Ako na to firewall Ubuntu

Úvod

Ubuntu je operačný systém Linux, ktorý je medzi správcami serverov pomerne populárny vďaka pokročilým funkciám, ktoré sú štandardne poskytované. Jednou z takých funkcií je brána firewall, čo je bezpečnostný systém, ktorý monitoruje prichádzajúce aj odchádzajúce sieťové pripojenia a prijíma rozhodnutia v závislosti od vopred definovaných bezpečnostných pravidiel. Ak chcete definovať tieto pravidlá, musí byť brána firewall nakonfigurovaná pred jej použitím a táto príručka ukazuje, ako ľahko povoliť a nakonfigurovať bránu firewall v systéme Ubuntu spolu s ďalšími užitočnými tipmi na konfiguráciu brány firewall.

Ako povoliť bránu firewall

V predvolenom nastavení je Ubuntu dodávaný s bránou firewall, známou ako UFW (nekomplikovaná brána firewall), ktorá je dostatočná spolu s niektorými ďalšími balíčkami tretích strán na zabezpečenie servera pred vonkajšími hrozbami. Pretože však firewall nie je povolený, musí byť najskôr aktivovaný. Pomocou nasledujúceho príkazu povolíte predvolený UFW v Ubuntu.

1. Najskôr skontrolujte aktuálny stav brány firewall a uistite sa, že je skutočne vypnutá. Ak chcete získať podrobný stav, použite ho spolu s príkazom verbose.
   sudo ufw status
   sudo ufw stav verbose

2. Ak je zakázané, aktivuje ho nasledujúci príkaz
   sudo ufw povoliť

3. Po povolení brány firewall reštartujte systém, aby sa zmeny prejavili. Parameter r sa používa na uvedenie príkazu na reštartovanie, parameter now na vyjadrenie, že reštart sa musí vykonať okamžite a bez akéhokoľvek oneskorenia.
   sudo vypnutie -r teraz

Blokujte všetky prenosy pomocou brány firewall

UFW, predvolene blokovať / povoliť všetky prenosy, pokiaľ nie je prepísané konkrétnymi portami. Ako je vidieť na vyššie uvedených snímkach obrazovky, ufw blokuje všetky prichádzajúce prenosy a umožňuje všetku odchádzajúcu komunikáciu. Pomocou nasledujúcich príkazov však možno všetku komunikáciu zakázať bez akýchkoľvek výnimiek. Týmto sa odstránia všetky konfigurácie UFW a zakáže sa prístup z ľubovoľného pripojenia.

          sudo ufw reset

          sudo ufw predvolene odmietnuť prichádzajúce

          sudo ufw default odoprieť odchádzajúce

Ako povoliť port pre HTTP?

HTTP je skratka pre hypertextový prenosový protokol, ktorý definuje, ako sa má správa formátovať pri prenose cez akúkoľvek sieť, napríklad po celej sieti typu internet. Pretože sa webový prehliadač v predvolenom nastavení pripája k webovému serveru pomocou protokolu HTTP, aby mohol komunikovať s obsahom, musí byť povolený port patriaci HTTP. Ak navyše webový server používa SSL / TLS (zabezpečená vrstva soketu / zabezpečenie transportnej vrstvy), musí byť tiež povolený protokol HTTPS.

          sudo ufw povoliť http

          sudo ufw povoliť https

Ako povoliť port pre SSH?

SSH znamená bezpečný shell, ktorý sa používa na pripojenie k systému prostredníctvom siete, zvyčajne cez internet; Preto sa široko používa na pripojenie k serverom cez internet z lokálneho počítača. Pretože štandardne Ubuntu blokuje všetky prichádzajúce pripojenia, vrátane SSH, musí byť povolený, aby mal prístup k serveru cez internet.

          sudo ufw povoliť ssh

Ak je SSH nakonfigurovaný na použitie iného portu, musí byť namiesto názvu profilu výslovne uvedené číslo portu.

          sudo ufw povoliť 1024

Ako povoliť port pre TCP / UDP

TCP, alias protokol riadenia prenosu, definuje, ako nadviazať a udržiavať sieťovú konverzáciu, aby si mohla aplikácia vymieňať údaje. Webový server predvolene používa protokol TCP; teda musí byť povolené, ale našťastie povolenie portu umožní aj port pre oba TCP / UDP naraz. Ak je však konkrétny port určený na povolenie iba pre TCP alebo UDP, musí byť uvedený protokol spolu s číslom portu / názvom profilu.

          sudo ufw allow | deny portnumber | profilename / tcp / udp

          sudo ufw povoliť 21 / tcp

          sudo ufw deny 21 / udp

Ako úplne zakázať bránu firewall?

