UFW-palomuurin asentaminen Ubuntuun ja Debianiin
Oikein toimiva palomuuri on keskeisin osa täydellistä Linux-järjestelmän turvallisuutta. Oletusarvoisesti Debian- ja Ubuntu-jakelussa on palomuurin määritystyökalu nimeltä UFW (Uncomplicated Firewall), joka on suosituin ja helppokäyttöisin komentorivityökalu konfigurointiin ja palomuurin hallinta Ubuntu- ja Debian-jakeluissa.
Tässä artikkelissa selitämme, kuinka UFW-palomuuri asennetaan ja määritetään Ubuntu- ja Debian-jakeluissa.
Edellytykset
Ennen kuin aloitat tämän artikkelin, varmista, että olet kirjautunut Ubuntu- tai Debian-palvelimellesi sudo-käyttäjällä tai root-tilillä. Jos sinulla ei ole sudo-käyttäjää, voit luoda sellaisen seuraavien ohjeiden avulla pääkäyttäjänä.
adduser username
usermod -aG sudo username
su - username
sudo whoami
Asenna UFW-palomuuri Ubuntuun ja Debianiin
UFW (Yksinkertainen palomuuri) tulee asentaa oletuksena Ubuntuun ja Debianiin. Jos ei, asenna se APT-paketinhallinnan avulla seuraavalla komennolla.
sudo apt install ufw
Tarkista UFW-palomuuri
Kun asennus on valmis, voit tarkistaa UFW:n tilan kirjoittamalla.
sudo ufw status verbose
Ensimmäisessä asennuksessa UFW-palomuuri on oletusarvoisesti pois käytöstä, tulos on samanlainen kuin alla.
Status: inactive
Ota UFW-palomuuri käyttöön
Voit aktivoida tai ottaa käyttöön UFW-palomuurin seuraavalla komennolla, jonka pitäisi ladata palomuuri ja mahdollistaa sen käynnistyminen käynnistyksen yhteydessä.
sudo ufw enable
Voit poistaa UFW-palomuurin käytöstä käyttämällä seuraavaa komentoa, joka purkaa palomuurin ja estää sen käynnistymisen käynnistyksen yhteydessä.
sudo ufw disable
UFW-oletuskäytännöt
Oletusarvoisesti UFW-palomuuri estää kaikki saapuvat yhteydet ja sallii vain kaikki lähtevät yhteydet palvelimeen. Tämä tarkoittaa, että kukaan ei voi käyttää palvelintasi, ellet erityisesti avaa porttia, kun taas kaikki palvelimellasi käynnissä olevat palvelut tai sovellukset voivat päästä ulkopuoliseen verkkoon.
UFW-palomuurin oletuskäytännöt sijoitetaan /etc/default/ufw
-tiedostoon ja niitä voidaan muuttaa seuraavalla komennolla.
sudo ufw default deny incoming
sudo ufw default allow outgoing
UFW-sovellusprofiilit
Kun asennat ohjelmistopaketin APT-paketinhallinnan avulla, se sisältää sovellusprofiilin /etc/ufw/applications.d
-hakemistossa, joka määrittää palvelun ja säilyttää UFW-asetukset.
Voit luetella kaikki palvelimellasi käytettävissä olevat sovellusprofiilit käyttämällä seuraavaa komentoa.
sudo ufw app list
Järjestelmäsi ohjelmistopakettien asennuksista riippuen tulos näyttää seuraavanlaiselta:
Available applications:
APACHE
APACHE Full
APACHE SECURE
CUPS
OpenSSH
Postfix
Postfix SMTPS
Postfix Submission
Jos haluat saada lisätietoja tietystä profiilista ja määritellyistä säännöistä, voit käyttää seuraavaa komentoa.
sudo ufw app info 'Apache'
Profile: Apache
Title: Web Server
Description: Apache V2 is the next generation f the omnipresent Apache web server.
Ports:
80/tcp
Ota IPv6 käyttöön UFW:llä
Jos palvelimellesi on määritetty IPv6, varmista, että UFW on määritetty tukemaan IPv6- ja IPv4-tukea. Tarkista se avaamalla UFW-määritystiedosto suosikkieditorillasi.
sudo vi /etc/default/ufw
Varmista sitten, että "IPV6" -asetuksena on "yes"
määritystiedostossa kuvan osoittamalla tavalla.
IPV6=yes
Tallenna ja lopeta. Käynnistä sitten palomuuri uudelleen seuraavilla komennoilla:
sudo ufw disable
sudo ufw enable
Salli SSH-yhteydet UFW:ssä
Jos olet ottanut UFW-palomuurin käyttöön tähän mennessä, se estää kaikki saapuvat yhteydet ja jos olet muodostanut yhteyden palvelimeesi SSH:n kautta etäpaikasta, et voi enää yhdistää sitä uudelleen.
Otetaan SSH-yhteydet käyttöön palvelimellemme, jotta sitä ei tapahdu seuraavalla komennolla:
sudo ufw allow ssh
Jos käytät mukautettua SSH-porttia (esimerkiksi porttia 2222), sinun on avattava kyseinen portti UFW-palomuurissa seuraavalla komennolla.
sudo ufw allow 2222/tcp
Voit estää kaikki SSH-yhteydet kirjoittamalla seuraavan komennon.
sudo ufw deny ssh/tcp
sudo ufw deny 2222/tcp [If using custom SSH port]
Ota käyttöön tietyt portit UFW:ssä
Voit myös avata palomuurin tietyn portin salliaksesi yhteydet sen kautta tiettyyn palveluun. Jos esimerkiksi haluat määrittää verkkopalvelimen, joka kuuntelee porttia 80 (HTTP) ja 443 (HTTPS). >) oletuksena.
