Úvod
Ubuntu je operačný systém Linux, ktorý je medzi správcami serverov pomerne populárny vďaka pokročilým funkciám, ktoré sú štandardne poskytované. Jednou z takých funkcií je brána firewall, čo je bezpečnostný systém, ktorý monitoruje prichádzajúce aj odchádzajúce sieťové pripojenia a prijíma rozhodnutia v závislosti od vopred definovaných bezpečnostných pravidiel. Ak chcete definovať tieto pravidlá, musí byť brána firewall nakonfigurovaná pred jej použitím a táto príručka ukazuje, ako ľahko povoliť a nakonfigurovať bránu firewall v systéme Ubuntu spolu s ďalšími užitočnými tipmi na konfiguráciu brány firewall.
Ako povoliť bránu firewall
V predvolenom nastavení je Ubuntu dodávaný s bránou firewall, známou ako UFW (nekomplikovaná brána firewall), ktorá je dostatočná spolu s niektorými ďalšími balíčkami tretích strán na zabezpečenie servera pred vonkajšími hrozbami. Pretože však firewall nie je povolený, musí byť najskôr aktivovaný. Pomocou nasledujúceho príkazu povolíte predvolený UFW v Ubuntu.
- Najskôr skontrolujte aktuálny stav brány firewall a uistite sa, že je skutočne vypnutá. Ak chcete získať podrobný stav, použite ho spolu s príkazom verbose.
sudo ufw status
sudo ufw stav verbose
- Ak je zakázané, aktivuje ho nasledujúci príkaz
sudo ufw povoliť
- Po povolení brány firewall reštartujte systém, aby sa zmeny prejavili. Parameter r sa používa na uvedenie príkazu na reštartovanie, parameter now na vyjadrenie, že reštart sa musí vykonať okamžite a bez akéhokoľvek oneskorenia.
sudo vypnutie -r teraz
Blokujte všetky prenosy pomocou brány firewall
UFW, predvolene blokovať / povoliť všetky prenosy, pokiaľ nie je prepísané konkrétnymi portami. Ako je vidieť na vyššie uvedených snímkach obrazovky, ufw blokuje všetky prichádzajúce prenosy a umožňuje všetku odchádzajúcu komunikáciu. Pomocou nasledujúcich príkazov však možno všetku komunikáciu zakázať bez akýchkoľvek výnimiek. Týmto sa odstránia všetky konfigurácie UFW a zakáže sa prístup z ľubovoľného pripojenia.
sudo ufw reset
sudo ufw predvolene odmietnuť prichádzajúce
sudo ufw default odoprieť odchádzajúce
Ako povoliť port pre HTTP?
HTTP je skratka pre hypertextový prenosový protokol, ktorý definuje, ako sa má správa formátovať pri prenose cez akúkoľvek sieť, napríklad po celej sieti typu internet. Pretože sa webový prehliadač v predvolenom nastavení pripája k webovému serveru pomocou protokolu HTTP, aby mohol komunikovať s obsahom, musí byť povolený port patriaci HTTP. Ak navyše webový server používa SSL / TLS (zabezpečená vrstva soketu / zabezpečenie transportnej vrstvy), musí byť tiež povolený protokol HTTPS.
sudo ufw povoliť http
sudo ufw povoliť https
Ako povoliť port pre SSH?
SSH znamená bezpečný shell, ktorý sa používa na pripojenie k systému prostredníctvom siete, zvyčajne cez internet; Preto sa široko používa na pripojenie k serverom cez internet z lokálneho počítača. Pretože štandardne Ubuntu blokuje všetky prichádzajúce pripojenia, vrátane SSH, musí byť povolený, aby mal prístup k serveru cez internet.
sudo ufw povoliť ssh
Ak je SSH nakonfigurovaný na použitie iného portu, musí byť namiesto názvu profilu výslovne uvedené číslo portu.
sudo ufw povoliť 1024
Ako povoliť port pre TCP / UDP
TCP, alias protokol riadenia prenosu, definuje, ako nadviazať a udržiavať sieťovú konverzáciu, aby si mohla aplikácia vymieňať údaje. Webový server predvolene používa protokol TCP; teda musí byť povolené, ale našťastie povolenie portu umožní aj port pre oba TCP / UDP naraz. Ak je však konkrétny port určený na povolenie iba pre TCP alebo UDP, musí byť uvedený protokol spolu s číslom portu / názvom profilu.
sudo ufw allow | deny portnumber | profilename / tcp / udp
sudo ufw povoliť 21 / tcp
sudo ufw deny 21 / udp
Ako úplne zakázať bránu firewall?
