Cara Menyiapkan UFW Firewall di Ubuntu dan Debian
- 3948
- 830
- Dave Kreiger V
Firewall berfungsi dengan betul adalah bahagian paling penting dalam keselamatan sistem Linux yang lengkap. Secara lalai, pengedaran Debian dan Ubuntu dilengkapi dengan alat konfigurasi firewall yang dipanggil Ufw (Firewall tidak rumit), adalah alat baris perintah yang paling popular dan mudah digunakan untuk mengkonfigurasi dan menguruskan firewall Ubuntu dan Debian pengagihan.
Dalam artikel ini, kami akan menerangkan cara memasang dan menyediakan a Ufw firewall pada Ubuntu dan Debian pengagihan.
Prasyarat
Sebelum anda bermula dengan artikel ini, pastikan anda telah masuk ke pelayan ubuntu atau debian anda dengan pengguna sudo atau dengan akaun root. Sekiranya anda tidak mempunyai pengguna sudo, anda boleh membuatnya menggunakan arahan berikut sebagai pengguna root.
# Nama Pengguna Adduser # Usermod -Ag Sudo Nama Pengguna # Su - Nama Pengguna $ Sudo Whoami
Pasang UFW Firewall di Ubuntu dan Debian
The Ufw (Firewall tidak rumit) harus dipasang secara lalai di Ubuntu dan Debian, jika tidak, pasangkannya menggunakan Pengurus Pakej APT menggunakan arahan berikut.
$ sudo apt memasang ufw
Semak firewall UFW
Setelah pemasangan selesai, anda boleh menyemak status UFW dengan menaip.
$ sudo ufw status verbose
Pada pemasangan pertama, firewall UFW dilumpuhkan secara lalai, output akan serupa dengan di bawah.
Status: tidak aktif
Dayakan firewall UFW
Anda boleh mengaktifkan atau mengaktifkan firewall UFW menggunakan arahan berikut, yang harus memuatkan firewall dan membolehkannya memulakan boot.
$ sudo ufw membolehkan
Untuk melumpuhkan firewall UFW, gunakan arahan berikut, yang memunggah firewall dan melumpuhkannya dari memulakan boot.
$ sudo ufw disable
Dasar lalai UFW
Secara lalai, firewall UFW menafikan setiap sambungan masuk dan hanya membenarkan semua sambungan keluar ke pelayan. Ini bermaksud, tidak ada yang dapat mengakses pelayan anda, melainkan jika anda membuka port secara khusus, sementara semua perkhidmatan atau aplikasi yang sedang berjalan di pelayan anda dapat mengakses rangkaian luar.
Polis firewall UFW lalai diletakkan di /etc/lalai/ufw
fail dan boleh diubah menggunakan arahan berikut.
$ sudo ufw default menafikan masuk $ sudo ufw lalai membenarkan keluar
Profil permohonan UFW
Semasa memasang pakej perisian menggunakan Apt Pengurus Pakej, ia akan merangkumi profil aplikasi di /etc/ufw/aplikasi.d
direktori yang mentakrifkan perkhidmatan dan memegang tetapan UFW.
Anda boleh menyenaraikan semua profil aplikasi yang ada di pelayan anda menggunakan arahan berikut.
Senarai aplikasi $ sudo ufw
Bergantung pada pemasangan pakej perisian pada sistem anda, output akan kelihatan serupa dengan yang berikut:
Aplikasi yang ada: Apache Apache penuh Apache Secure Cups OpenSsh Postfix Postfix SMTPS Postfix Penyerahan
Sekiranya anda ingin mendapatkan lebih banyak maklumat mengenai profil tertentu dan peraturan yang ditetapkan, anda boleh menggunakan arahan berikut.
$ sudo ufw app info 'Apache'
Profil: Apache Tajuk: Web Server Penerangan: Apache v2 adalah generasi akan datang f pelayan web Apache di mana sahaja. Pelabuhan: 80/TCP
Dayakan IPv6 dengan UFW
Sekiranya pelayan anda dikonfigurasikan dengan IPv6, Pastikan bahawa anda Ufw dikonfigurasikan dengan IPv6 dan IPv4 sokongan. Untuk mengesahkannya, buka fail konfigurasi UFW menggunakan editor kegemaran anda.
