UFW (Uncomplicated Firewall) je snadno použitelný nástroj brány firewall se spoustou možností pro všechny druhy uživatelů.
Je to vlastně rozhraní pro iptables, což je klasický nízkoúrovňový nástroj (a těžší se s ním zorientovat) pro nastavení pravidel pro vaši síť.
Proč byste měli používat bránu firewall?
Firewall je způsob, jak regulovat příchozí a odchozí provoz ve vaší síti. To je zásadní pro servery, ale také to činí systém běžného uživatele mnohem bezpečnějším a poskytuje vám kontrolu. Pokud patříte k lidem, kteří mají rádi věci pod kontrolou na pokročilé úrovni i na desktopu, můžete zvážit nastavení firewallu.
Firewall je zkrátka pro servery nutností. Na stolních počítačích záleží na vás, jestli si to chcete nastavit.
Nastavení firewallu s UFW
Je důležité správně nastavit firewally. Nesprávné nastavení může způsobit, že server nebude dostupný, pokud to děláte pro vzdálený systém Linux, jako je cloud nebo server VPS. Například zablokujete veškerý příchozí provoz na serveru, ke kterému přistupujete přes SSH. Nyní nebudete mít přístup k serveru přes SSH.
V tomto tutoriálu se podívám na konfiguraci brány firewall, která vyhovuje vašim potřebám, a poskytne vám přehled o tom, co lze pomocí tohoto jednoduchého nástroje udělat. To by mělo být vhodné pro oba Uživatelé serveru Ubuntu a stolních počítačů.
Vezměte prosím na vědomí, že zde budu používat metodu příkazového řádku. Existuje GUI frontend tzv Gufw pro uživatele stolních počítačů, ale v tomto tutoriálu se tím nebudu zabývat. K dispozici je vyhrazený průvodce po Gufw pokud to chcete použít.
Nainstalujte UFW
Pokud používáte Ubuntu, UFW by měl být již nainstalován. Pokud ne, můžete jej nainstalovat pomocí následujícího příkazu:
sudo apt install ufwPro ostatní distribuce použijte pro instalaci UFW svého správce balíčků.
Chcete-li zkontrolovat, zda je UFW správně nainstalován, zadejte:
ufw --versionPokud je nainstalován, měli byste vidět podrobnosti o verzi:
[email protected]:~$ ufw --version
ufw 0.36.1
Copyright 2008-2021 Canonical Ltd.Skvělý! Takže máte ve svém systému UFW. Pojďme se nyní podívat na jeho použití.
Poznámka: Ke spuštění (téměř) všech příkazů ufw musíte použít sudo nebo být root.
Zkontrolujte stav a pravidla ufw
UFW funguje tak, že nastavuje pravidla pro příchozí a odchozí provoz. Tato pravidla se skládají z umožňující a popírání konkrétní zdroje a destinace.
Pravidla brány firewall můžete zkontrolovat pomocí následujícího příkazu:
sudo ufw statusTo by vám v této fázi mělo poskytnout následující výstup:
Status: inactiveVýše uvedený příkaz by vám ukázal pravidla brány firewall, pokud by byla brána firewall povolena. Ve výchozím nastavení není UFW povoleno a neovlivňuje vaši síť. O to se postaráme v další části.
Ale tady jde o to, že můžete vidět a upravovat pravidla firewallu, i když ufw není povoleno.
sudo ufw show addedA v mém případě to ukázalo tento výsledek:
[email protected]:~$ sudo ufw show added
Added user rules (see 'ufw status' for running firewall):
ufw allow 22/tcp
[email protected]:~$Teď si nevzpomínám, jestli jsem toto pravidlo přidal ručně nebo ne. Není to nový systém.
Výchozí zásady
Ve výchozím nastavení UFW odmítá veškerý příchozí a povoluje veškerý odchozí provoz. Toto chování má pro průměrného uživatele stolního počítače dokonalý smysl, protože chcete mít možnost se připojit k různým službám (jako je http/https pro přístup k webovým stránkám) a nechcete, aby se k vašemu počítači někdo připojoval.
Nicméně, pokud používáte vzdálený server, musíte povolit provoz na portu SSH abyste se mohli vzdáleně připojit k systému.
Můžete buď povolit provoz na výchozím portu SSH 22:
sudo ufw allow 22V případě, že používáte SSH na nějakém jiném portu, povolte jej na úrovni služby:
sudo ufw allow sshUpozorňujeme, že firewall ještě není aktivní. To je dobrá věc. Před povolením ufw můžete upravit pravidla, aby nebyly ovlivněny základní služby.
Pokud budete používat UFW produkční server, ujistěte se, že to je povolit porty přes UFW za běžící služby.
Například webové servery obvykle používají port 80, takže použijte „sudo ufw allow 80“. Můžete to také udělat na servisní úrovni „sudo ufw povolit apache“.
Toto břemeno leží na vaší straně a je vaší odpovědností zajistit, aby váš server fungoval správně.