Alla on muutamia esimerkkejä saapuvien yhteyksien sallimisesta Apache-palveluihin.
Avaa portti 80 HTTP UFW:ssä
sudo ufw allow http [By service name]
sudo ufw allow 80/tcp [By port number]
sudo ufw allow 'Apache' [By application profile]
Avaa portti 443 HTTPS UFW:ssä
sudo ufw allow https
sudo ufw allow 443/tcp
sudo ufw allow 'Apache Secure'
Salli porttialueet UFW:ssä
Olettaen, että sinulla on joitain sovelluksia, joita haluat käyttää useissa porteissa (5000-5003), voit lisätä kaikki nämä portit seuraavilla komennoilla.
sudo ufw allow 5000:5003/tcp
sudo ufw allow 5000:5003/udp
Salli tietyt IP-osoitteet
Jos haluat sallia yhteydet kaikissa porteissa tietystä IP-osoitteesta 192.168.56.1, sinun on määritettävä IP-osoite alkaen.
sudo ufw allow from 192.168.56.1
Salli tietyt IP-osoitteet tietyssä portissa
Jos haluat sallia yhteyden tiettyyn porttiin (esimerkiksi porttiin 22) kotikoneeltasi, jonka IP-osoite on 192.168.56.1, sinun on lisättävä mikä tahansa portti< ja portin numero IP-osoitteen jälkeen kuvan mukaisesti.
sudo ufw allow from 192.168.56.1 to any port 22
Salli verkon aliverkot tiettyyn porttiin
Salli yhteydet tietyille IP-osoitteille, jotka vaihtelevat välillä 192.168.1.1 – 192.168.1.254 porttiin 22 (SSH) , suorita seuraava komento.
sudo ufw allow from 192.168.1.0/24 to any port 22
Salli tietty verkkoliitäntä
Jos haluat sallia yhteydet tiettyyn verkkoliitäntään eth2 tietylle portille 22 (SSH), suorita seuraava komento.
sudo ufw allow in on eth2 to any port 22
Estä yhteydet UFW:llä
Oletuksena kaikki saapuvat yhteydet estetään, ellet ole erikseen avannut yhteyttä UFW:ssä. Olet esimerkiksi avannut portit 80 ja 443 ja verkkopalvelimesi on hyökkäyksen kohteena tuntemattomasta verkosta 11.12.13.0/24.
Voit estää kaikki yhteydet tältä tietyltä 11.12.13.0/24 verkkoalueelta käyttämällä seuraavaa komentoa.
sudo ufw deny from 11.12.13.0/24
Jos haluat estää yhteydet vain porteissa 80 ja 443, voit käyttää seuraavia komentoja.
sudo ufw deny from 11.12.13.0/24 to any port 80
sudo ufw deny from 11.12.13.0/24 to any port 443
Poista UFW-säännöt
UFW-sääntöjä voi poistaa kahdella tavalla: säännön numeron ja todellisen säännön mukaan.
Jos haluat poistaa UFW-säännöt säännön numeron avulla, sinun on ensin lueteltava säännöt numeroittain seuraavan komennon avulla.
sudo ufw status numbered
Näytelähtö
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
Voit poistaa säännön numero 1 käyttämällä seuraavaa komentoa.
sudo ufw delete 1
Toinen tapa on poistaa sääntö käyttämällä todellista sääntöä. Jos haluat esimerkiksi poistaa säännön, määritä portin numero protokollalla kuvan mukaisesti.
sudo ufw delete allow 22/tcp
Dry Run UFW -säännöt
Voit suorittaa mitä tahansa ufw-komentoa tekemättä mitään muutoksia järjestelmän palomuuriin --dry-run
-lipun avulla. Tämä yksinkertaisesti näyttää muutokset, jotka oletetaan tapahtuvan.
sudo ufw --dry-run enable
Palauta UFW-palomuuri
Jos haluat syystä tai toisesta poistaa/nollata kaikki palomuurisäännöt, kirjoita seuraavat komennot, se palauttaa kaikki tekemäsi muutokset ja aloittaa alusta.
sudo ufw reset
sudo ufw status
UFW Advanced Functionality
UFW-palomuuri pystyy tekemään kaiken, mitä iptables tekee. Tämä voidaan tehdä erilaisilla sääntötiedostoilla, jotka eivät ole mitään vaan yksinkertaisia iptables-restore -tekstitiedostoja.
UFW-palomuurin virittäminen tai ylimääräisten iptables-komentojen lisääminen ei ole sallittua ufw-komennolla, vaan seuraavien tekstitiedostojen muuttaminen
- /etc/default/ufw: Päämääritystiedosto ennalta määritetyillä säännöillä.
- /etc/ufw/before[6].rules: Tässä tiedostossa säännöt lasketaan ennen lisäämistä ufw-komennolla.
- /etc/ufw/after[6].rules: Tässä tiedostossa säännöt lasketaan lisäyksen jälkeen ufw-komennolla.
- /etc/ufw/sysctl.conf: Tätä tiedostoa käytetään ydinverkon virittämiseen.
- /etc/ufw/ufw.conf: Tämä tiedosto ottaa ufw:n käyttöön käynnistyksen yhteydessä.
Se siitä! UFW on erinomainen käyttöliittymä iptablesille, jossa on käyttäjäystävällinen käyttöliittymä monimutkaisten sääntöjen määrittämiseen yhdellä ufw-komennolla.
Jos sinulla on kysyttävää tai ajatuksia tästä ufw-artikkelista, käytä alla olevaa kommenttilomaketta ottaaksesi meihin yhteyttä.