$ sudo vi/etc/lalai/ufw
Kemudian pastikan "IPv6" ditetapkan ke "Ya"
dalam fail konfigurasi seperti yang ditunjukkan.
IPv6 = Ya
Simpan dan berhenti. Kemudian mulakan semula firewall anda dengan arahan berikut:
$ sudo ufw disable $ sudo ufw enable
Benarkan sambungan SSH di UFW
Sekiranya anda telah mengaktifkan firewall UFW sekarang, ia akan menyekat semua sambungan masuk dan jika anda disambungkan ke pelayan anda melalui SSH dari lokasi terpencil, anda tidak akan lagi dapat menyambungkannya lagi.
Mari membolehkan sambungan SSH ke pelayan kami untuk menghentikannya daripada berlaku menggunakan arahan berikut:
$ sudo ufw membenarkan ssh
Sekiranya anda menggunakan port ssh tersuai (contohnya port 2222), maka anda perlu membuka port itu pada firewall ufw menggunakan arahan berikut.
$ sudo ufw membenarkan 2222/tcp
Untuk menyekat semua sambungan SSH taipkan arahan berikut.
$ sudo ufw menafikan ssh/tcp $ sudo ufw menafikan 2222/tcp [jika menggunakan port ssh adat]
Dayakan port tertentu di UFW
Anda juga boleh membuka port tertentu di firewall untuk membolehkan sambungan melaluinya ke perkhidmatan tertentu. Contohnya, jika anda ingin menyiapkan pelayan web yang mendengarkan port 80 (Http) dan 443 (Https) secara lalai.
Berikut adalah beberapa contoh bagaimana untuk membenarkan sambungan masuk ke perkhidmatan Apache.
Buka port 80 http di ufw
$ sudo ufw membenarkan http [dengan nama perkhidmatan] $ sudo ufw membenarkan 80/tcp [oleh nombor port] $ sudo ufw membenarkan 'apache' [dengan profil permohonan]
Buka port 443 https di ufw
$ sudo ufw membenarkan https $ sudo ufw membenarkan 443/tcp $ sudo ufw membenarkan 'Apache selamat'
Benarkan julat pelabuhan di UFW
Dengan mengandaikan anda mempunyai beberapa aplikasi yang ingin anda jalankan di pelbagai pelabuhan (5000-5003), anda boleh menambah semua port ini menggunakan arahan berikut.
sudo ufw membenarkan 5000: 5003/tcp sudo ufw membenarkan 5000: 5003/udp
Benarkan alamat IP tertentu
Sekiranya anda ingin membenarkan sambungan pada semua port dari alamat IP tertentu 192.168.56.1, Kemudian anda perlu menentukan dari sebelum alamat IP.
$ sudo ufw membenarkan dari tahun 192.168.56.1
Benarkan alamat IP tertentu pada port tertentu
Untuk membenarkan sambungan pada port tertentu (contohnya port 22) dari mesin rumah anda dengan alamat IP 192.168.56.1, Kemudian anda perlu menambah mana -mana pelabuhan dan juga nombor port Selepas alamat IP seperti yang ditunjukkan.
$ sudo ufw membenarkan dari tahun 192.168.56.1 ke mana -mana port 22
Benarkan subnet rangkaian ke port tertentu
Untuk membenarkan sambungan untuk alamat IP tertentu dari 192.168.1.1 ke 192.168.1.254 ke pelabuhan 22 (SSH), jalankan arahan berikut.
$ sudo ufw membenarkan dari tahun 192.168.1.0/24 ke mana -mana port 22
Benarkan antara muka rangkaian tertentu
Untuk membolehkan sambungan ke antara muka rangkaian tertentu ETH2 untuk pelabuhan tertentu 22 (SSH), jalankan arahan berikut.
