Jak nakonfigurovat bránu firewall s UFW na Ubuntu 18.04

V tomto článku vám ukážeme, jak nainstalovat a nakonfigurovat UFW na Ubuntu 18.04 VPS. Nejprve si chvilku představíme a vysvětlíme, co jsou firewally, a pak vám ukážeme, jak používat UFW a jak provést příslušnou konfiguraci UFW.

Brána firewall je softwarový program, který monitoruje síťový provoz a zabraňuje neoprávněnému přístupu do nebo z privátní sítě. Pokud jde o linuxové jádro, je implementován subsystém Netfilter, který se používá k manipulaci se síťovým přenosem. Téměř všechna moderní řešení linuxové brány firewall používají tento systém k filtrování síťových paketů. Součástí rámce Netfilter je také „iptables“ - nástroj brány firewall přístupný z příkazového řádku. Pro zjednodušení procesu vytváření pravidel brány firewall vyvinula společnost Canonical (tvůrci Ubuntu) rozhraní iptables s názvem Uncomplicated Firewall (UFW).

Pokud používáte Ubuntu 18.04 a chcete zabezpečit svou síť, aniž byste se museli učit, jak používat iptables, pak UFW může být vhodným řešením, které hledáte.

Předpoklady

Chcete-li se řídit tímto tutoriálem, budete potřebovat server s přístupem Ubuntu 18.04 a SSH s uživatelem root (nebo uživatelem s právy sudo). Začněme tutoriálem.

Krok 1: Připojte se k serveru

Než začneme, musíte se k serveru připojit pomocí SSH jako root nebo uživatel s právy sudo. Chcete-li to provést, použijte následující příkaz:

ssh [chráněno e-mailem] IP_Address -p Port_Number

samozřejmě budete muset vyměnit IP adresa a Port_Number se skutečnou IP adresou serveru a číslem portu SSH.

Po přihlášení se ujistěte, že je váš server aktualizován spuštěním následujících příkazů:

aktualizace sudo apt aktualizace sudo apt

Krok 2: Nainstalujte UFW

UFW by měl být ve výchozím nastavení nainstalován na Ubuntu 18.04 - ale pokud z nějakého důvodu není nainstalován, můžete jej nainstalovat pomocí tohoto příkazu:

sudo apt nainstalovat ufw

Po dokončení instalace můžete zkontrolovat stav UFW příkazem:

podrobný stav sudo ufw

Ve výchozím nastavení je UFW ve výchozím nastavení zakázáno, a pokud jste jej nikdy neaktivovali dříve, než získáte výstup:

Stav výstupu: neaktivní

Pokud již máte na svém serveru aktivovaný UFW, bude výstup vypadat docela jinak a bude vypadat podobně jako následující:

Výstup: Stav: aktivní Protokolování: zapnuto (nízké) Výchozí: odmítnout (příchozí), povolit (odchozí), zakázáno (směrováno) Nové profily: přeskočit na akci Od - ------ ---- 22 / tcp POVOLIT IN Anywhere 80 / tcp ALLOW IN Anywhere 443 / tcp ALLOW IN Anywhere 22 / tcp (v6) ALLOW IN Anywhere (v6) 80 / tcp (v6) ALLOW IN Anywhere (v6) 443 / tcp (vXNUM) v6 (vXNUM) ....

Krok 3: Výchozí zásady UFW

První věc, kterou potřebujete vědět, jsou výchozí zásady. Ve výchozím nastavení je UFW nakonfigurován tak, aby zakázal všechna příchozí připojení a povolil všechna odchozí připojení. Jinými slovy, všechna připojení, která se pokusí získat přístup k vašemu serveru, budou odmítnuta a všechny vaše aplikace a služby, které jsou lokálně nalezeny na vašem serveru, budou moci dosáhnout vnějšího světa a přístup k dalším serverům.

Pokud chcete zkontrolovat nebo změnit výchozí zásady, najdete je v / etc / default / ufw konfiguračního souboru.

Chcete-li nastavit tato pravidla UFW na výchozí, můžete spustit následující příkazy:

sudo ufw default Zakázat příchozí sudo ufw default povolit odchozí

Mějte na paměti, že servery obvykle musí reagovat na příchozí požadavek od uživatelů internetu. Ve většině případů tedy nemůžete nastavit firewall tak, aby blokoval všechna příchozí připojení. V dalším kroku se naučíme, jak povolit konkrétní připojení.

