UFW-palomuurin asentaminen Ubuntuun ja Debianiin


Oikein toimiva palomuuri on keskeisin osa täydellistä Linux-järjestelmän turvallisuutta. Oletusarvoisesti Debian- ja Ubuntu-jakelussa on palomuurin määritystyökalu nimeltä UFW (Uncomplicated Firewall), joka on suosituin ja helppokäyttöisin komentorivityökalu konfigurointiin ja palomuurin hallinta Ubuntu- ja Debian-jakeluissa.

Tässä artikkelissa selitämme, kuinka UFW-palomuuri asennetaan ja määritetään Ubuntu- ja Debian-jakeluissa.

Edellytykset

Ennen kuin aloitat tämän artikkelin, varmista, että olet kirjautunut Ubuntu- tai Debian-palvelimellesi sudo-käyttäjällä tai root-tilillä. Jos sinulla ei ole sudo-käyttäjää, voit luoda sellaisen seuraavien ohjeiden avulla pääkäyttäjänä.

adduser username
usermod -aG sudo username 
su - username
sudo whoami

Asenna UFW-palomuuri Ubuntuun ja Debianiin

UFW (Yksinkertainen palomuuri) tulee asentaa oletuksena Ubuntuun ja Debianiin. Jos ei, asenna se APT-paketinhallinnan avulla seuraavalla komennolla.

sudo apt install ufw

Tarkista UFW-palomuuri

Kun asennus on valmis, voit tarkistaa UFW:n tilan kirjoittamalla.

sudo ufw status verbose

Ensimmäisessä asennuksessa UFW-palomuuri on oletusarvoisesti pois käytöstä, tulos on samanlainen kuin alla.

Status: inactive

Ota UFW-palomuuri käyttöön

Voit aktivoida tai ottaa käyttöön UFW-palomuurin seuraavalla komennolla, jonka pitäisi ladata palomuuri ja mahdollistaa sen käynnistyminen käynnistyksen yhteydessä.

sudo ufw enable

Voit poistaa UFW-palomuurin käytöstä käyttämällä seuraavaa komentoa, joka purkaa palomuurin ja estää sen käynnistymisen käynnistyksen yhteydessä.

sudo ufw disable 

UFW-oletuskäytännöt

Oletusarvoisesti UFW-palomuuri estää kaikki saapuvat yhteydet ja sallii vain kaikki lähtevät yhteydet palvelimeen. Tämä tarkoittaa, että kukaan ei voi käyttää palvelintasi, ellet erityisesti avaa porttia, kun taas kaikki palvelimellasi käynnissä olevat palvelut tai sovellukset voivat päästä ulkopuoliseen verkkoon.

UFW-palomuurin oletuskäytännöt sijoitetaan /etc/default/ufw-tiedostoon ja niitä voidaan muuttaa seuraavalla komennolla.

sudo ufw default deny incoming
sudo ufw default allow outgoing

UFW-sovellusprofiilit

Kun asennat ohjelmistopaketin APT-paketinhallinnan avulla, se sisältää sovellusprofiilin /etc/ufw/applications.d-hakemistossa, joka määrittää palvelun ja säilyttää UFW-asetukset.

Voit luetella kaikki palvelimellasi käytettävissä olevat sovellusprofiilit käyttämällä seuraavaa komentoa.

sudo ufw app list

Järjestelmäsi ohjelmistopakettien asennuksista riippuen tulos näyttää seuraavanlaiselta:

Available applications:
  APACHE
  APACHE Full
  APACHE SECURE
  CUPS
  OpenSSH
  Postfix
  Postfix SMTPS
  Postfix Submission

Jos haluat saada lisätietoja tietystä profiilista ja määritellyistä säännöistä, voit käyttää seuraavaa komentoa.

sudo ufw app info 'Apache'
Profile: Apache
Title: Web Server 
Description: Apache V2 is the next generation f the omnipresent Apache web server.

Ports:
  80/tcp

Ota IPv6 käyttöön UFW:llä

Jos palvelimellesi on määritetty IPv6, varmista, että UFW on määritetty tukemaan IPv6- ja IPv4-tukea. Tarkista se avaamalla UFW-määritystiedosto suosikkieditorillasi.

sudo vi /etc/default/ufw

Varmista sitten, että "IPV6" -asetuksena on "yes" määritystiedostossa kuvan osoittamalla tavalla.

IPV6=yes

Tallenna ja lopeta. Käynnistä sitten palomuuri uudelleen seuraavilla komennoilla:

sudo ufw disable
sudo ufw enable

Salli SSH-yhteydet UFW:ssä

Jos olet ottanut UFW-palomuurin käyttöön tähän mennessä, se estää kaikki saapuvat yhteydet ja jos olet muodostanut yhteyden palvelimeesi SSH:n kautta etäpaikasta, et voi enää yhdistää sitä uudelleen.

Otetaan SSH-yhteydet käyttöön palvelimellemme, jotta sitä ei tapahdu seuraavalla komennolla:

sudo ufw allow ssh

Jos käytät mukautettua SSH-porttia (esimerkiksi porttia 2222), sinun on avattava kyseinen portti UFW-palomuurissa seuraavalla komennolla.

sudo ufw allow 2222/tcp

Voit estää kaikki SSH-yhteydet kirjoittamalla seuraavan komennon.

sudo ufw deny ssh/tcp
sudo ufw deny 2222/tcp  [If using custom SSH port]

Ota käyttöön tietyt portit UFW:ssä

Voit myös avata palomuurin tietyn portin salliaksesi yhteydet sen kautta tiettyyn palveluun. Jos esimerkiksi haluat määrittää verkkopalvelimen, joka kuuntelee porttia 80 (HTTP) ja 443 (HTTPS). >) oletuksena.

