Cara memasang dan menggunakan firewall ufw di linux
- 2644
- 625
- Clarence Tromp
Pengenalan
UFW juga dikenali sebagai firewall yang tidak rumit adalah antara muka kepada iptables dan sangat sesuai untuk firewall berasaskan tuan rumah. UFW menyediakan antara muka yang mudah digunakan untuk pengguna pemula yang tidak dikenali dengan konsep firewall. Ia adalah alat firewall yang paling popular yang berasal dari Ubuntu. Ia menyokong kedua -dua IPv4 dan IPv6.
Dalam tutorial ini, kami akan belajar cara memasang dan menggunakan firewall UFW di Linux.
Keperluan
- Sebarang pengedaran berasaskan Linux dipasang pada sistem anda
- persediaan keistimewaan akar pada sistem anda
Memasang UFW
Ubuntu
Secara lalai, UFW boleh didapati di kebanyakan pengagihan berasaskan Ubuntu. Sekiranya ia dipadamkan, anda boleh memasangnya dengan menjalankan arahan Linux berikut.
# apt -get memasang ufw -y
Debian
Anda boleh memasang UFW di Debian dengan menjalankan arahan Linux berikut:
# apt -get memasang ufw -y
Centos
Secara lalai, UFW tidak tersedia di CentOS Repository. Oleh itu, anda perlu memasang repositori epel ke sistem anda. Anda boleh melakukan ini dengan menjalankan arahan Linux berikut:
# yum Pasang Epel -Release -y
Sebaik sahaja repositori Epel dipasang, anda boleh memasang UFW dengan hanya menjalankan arahan Linux berikut:
# yum install --eNableRepo = "epel" ufw -y
Setelah memasang UFW, mulakan perkhidmatan UFW dan aktifkannya untuk memulakan masa boot dengan menjalankan arahan Linux berikut.
# UFW Dayakan
Seterusnya, periksa status UFW dengan arahan Linux berikut. Anda harus melihat output berikut:
Status Status UFW: Aktif
Anda juga boleh melumpuhkan firewall UFW dengan menjalankan arahan Linux berikut:
# UFW melumpuhkan
Tetapkan polisi lalai UFW
Secara lalai, persediaan dasar lalai UFW untuk menyekat semua lalu lintas yang masuk dan membenarkan semua lalu lintas keluar.
Anda boleh menyediakan dasar lalai anda sendiri dengan arahan Linux berikut.
UFW Default Benarkan UFW keluar lalai menafikan masuk
Tambah dan padamkan peraturan firewall
Anda boleh menambah peraturan untuk membenarkan trafik masuk dan keluar dalam dua cara, menggunakan nombor port atau menggunakan nama perkhidmatan.
Contohnya, jika anda ingin membenarkan sambungan perkhidmatan HTTP yang masuk dan keluar. Kemudian jalankan arahan Linux berikut menggunakan nama perkhidmatan.
UFW membenarkan http
Atau, jalankan arahan berikut menggunakan nombor port:
UFW membenarkan 80
Jika anda ingin menapis paket berdasarkan TCP atau UDP, maka jalankan arahan berikut:
UFW Benarkan 80/TCP UFW Benarkan 21/UDP
Anda boleh menyemak status peraturan tambahan dengan arahan Linux berikut.
status ufw verbose
Anda harus melihat output berikut:
Status: Pembalakan Aktif: ON (Rendah) Lalai: Menolak (masuk), Benarkan (keluar), menafikan (dialihkan) profil baru: Langkau ke tindakan dari------- ---- 80/TCP Benarkan di mana sahaja 21/UDP Benarkan di mana -mana 80/TCP (V6) Benarkan di mana sahaja (V6) 21/UDP (V6) Benarkan di mana sahaja (V6)
Anda juga boleh menafikan sebarang lalu lintas yang masuk dan keluar pada bila -bila masa dengan arahan berikut:
# ufw menafikan 80 # ufw menafikan 21
Jika anda ingin memadamkan peraturan yang dibenarkan untuk HTTP, hanya awalan peraturan asal dengan padam seperti yang ditunjukkan di bawah:
# ufw padam membenarkan http # ufw padam deny 21
Peraturan UFW Lanjutan
Anda juga boleh menambah alamat IP tertentu untuk membenarkan dan menafikan akses kepada semua perkhidmatan. Jalankan arahan berikut untuk membenarkan IP 192.168.0.200 untuk mengakses semua perkhidmatan di pelayan:
# UFW Benarkan dari tahun 192.168.0.200
Untuk menafikan IP 192.168.0.200 untuk mengakses semua perkhidmatan di pelayan:
# ufw menafikan dari tahun 192.168.0.200
Anda boleh membenarkan julat alamat IP di UFW. Jalankan arahan berikut untuk membolehkan semua sambungan dari IP 192.168.1.1 hingga 192.168.1.254:
# UFW Benarkan dari tahun 192.168.1.0/24
Untuk membenarkan alamat IP 192.168.1.200 Akses ke Port 80 Menggunakan TCP, jalankan arahan Linux berikut:
# UFW Benarkan dari tahun 192.168.1.200 ke mana -mana port 80 proto TCP
Untuk membenarkan akses kepada julat port TCP dan UDP dari tahun 2000 hingga 3000, jalankan arahan Linux berikut:
# UFW Benarkan 2000: 3000/TCP # UFW Benarkan 2000: 3000/UDP
Sekiranya anda ingin menyekat akses ke port 22 dari IP 192.168.0.4 dan 192.168.0.10 Tetapi biarkan semua IP lain untuk mengakses Port 22, jalankan arahan berikut:
# ufw menafikan dari tahun 192.168.0.4 ke mana -mana port 22 # ufw menafikan dari tahun 192.168.0.10 ke mana -mana port 22 # UFW Benarkan dari tahun 192.168.0.0/24 ke mana -mana port 22
Untuk membenarkan trafik HTTP pada antara muka rangkaian ETH0, jalankan arahan Linux berikut:
# UFW Benarkan di ETH0 ke mana -mana port 80
Secara lalai UFW membolehkan permintaan ping. Sekiranya anda ingin menafikan permintaan ping, anda perlu mengedit/etc/ufw/sebelum ini.Fail Peraturan:
# nano/etc/ufw/sebelumnya.peraturan
Keluarkan baris berikut:
-Ufw-uffore-input -p icmp --icmp-jenis destinasi-unreachable -j menerima -a ufw-before-input -p icmp --icmp-type source-quench -j menerima -a ufw-input -p -p ICMP-ICMP-jenis masa melebihi -j menerima -a UFW-Before-Input -P ICMP --icmp-jenis parameter-problem -j menerima -a ufw-before-input -p icmp --icmp-type echo- permintaan -j Terima
Simpan fail, apabila anda selesai.