Krok 4: Povolení připojení SSH

Než povolíte UFW, musíte povolit přístup SSH na vašem serveru přidáním pravidla, které umožní příchozí připojení SSH. Jinak se uzamknete a nebudete se moci připojit k serveru Ubuntu.

Pomocí následujícího příkazu můžete nakonfigurovat UFW firewall tak, aby povolil všechna příchozí připojení SSH:

sudo ufw povolit ssh

Poté obdržíte následující výstup:

Pravidla aktualizována Pravidla aktualizována (v6)

Tento příkaz je pouze v případě, že váš server poslouchá standardizovaný port SSH: 22. Pokud služba SSH používá vlastní nestandardní port, budete jej muset otevřít. Pokud služba SSH na vašem serveru používá jedinečný port, například port 900, můžete použít následující příkaz:

sudo ufw povolit 900

Je třeba vědět, jaké číslo portu vaše služba aktuálně používá.

Krok 5: Povolte UFW

Nyní je váš firewall nakonfigurován tak, aby umožňoval připojení SSH, a jste si jisti, že vaše aktuální připojení SSH nebude ovlivněno, můžete pokračovat v povolení brány firewall UFW.

sudo ufw povolit

Poté obdržíte následující výstup:

Příkaz může narušit existující ssh připojení. Pokračovat v činnosti (y | n)? y Firewall je aktivní a povolený při spuštění systému

Zobrazí se upozornění, že musíte nakonfigurovat povolení pravidel SSH, jinak bude stávající připojení SSH uzavřeno. Protože již máte, zadejte [y] a pokračujte klávesou [Enter].

Krok 6: Povolení připojení na konkrétních portech

Aplikace a služby, které používáte, mohou mít v závislosti na účelu aplikace otevřené porty pro příchozí a odchozí připojení. Nejběžnější porty, které musíte odblokovat, jsou porty 80 a 443, které používá webový server, a 25, 110, 143, 587 a 993, které používá poštovní server.

Ukážeme vám několik příkladů, jak povolit příchozí připojení pro některé běžné služby.

Chcete-li povolit všechna připojení HTTP (port 80), spusťte tento příkaz:

sudo ufw povolit http

Pokud chcete také specifikovat port, můžete použít to, co je v podstatě stejné pravidlo, ale s jinou syntaxí:

sudo ufw povolit 80

Chcete-li povolit všechna připojení HTTPS (port 443), spusťte příkaz:

sudo ufw povolit https

Navíc, pokud chcete určit port HTTPS, můžete použít pravidlo s jinou syntaxí:

sudo ufw povolit 443

Pokud používáte poštovní server, mohou být užitečná některá z následujících pravidel.

Chcete-li povolit všechny příchozí SMTP, můžete spustit příkaz:

sudo ufw povolit 25

Chcete-li povolit všechna příchozí připojení IMAP, spusťte příkaz:

sudo ufw povolit 143

A pokud chcete povolit všechny příchozí požadavky IMAPS, můžete použít příkaz:

sudo ufw povolit 993

Pokud místo toho používáte POP3, tento příkaz níže umožní všechna příchozí připojení:

sudo ufw povolit 110

A pro všechny příchozí POP3S požadavky použijte následující příkaz:

sudo ufw povolit 995

A konečně, pokud provozujete konkrétní program, který vyžaduje přístup na web, budete muset povolit také port specifický pro tento program. Pokud například na svém serveru spustíte Tomcat, budete potřebovat port 8080. Pomocí tohoto příkazu můžete povolit všechna příchozí připojení k tomuto portu:

sudo ufw povolit <číslo portu>

Můžete to udělat pro všechny specifické porty, které budete potřebovat.

Krok 7: Povolit rozsah portů

UFW může také povolit přístup k rozsahům portů namísto umožnění přístupu k jedinému portu. Pokud chcete povolit rozsahy portů na portu UFW, musíte zadat rozsah portu a protokolu, buď TCP nebo UDP.