Niekedy musí byť predvolený firewall deaktivovaný, aby sa dalo otestovať sieť alebo keď sa má inštalovať iný firewall. Nasledujúci príkaz úplne zakáže bránu firewall a bezpodmienečne povolí všetky prichádzajúce a odchádzajúce spojenia. Toto sa neodporúča, pokiaľ vyššie uvedené zámery nie sú dôvodmi deaktivácie. Zakázaním brány firewall sa neobnovia ani neodstránia jej konfigurácie; teda ho možno opäť povoliť s predchádzajúcimi nastaveniami.

          sudo ufw vypnúť

Povoliť predvolené pravidlá

Predvolené pravidlá určujú, ako brána firewall reaguje na pripojenie, keď sa mu nezhoduje žiadne pravidlo, napríklad ak brána firewall predvolene povoľuje všetky prichádzajúce spojenia, ale ak je pre prichádzajúce spojenia blokovaný port číslo 25, ostatné porty pre prichádzajúce spojenia stále fungujú. okrem portu číslo 25, pretože prepíše predvolené pripojenie. Nasledujúce príkazy zakazujú prichádzajúce spojenia a predvolene povoľujú odchádzajúce spojenia.

          sudo ufw predvolene odmietnuť prichádzajúce

          sudo ufw predvolene povoliť odchádzajúce

Povoliť konkrétny rozsah portov

Rozsah portov určuje, na ktoré porty sa pravidlo brány firewall vzťahuje. Rozsah je uvedený v startPort: endPort formáte, potom nasleduje protokol o pripojení, ktorý je v tomto prípade povinný uviesť.

          sudo ufw povoliť 6000: 6010 / tcp

          sudo ufw povoliť 6000: 6010 / udp

Povoliť / zakázať konkrétnu IP adresu / adresy

Môže byť povolený alebo zakázaný nielen konkrétny port pre odchádzajúce alebo prichádzajúce, ale aj adresa IP. Keď je v pravidle zadaná IP adresa, na každú požiadavku z tejto konkrétnej IP sa vzťahuje práve zadané pravidlo, napríklad v nasledujúcom príkaze umožňuje všetky požiadavky od 67.205.171.204 IP adresa, potom umožňuje všetky žiadosti od 67.205.171.204 na porty 80 aj 443, čo to znamená, že každé zariadenie s touto adresou IP môže odosielať úspešné požiadavky na server bez toho, aby boli zamietnuté v prípade, že predvolené pravidlo blokuje všetky prichádzajúce spojenia. To je celkom užitočné pre súkromné ​​servery, ktoré používa jedna osoba alebo konkrétna sieť.

          sudo ufw povoliť od 67.205.171.204

          sudo ufw povoliť od 67.205.171.204 do ľubovoľného portu 80

          sudo ufw povoliť od 67.205.171.204 na ľubovoľný port 443

Povoliť protokolovanie

Funkcia protokolovania zaznamenáva technické podrobnosti každej požiadavky na server a zo servera. To je užitočné na účely ladenia; preto sa odporúča zapnúť ho.

          sudo ufw prihlasovanie

Povoliť / zakázať konkrétnu podsieť

Ak sa jedná o rozsah adries IP, je ťažké manuálne pridať každý záznam adresy IP do pravidla brány firewall, a to buď zakázať alebo povoliť, a preto možno rozsahy adries IP určiť v notácii CIDR, ktorá sa zvyčajne skladá z adresy IP a množstva. hostiteľov, ktorých obsahuje, a IP každého hostiteľa.

V nasledujúcom príklade používa nasledujúce dva príkazy. V prvom príklade používa / 24 sieťová maska, a teda pravidlo platné od 192.168.1.1 až 192.168.1.254 adries IP. V druhom príklade to isté pravidlo platí iba pre port číslo 25. Pokiaľ sú teda štandardne blokované prichádzajúce požiadavky, teraz môžu spomínané IP adresy posielať požiadavky na port číslo 25 servera.

           sudo ufw povoliť od 192.168.1.1/24

           sudo ufw povoliť od 192.168.1.1/24 do ľubovoľného portu 25

Odstrániť pravidlo z brány firewall

Pravidlá je možné z brány firewall odstrániť. Nasledujúci prvý príkaz nastaví každé pravidlo v bráne firewall číslom. Potom je možné pravidlo vymazať zadaním čísla patriaceho danému pravidlu.

          sudo ufw stav očíslovaný

          sudo ufw zmazať 2

Obnovte konfiguráciu brány firewall

Nakoniec začnete od konfigurácie brány firewall pomocou nasledujúceho príkazu. To je celkom užitočné, ak brána firewall začne pracovať čudne alebo ak sa brána firewall správa neočakávane.

          sudo ufw reset