntaksi on samanlainen sallimissäännön kanssa. Sinun tarvitsee vain muuttaa parametri salli-tilasta kiellä.

Sääntöjen poistaminen

Joskus sinun on ehkä poistettava olemassa oleva sääntö. Jälleen kerran ufw:n avulla sääntöjen poistaminen on helppoa. Yllä olevasta näytteestä sinulla on alla sääntö ja haluat poistaa sen.

To 		Action 			From
-- 		----------- 		------
22/tcp		ALLOW 			192.168.0.104
21/tcp		ALLOW 			Anywhere
21/tcp 		ALLOW 			Anywhere (v6)

Sääntöjen poistamiseen on kaksi tapaa.

Menetelmä 1

Alla oleva komento poistaa säännöt, jotka vastaavat palvelua ftp. Joten 21/tcp, joka tarkoittaa ftp-porttia, poistetaan.

sudo ufw delete allow ftp
Menetelmä 2

Mutta kun yritit poistaa ensimmäisen säännön yllä olevassa esimerkissä käyttämällä alla olevaa komentoa.

sudo ufw delete allow ssh

Or 

sudo ufw delete allow 22/tcp

Saatat löytää virheilmoituksen, kuten.

Could not delete non-existent rule
Could not delete non-existent rule (v6)

Sitten voit tehdä tämän tempun. Kuten edellä mainittiin, voit näyttää säännön lukumäärän osoittaaksesi, minkä säännön haluamme poistaa. Anna meidän näyttää se sinulle.

sudo ufw status numbered

To 		Action 			From
-- 		----------- 		------
[1] 22/tcp		ALLOW 			192.168.0.104
[2] 21/tcp		ALLOW 			Anywhere
[3] 21/tcp 		ALLOW 			Anywhere (v6)

Sitten voit poistaa ensimmäisen säännön käyttämällä. Paina y poistaa säännön pysyvästi.

sudo ufw delete 1

Deleting :
Allow from 192.168.0.104 to any port 22 proto tcp
Proceed with operation (y|n)? y

Näistä menetelmistä näet eron. Tapa 2 pyytää käyttäjän vahvistusta ennen säännön poistamista, kun taas tapa 1 ei.

Kuinka nollata säännöt

Joissakin tilanteissa saatat haluta poistaa/nollata kaikki säännöt. Voit tehdä sen kirjoittamalla.

sudo ufw reset

Resetting all rules to installed defaults. Proceed with operation (y|n)? y

Jos painat y , ufw varmuuskopioi kaikki olemassa olevat säännöt ennen ufw:n nollausta. Sääntöjen nollaus poistaa myös palomuurisi käytöstä. Sinun on otettava se uudelleen käyttöön, jos haluat käyttää sitä.

Kehittyneet toiminnot

Kuten edellä totesin, ufw-palomuuri pystyy tekemään kaiken, mitä iptables voi tehdä. Tämä saavutetaan käyttämällä erilaisia sääntötiedostoja, jotka ovat vain iptables-restore-soveltuvia tekstitiedostoja. Ufw-komennon hienosäätö ja/tai muiden iptables-komentojen sijoittaminen, joita ei sallita ufw-komennon kautta, on useiden tekstitiedostojen muokkaamista.

  1. /etc/default/ufw: oletuskäytäntöjen, IPv6-tuen ja ydinmoduulien pääkokoonpano.
  2. /etc/ufw/before[6].rules: näiden tiedostojen säännöt lasketaan ennen ufw-komennolla lisättyjä sääntöjä.
  3. /etc/ufw/after[6].rules: näiden tiedostojen säännöt lasketaan ufw-komennolla lisättyjen sääntöjen jälkeen.
  4. /etc/ufw/sysctl.conf: ydinverkon viritettävät toiminnot.
  5. /etc/ufw/ufw.conf: määrittää, onko ufw käytössä käynnistyksen yhteydessä ja asettaa LOGLEVEL-arvon.

Johtopäätös

UFW iptablesin käyttöliittymänä tekee käyttäjälle varmasti helpon käyttöliittymän. Käyttäjän ei tarvitse muistaa monimutkaista iptables-syntaksia. UFW käyttää myös parametrina plain english.

Salli, estä, nollaa ovat yksi niistä. Uskon, että siellä on paljon enemmän iptables-käyttöliittymää. Mutta ehdottomasti ufw on yksi parhaista vaihtoehdoista käyttäjille, jotka haluavat asentaa palomuurinsa nopeasti, helposti ja tietysti turvallisesti. Käy ufw manuaalisivulla kirjoittamalla man ufw saadaksesi lisätietoja.