$ sudo ufw membenarkan di ETH2 ke mana -mana port 22
Menafikan sambungan di UFW
Secara lalai, semua sambungan masuk disekat, melainkan jika anda telah membuka sambungan secara khusus pada UFW. Contohnya, anda telah membuka pelabuhan 80 dan 443 Dan pelayan web anda diserang dari rangkaian yang tidak diketahui 11.12.13.0/24.
Untuk menyekat semua sambungan dari ini 11.12.13.0/24 julat rangkaian, anda boleh menggunakan arahan berikut.
$ sudo ufw menafikan dari 11.12.13.0/24
Sekiranya anda hanya mahu menyekat sambungan di port 80 dan 443, anda boleh menggunakan arahan berikut.
$ sudo ufw menafikan dari 11.12.13.0/24 ke mana -mana port 80 $ sudo ufw menafikan dari 11.12.13.0/24 ke mana -mana port 443
Padam peraturan UFW
Terdapat 2 cara untuk memadam peraturan UFW, oleh nombor peraturan dan oleh peraturan sebenar.
Untuk memadam peraturan UFW dengan menggunakan nombor peraturan, pertama anda perlu menyenaraikan peraturan mengikut nombor menggunakan arahan berikut.
status $ sudo ufw bernombor
Output sampel
Status: Aktif untuk bertindak dari------- ---- [1] 22/TCP Benarkan di mana-mana [2] 80/TCP Benarkan di mana sahaja
Untuk memadam nombor peraturan 1, Gunakan arahan berikut.
$ sudo ufw hapus 1
Kaedah kedua adalah untuk memadam peraturan dengan menggunakan peraturan sebenar, Contohnya untuk memadam peraturan, tentukan nombor port dengan protokol seperti yang ditunjukkan.
$ sudo ufw padam membenarkan 22/tcp
Peraturan ufw kering kering
Anda boleh menjalankan arahan UFW tanpa benar -benar membuat sebarang perubahan dalam firewall sistem menggunakan --Kering-run
Bendera, ini hanya menunjukkan perubahan yang dianggap berlaku.
$ sudo ufw --dur-run enable
Tetapkan semula firewall UFW
Untuk satu sebab atau yang lain, jika anda ingin memadam / menetapkan semula semua peraturan firewall, taipkan arahan berikut, ia akan mengembalikan semua perubahan anda dan mula segar.
$ sudo ufw reset $ sudo ufw status
UFW Fungsi Lanjutan
The Ufw Firewall boleh berjaya melakukan apa sahaja yang dilakukan oleh iptables. Ini boleh dilakukan dengan pelbagai set fail peraturan, yang tidak ada, tetapi mudah iptables-restore fail teks.
Penalaan firewall UFW atau menambahkan perintah iptables tambahan tidak dibenarkan melalui arahan UFW, adalah perkara yang adil untuk mengubah fail teks berikut
- /etc/lalai/ufw: Fail konfigurasi utama dengan peraturan yang telah ditetapkan.
- /etc/ufw/sebelum [6].peraturan: Dalam peraturan fail ini dikira sebelum menambah melalui arahan UFW.
- /etc/ufw/selepas [6].peraturan: Dalam peraturan fail ini dikira setelah menambahkan melalui arahan UFW.
- /etc/ufw/sysctl.Conf: Fail ini digunakan untuk menyesuaikan rangkaian kernel.
- /etc/ufw/ufw.Conf: Fail ini membolehkan UFW di boot.
Itu sahaja! Ufw adalah front-end yang sangat baik untuk IPTABLES dengan antara muka mesra pengguna untuk menentukan peraturan kompleks dengan arahan UFW tunggal.
Sekiranya anda mempunyai pertanyaan atau pemikiran untuk berkongsi artikel UFW ini, gunakan borang komen di bawah untuk sampai ke kami.
- « ZZUpdate - Meningkatkan PC/Server Ubuntu sepenuhnya ke versi yang lebih baru
- Cara Memasang Gitlab di Ubuntu dan Debian »