Pro uživatelé stolních počítačů, můžete pokračovat s výchozími zásadami.
sudo ufw default deny incoming
sudo ufw default allow outgoingPovolit a zakázat UFW
Aby UFW fungovalo, musíte jej povolit:
sudo ufw enableTím spustíte bránu firewall a naplánujete její spuštění při každém spuštění. Zobrazí se následující zpráva:
Firewall is active and enabled on system startup.Znovu: pokud jste připojeni k počítači přes ssh, ujistěte se, že je ssh povoleno, než povolíte ufw zadáním sudo ufw povolit ssh.
Pokud chcete UFW vypnout, zadejte:
sudo ufw disableVrátíte se:
Firewall stopped and disabled on system startupZnovu načtěte bránu firewall pro nová pravidla
Pokud je již UFW povoleno a upravíte pravidla brány firewall, musíte je znovu načíst, než se změny projeví.
UFW můžete restartovat tak, že jej deaktivujete a znovu povolíte:
sudo ufw disable && sudo ufw enableOr načíst Pravidla:
sudo ufw reloadObnovit výchozí pravidla brány firewall
Pokud kdykoli pokazíte některé ze svých pravidel a budete se chtít vrátit k výchozím pravidlům (tj. bez výjimek pro povolení příchozího nebo zákazu odchozího provozu), můžete to začít znovu:
sudo ufw resetMějte na paměti, že tím odstraníte všechny konfigurace brány firewall.
Konfigurace firewallu s UFW (podrobnější zobrazení)
V pořádku! Takže jste se naučili většinu základních příkazů ufw. V této fázi bych raději šel trochu podrobněji o konfiguraci pravidla brány firewall.
Povolit a zakázat protokolem a porty
Tímto způsobem přidáváte nové výjimky do vašeho firewallu; povolit umožňuje vašemu stroji přijímat data z určené služby, zatímco popřít dělá opak
Ve výchozím nastavení tyto příkazy přidají pravidla pro oba IP a IPv6. Chcete-li toto chování upravit, budete jej muset upravit / etc / default / ufw. Změna
IPV6=yesna
IPV6=noJak již bylo řečeno, základní příkazy jsou:
sudo ufw allow <port>/<optional: protocol>
sudo ufw deny <port>/<optional: protocol>Pokud bylo pravidlo úspěšně přidáno, vrátíte se:
Rules updated
Rules updated (v6)Například:
sudo ufw allow 80/tcp
sudo ufw deny 22
sudo ufw deny 443/udpPoznámka: pokud nezadáte konkrétní protokol, pravidlo se použije pro oba tcp a udp.
Pokud povolíte (nebo pokud již běží, znovu načtete) UFW a zkontrolujete jeho stav, uvidíte, že nová pravidla byla úspěšně aplikována.
Můžete také povolit/odmítnout rozsahy portů. Pro tento typ pravidla musíte zadat protokol. Například:
sudo ufw allow 90:100/tcpPovolí všechny služby na portech 90 až 100 pomocí protokolu TCP. Můžete znovu načíst a ověřit stav:
Povolit a zamítnout službami
Pro usnadnění můžete také přidat pravidla pomocí názvu služby:
sudo ufw allow <service name>
sudo ufw deny <service name>Chcete-li například povolit příchozí ssh a blokovat a příchozí služby HTTP:
sudo ufw allow ssh
sudo ufw deny httppři tom UFW bude číst služby z / etc / services. Seznam si můžete prohlédnout sami:
less /etc/services
Přidejte pravidla pro aplikace
Některé aplikace poskytují specifické pojmenované služby pro snadné použití a mohou dokonce využívat různé porty. Jedním takovým příkladem je ssh. Seznam takových aplikací, které jsou na vašem počítači, můžete zobrazit s následujícím:
sudo ufw app list
V mém případě jsou dostupné aplikace CUPS (systém síťového tisku) a OpenSSH.
Chcete-li přidat pravidlo pro aplikaci, zadejte:
sudo ufw allow <application>
sudo ufw deny <application>Například:
sudo ufw allow OpenSSHPo opětovném načtení a kontrole stavu byste měli vidět, že pravidlo bylo přidáno:
závěr
Tohle byla jen špička firewallu ledovce. Firewally v Linuxu obsahují mnohem více, že o nich lze napsat knihu. Ve skutečnosti již existuje vynikající kniha Linux Firewalls od Steva Suehringa.
$ 49.99
Získáváme provizi, pokud provedete nákup, bez dalších nákladů pro vás.
11. 17. 2022 01:42 GMT
Pokud si myslíte, že nastavit firewall pomocí UFW, měli byste zkusit použít iptables nebo nftables. Pak si uvědomíte, jak UFW nekomplikuje konfiguraci firewallu.
Doufám, že se vám tento průvodce UFW pro začátečníky líbil. Pokud máte dotazy nebo návrhy, dejte nám vědět.