Alla on muutamia esimerkkejä saapuvien yhteyksien sallimisesta Apache-palveluihin.

Avaa portti 80 HTTP UFW:ssä
sudo ufw allow http     [By service name]
sudo ufw allow 80/tcp   [By port number]
sudo ufw allow 'Apache' [By application profile]
Avaa portti 443 HTTPS UFW:ssä
sudo ufw allow https
sudo ufw allow 443/tcp
sudo ufw allow 'Apache Secure'

Salli porttialueet UFW:ssä

Olettaen, että sinulla on joitain sovelluksia, joita haluat käyttää useissa porteissa (5000-5003), voit lisätä kaikki nämä portit seuraavilla komennoilla.

sudo ufw allow 5000:5003/tcp
sudo ufw allow 5000:5003/udp

Salli tietyt IP-osoitteet

Jos haluat sallia yhteydet kaikissa porteissa tietystä IP-osoitteesta 192.168.56.1, sinun on määritettävä IP-osoite alkaen.

sudo ufw allow from 192.168.56.1

Salli tietyt IP-osoitteet tietyssä portissa

Jos haluat sallia yhteyden tiettyyn porttiin (esimerkiksi porttiin 22) kotikoneeltasi, jonka IP-osoite on 192.168.56.1, sinun on lisättävä mikä tahansa portti< ja portin numero IP-osoitteen jälkeen kuvan mukaisesti.

sudo ufw allow from 192.168.56.1 to any port 22

Salli verkon aliverkot tiettyyn porttiin

Salli yhteydet tietyille IP-osoitteille, jotka vaihtelevat välillä 192.168.1.1192.168.1.254 porttiin 22 (SSH) , suorita seuraava komento.

sudo ufw allow from 192.168.1.0/24 to any port 22

Salli tietty verkkoliitäntä

Jos haluat sallia yhteydet tiettyyn verkkoliitäntään eth2 tietylle portille 22 (SSH), suorita seuraava komento.

sudo ufw allow in on eth2 to any port 22

Estä yhteydet UFW:llä

Oletuksena kaikki saapuvat yhteydet estetään, ellet ole erikseen avannut yhteyttä UFW:ssä. Olet esimerkiksi avannut portit 80 ja 443 ja verkkopalvelimesi on hyökkäyksen kohteena tuntemattomasta verkosta 11.12.13.0/24.

Voit estää kaikki yhteydet tältä tietyltä 11.12.13.0/24 verkkoalueelta käyttämällä seuraavaa komentoa.

sudo ufw deny from 11.12.13.0/24

Jos haluat estää yhteydet vain porteissa 80 ja 443, voit käyttää seuraavia komentoja.

sudo ufw deny from 11.12.13.0/24 to any port 80
sudo ufw deny from 11.12.13.0/24 to any port 443

Poista UFW-säännöt

UFW-sääntöjä voi poistaa kahdella tavalla: säännön numeron ja todellisen säännön mukaan.

Jos haluat poistaa UFW-säännöt säännön numeron avulla, sinun on ensin lueteltava säännöt numeroittain seuraavan komennon avulla.

sudo ufw status numbered
Näytelähtö
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 80/tcp                     ALLOW IN    Anywhere

Voit poistaa säännön numero 1 käyttämällä seuraavaa komentoa.

sudo ufw delete 1

Toinen tapa on poistaa sääntö käyttämällä todellista sääntöä. Jos haluat esimerkiksi poistaa säännön, määritä portin numero protokollalla kuvan mukaisesti.

sudo ufw delete allow 22/tcp

Dry Run UFW -säännöt

Voit suorittaa mitä tahansa ufw-komentoa tekemättä mitään muutoksia järjestelmän palomuuriin --dry-run-lipun avulla. Tämä yksinkertaisesti näyttää muutokset, jotka oletetaan tapahtuvan.

sudo ufw --dry-run enable

Palauta UFW-palomuuri

Jos haluat syystä tai toisesta poistaa/nollata kaikki palomuurisäännöt, kirjoita seuraavat komennot, se palauttaa kaikki tekemäsi muutokset ja aloittaa alusta.

sudo ufw reset
sudo ufw status

UFW Advanced Functionality

UFW-palomuuri pystyy tekemään kaiken, mitä iptables tekee. Tämä voidaan tehdä erilaisilla sääntötiedostoilla, jotka eivät ole mitään vaan yksinkertaisia iptables-restore -tekstitiedostoja.

UFW-palomuurin virittäminen tai ylimääräisten iptables-komentojen lisääminen ei ole sallittua ufw-komennolla, vaan seuraavien tekstitiedostojen muuttaminen

  • /etc/default/ufw: Päämääritystiedosto ennalta määritetyillä säännöillä.
  • /etc/ufw/before[6].rules: Tässä tiedostossa säännöt lasketaan ennen lisäämistä ufw-komennolla.
  • /etc/ufw/after[6].rules: Tässä tiedostossa säännöt lasketaan lisäyksen jälkeen ufw-komennolla.
  • /etc/ufw/sysctl.conf: Tätä tiedostoa käytetään ydinverkon virittämiseen.
  • /etc/ufw/ufw.conf: Tämä tiedosto ottaa ufw:n käyttöön käynnistyksen yhteydessä.

Se siitä! UFW on erinomainen käyttöliittymä iptablesille, jossa on käyttäjäystävällinen käyttöliittymä monimutkaisten sääntöjen määrittämiseen yhdellä ufw-komennolla.

Jos sinulla on kysyttävää tai ajatuksia tästä ufw-artikkelista, käytä alla olevaa kommenttilomaketta ottaaksesi meihin yhteyttä.