Pokud například chcete povolit porty z 8069 do 8080 pro TCP i UDP, můžete použít následující příkazy:

sudo ufw povolit 8069: 8080 / tcp sudo ufw povolit 8069: 8080 / udp

Krok 8: Povolení konkrétních IP adres

Pokud chcete povolit přístup pouze na jednu adresu IP (například důvěryhodný počítač nalezený ve vaší místní síti), můžete použít příkaz:

sudo ufw umožňují od společnosti 206.207.208.209

Kromě toho můžete také určitému portu povolit konkrétní adresu IP! Řekněme, že chcete povolit konkrétní IP adrese pro použití portu MySQL (MySQL používá port 3306), pak můžete jednoduše použít tento příkaz:

sudo ufw umožňuje 206.207.208.209 na libovolný port 3306

Krok 9: Odepření připojení

Jak bylo uvedeno výše v Krok 3, výchozí zásada pro příchozí připojení je nastavena na „odepřít“. Někdy však může být nutné odmítnout určitá připojení na základě zdrojové adresy IP nebo konkrétního portu.

Pravidlo odepření je velmi užitečné, pokud máte útok na server z konkrétní adresy IP a vaše porty 80 a 443 jsou otevřené. V takovém případě můžete uvedenou IP adresu zablokovat pomocí následujícího příkladu. Samozřejmě nezapomeňte změnit IP adresu 24.25.26.27 skutečnou IP adresou, kterou chcete zablokovat:

sudo ufw popírá 24.25.26.27

Tím zabráníte přístupu IP adresy ke všem otevřeným portům. Pokud však chcete zablokovat IP adresu v přístupu k určitému portu, můžete použít následující příklad:

sudo ufw popřít z 24.25.26.27 na jakýkoli port 80 sudo ufw popřít z 24.25.26.27 na jakýkoli port 443

Jak si můžete všimnout, vytváření pravidel pro zamítnutí je podobné pravidlům pro povolení.

Krok 10: Odstranění pravidel UFW

Důležitost odstranění pravidel UFW je stejně důležitá jako jejich vytvoření. Existují dva různé způsoby, jak odebrat pravidlo UFW. První metoda je pomocí čísla pravidla a druhá je zadáním skutečného pravidla.

Pokud chcete odstranit pravidlo UFW s čísly, musíte znát jeho číslo. Chcete-li zobrazit čísla pravidel, můžete použít příkaz:

sudo ufw status numbered
Výstup: Stav: aktivní K akci od - ------ ---- [1] 80 ALLOW IN Anywhere [2] 443 ALLOW IN Anywhere [3] 22 ALLOW IN Anywhere [4] Anywhere ALLOW 206.207.208.209 [5 ] 7022 ALLOW IN Anywhere [6] 8069 ALLOW IN Anywhere ...

Chcete-li odebrat pravidlo označené jako číslo pravidla 4, které umožňuje připojení z IP adresy 206.207.208.209, můžete použít příkaz:

sudo ufw smazat 4

Pokud chcete použít druhou metodu, kterou je odebrat pravidlo zadáním skutečného pravidla. Řekněme například, že chcete například zavřít port 8069 - v takovém případě použijte následující příkaz:

sudo ufw smazat povolit 8069

Krok 11: Vypněte nebo resetujte UFW

Pokud z nějakého důvodu potřebujete zastavit všechna pravidla UFW na serveru, můžete je zakázat příkazem:

sudo ufw vypnout

Tím se zastaví všechna pravidla, která byla aktuálně aktivní na vašem serveru. Pokud však potřebujete pravidla brány firewall znovu aktivovat, můžete je jednoduše znovu povolit.

sudo ufw povolit

Pokud chcete z nějakého důvodu odstranit všechna pravidla a začít s čerstvým UFW, můžete použít následující příkaz:

sudo ufw reset

Upozorňujeme, že výchozí zásady se nezmění na původní nastavení, pokud již byla změněna.

V tomto článku jsme vám ukázali, jak nainstalovat UFW a poté jej použít ke konfiguraci brány firewall na Ubuntu 18.04. Nyní můžete pomocí znalostí této příručky začít vytvářet vlastní pravidla brány firewall UFW a chránit svůj server.

původní článek

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.