Niekedy musí byť predvolený firewall deaktivovaný, aby sa dalo otestovať sieť alebo keď sa má inštalovať iný firewall. Nasledujúci príkaz úplne zakáže bránu firewall a bezpodmienečne povolí všetky prichádzajúce a odchádzajúce spojenia. Toto sa neodporúča, pokiaľ vyššie uvedené zámery nie sú dôvodmi deaktivácie. Zakázaním brány firewall sa neobnovia ani neodstránia jej konfigurácie; teda ho možno opäť povoliť s predchádzajúcimi nastaveniami.
sudo ufw vypnúť
Povoliť predvolené pravidlá
Predvolené pravidlá určujú, ako brána firewall reaguje na pripojenie, keď sa mu nezhoduje žiadne pravidlo, napríklad ak brána firewall predvolene povoľuje všetky prichádzajúce spojenia, ale ak je pre prichádzajúce spojenia blokovaný port číslo 25, ostatné porty pre prichádzajúce spojenia stále fungujú. okrem portu číslo 25, pretože prepíše predvolené pripojenie. Nasledujúce príkazy zakazujú prichádzajúce spojenia a predvolene povoľujú odchádzajúce spojenia.
sudo ufw predvolene odmietnuť prichádzajúce
sudo ufw predvolene povoliť odchádzajúce
Povoliť konkrétny rozsah portov
Rozsah portov určuje, na ktoré porty sa pravidlo brány firewall vzťahuje. Rozsah je uvedený v startPort: endPort formáte, potom nasleduje protokol o pripojení, ktorý je v tomto prípade povinný uviesť.
sudo ufw povoliť 6000: 6010 / tcp
sudo ufw povoliť 6000: 6010 / udp
Povoliť / zakázať konkrétnu IP adresu / adresy
Môže byť povolený alebo zakázaný nielen konkrétny port pre odchádzajúce alebo prichádzajúce, ale aj adresa IP. Keď je v pravidle zadaná IP adresa, na každú požiadavku z tejto konkrétnej IP sa vzťahuje práve zadané pravidlo, napríklad v nasledujúcom príkaze umožňuje všetky požiadavky od 67.205.171.204 IP adresa, potom umožňuje všetky žiadosti od 67.205.171.204 na porty 80 aj 443, čo to znamená, že každé zariadenie s touto adresou IP môže odosielať úspešné požiadavky na server bez toho, aby boli zamietnuté v prípade, že predvolené pravidlo blokuje všetky prichádzajúce spojenia. To je celkom užitočné pre súkromné servery, ktoré používa jedna osoba alebo konkrétna sieť.
sudo ufw povoliť od 67.205.171.204
sudo ufw povoliť od 67.205.171.204 do ľubovoľného portu 80
sudo ufw povoliť od 67.205.171.204 na ľubovoľný port 443
Povoliť protokolovanie
Funkcia protokolovania zaznamenáva technické podrobnosti každej požiadavky na server a zo servera. To je užitočné na účely ladenia; preto sa odporúča zapnúť ho.
sudo ufw prihlasovanie
Povoliť / zakázať konkrétnu podsieť
Ak sa jedná o rozsah adries IP, je ťažké manuálne pridať každý záznam adresy IP do pravidla brány firewall, a to buď zakázať alebo povoliť, a preto možno rozsahy adries IP určiť v notácii CIDR, ktorá sa zvyčajne skladá z adresy IP a množstva. hostiteľov, ktorých obsahuje, a IP každého hostiteľa.
V nasledujúcom príklade používa nasledujúce dva príkazy. V prvom príklade používa / 24 sieťová maska, a teda pravidlo platné od 192.168.1.1 až 192.168.1.254 adries IP. V druhom príklade to isté pravidlo platí iba pre port číslo 25. Pokiaľ sú teda štandardne blokované prichádzajúce požiadavky, teraz môžu spomínané IP adresy posielať požiadavky na port číslo 25 servera.
sudo ufw povoliť od 192.168.1.1/24
sudo ufw povoliť od 192.168.1.1/24 do ľubovoľného portu 25
Odstrániť pravidlo z brány firewall
Pravidlá je možné z brány firewall odstrániť. Nasledujúci prvý príkaz nastaví každé pravidlo v bráne firewall číslom. Potom je možné pravidlo vymazať zadaním čísla patriaceho danému pravidlu.
sudo ufw stav očíslovaný
sudo ufw zmazať 2
Obnovte konfiguráciu brány firewall
Nakoniec začnete od konfigurácie brány firewall pomocou nasledujúceho príkazu. To je celkom užitočné, ak brána firewall začne pracovať čudne alebo ak sa brána firewall správa neočakávane.
sudo ufw reset