Sekiranya anda perlu menetapkan semula UFW, mengeluarkan semua peraturan anda, anda boleh melakukannya melalui arahan Linux berikut.
# UFW Reset
Konfigurasikan NAT dengan UFW
Sekiranya anda ingin menjalin sambungan dari antara muka luaran ke dalaman menggunakan UFW. Kemudian anda boleh melakukan ini dengan mengedit /etc/lalai/ufw
dan /etc/ufw/sebelumnya.peraturan
fail.
Pertama, buka /etc/lalai/ufw
fail menggunakan editor nano:
# nano/etc/lalai/ufw
Tukar baris berikut:
Default_forward_policy = "Terima"
Seterusnya, anda juga perlu membenarkan penghantaran IPv4. Anda boleh melakukan ini dengan mengedit /etc/ufw/sysctl.Conf
Fail:
# nano/etc/ufw/sysctl.Conf
Tukar baris berikut:
bersih/ipv4/ip_forward = 1
Seterusnya, anda perlu menambah NAT ke fail konfigurasi UFW. Anda boleh melakukan ini dengan mengedit /etc/ufw/sebelumnya.peraturan
Fail:
# nano/etc/ufw/sebelumnya.peraturan
Tambahkan baris berikut sebelum peraturan penapis:
# Peraturan Jadual Nat *Nat: Postrouting Terima [0: 0] # Lalu lintas ke hadapan melalui ETH0 -Tukar untuk Memadankan Anda Out -Interface -A Postrouting -S 192.168.1.0/24 -O ETH0 -J MASQUERADE # Jangan Padam Line 'Commit' atau Peraturan Jadual NAT ini tidak akan diproses komit simpan fail apabila anda selesai. Kemudian mulakan semula UFW dengan arahan Linux berikut: UFW Lumpuhkan UFW Dayakan
Konfigurasikan penghantaran port dengan UFW
Sekiranya anda ingin mengemukakan lalu lintas dari IP awam misalnya. 150.129.148.155
port 80 dan 443 ke pelayan dalaman lain dengan alamat IP 192.168.1.120. Kemudian anda boleh melakukan ini dengan mengedit /etc/lalai/sebelumnya.peraturan
:
# nano/etc/lalai/sebelumnya.peraturan
Tukar fail seperti yang ditunjukkan di bawah:
: Prerouting menerima [0: 0] -a prerouting -i et0 -d 150.129.148.155 -P TCP -DPORT 80 -J DNAT -ke Destinasi 192.168.1.120: 80 -a prerouting -i et0 -d 150.129.148.155 -P TCP -Dport 443 -J DNAT -ke Destinasi 192.168.1.120: 443 -a postrouting -s 192.168.1.0/24 ! -d 192.168.1.0/24 -J Masquerade
Seterusnya, mulakan semula UFW dengan arahan berikut:
# UFW Lumpuhkan # UFW Dayakan
Seterusnya, anda juga perlu membenarkan port 80 dan 443. Anda boleh melakukan ini dengan menjalankan arahan berikut:
# UFW Benarkan Proto TCP dari mana -mana hingga 150.129.148.155 port 80 # UFW Benarkan Proto TCP dari mana -mana hingga 150.129.148.155 port 443
Tutorial Linux Berkaitan:
- Perkara yang hendak dipasang di Ubuntu 20.04
- Perkara yang perlu dilakukan setelah memasang ubuntu 20.04 Focal Fossa Linux
- Perkara yang perlu dipasang di Ubuntu 22.04
- Pengenalan kepada Automasi, Alat dan Teknik Linux
- Cara Ping IPv6 Alamat di Linux
- Perkara yang perlu dilakukan setelah memasang Ubuntu 22.04 Jur -ubur Jammy ..
- Ubuntu 20.04 Panduan
- Ubuntu 20.04 Trik dan Perkara yang Anda Tidak Tahu
- Muat turun linux
- Cara SSH ke alamat IPv6 di Linux