Home Systémový administrátor Linux Using Firewall With UFW in Ubuntu Linux

Použití brány firewall s UFW v Ubuntu Linux [Příručka pro začátečníky]

UFW (Uncomplicated Firewall) je snadno použitelný nástroj brány firewall se spoustou možností pro všechny druhy uživatelů.

Je to vlastně rozhraní pro iptables, což je klasický nízkoúrovňový nástroj (a těžší se s ním zorientovat) pro nastavení pravidel pro vaši síť.

Proč byste měli používat bránu firewall?

Firewall je způsob, jak regulovat příchozí a odchozí provoz ve vaší síti. To je zásadní pro servery, ale také to činí systém běžného uživatele mnohem bezpečnějším a poskytuje vám kontrolu. Pokud patříte k lidem, kteří mají rádi věci pod kontrolou na pokročilé úrovni i na desktopu, můžete zvážit nastavení firewallu.

Firewall je zkrátka pro servery nutností. Na stolních počítačích záleží na vás, jestli si to chcete nastavit.

Nastavení firewallu s UFW

Je důležité správně nastavit firewally. Nesprávné nastavení může způsobit, že server nebude dostupný, pokud to děláte pro vzdálený systém Linux, jako je cloud nebo server VPS. Například zablokujete veškerý příchozí provoz na serveru, ke kterému přistupujete přes SSH. Nyní nebudete mít přístup k serveru přes SSH.

V tomto tutoriálu se podívám na konfiguraci brány firewall, která vyhovuje vašim potřebám, a poskytne vám přehled o tom, co lze pomocí tohoto jednoduchého nástroje udělat. To by mělo být vhodné pro oba Uživatelé serveru Ubuntu a stolních počítačů.

Vezměte prosím na vědomí, že zde budu používat metodu příkazového řádku. Existuje GUI frontend tzv Gufw pro uživatele stolních počítačů, ale v tomto tutoriálu se tím nebudu zabývat. K dispozici je vyhrazený průvodce po Gufw pokud to chcete použít.

Nainstalujte UFW

Pokud používáte Ubuntu, UFW by měl být již nainstalován. Pokud ne, můžete jej nainstalovat pomocí následujícího příkazu:

sudo apt install ufw

Pro ostatní distribuce použijte pro instalaci UFW svého správce balíčků.

Chcete-li zkontrolovat, zda je UFW správně nainstalován, zadejte:

ufw --version

Pokud je nainstalován, měli byste vidět podrobnosti o verzi:

[email protected]:~$ ufw --version
ufw 0.36.1
Copyright 2008-2021 Canonical Ltd.

Skvělý! Takže máte ve svém systému UFW. Pojďme se nyní podívat na jeho použití.

Poznámka: Ke spuštění (téměř) všech příkazů ufw musíte použít sudo nebo být root.

Zkontrolujte stav a pravidla ufw

UFW funguje tak, že nastavuje pravidla pro příchozí a odchozí provoz. Tato pravidla se skládají z umožňující a popírání konkrétní zdroje a destinace.

Pravidla brány firewall můžete zkontrolovat pomocí následujícího příkazu:

sudo ufw status

To by vám v této fázi mělo poskytnout následující výstup:

Status: inactive

Výše uvedený příkaz by vám ukázal pravidla brány firewall, pokud by byla brána firewall povolena. Ve výchozím nastavení není UFW povoleno a neovlivňuje vaši síť. O to se postaráme v další části.

zkontrolovat stav ufwzkontrolovat stav ufw
Kontrola stavu UFW

Ale tady jde o to, že můžete vidět a upravovat pravidla firewallu, i když ufw není povoleno.

sudo ufw show added

A v mém případě to ukázalo tento výsledek:

[email protected]:~$ sudo ufw show added
Added user rules (see 'ufw status' for running firewall):
ufw allow 22/tcp
[email protected]:~$

Teď si nevzpomínám, jestli jsem toto pravidlo přidal ručně nebo ne. Není to nový systém.

Výchozí zásady

Ve výchozím nastavení UFW odmítá veškerý příchozí a povoluje veškerý odchozí provoz. Toto chování má pro průměrného uživatele stolního počítače dokonalý smysl, protože chcete mít možnost se připojit k různým službám (jako je http/https pro přístup k webovým stránkám) a nechcete, aby se k vašemu počítači někdo připojoval.

Nicméně, pokud používáte vzdálený server, musíte povolit provoz na portu SSH abyste se mohli vzdáleně připojit k systému.

Můžete buď povolit provoz na výchozím portu SSH 22:

sudo ufw allow 22

V případě, že používáte SSH na nějakém jiném portu, povolte jej na úrovni služby:

sudo ufw allow ssh

Upozorňujeme, že firewall ještě není aktivní. To je dobrá věc. Před povolením ufw můžete upravit pravidla, aby nebyly ovlivněny základní služby.

Pokud budete používat UFW produkční server, ujistěte se, že to je povolit porty přes UFW za běžící služby.

Například webové servery obvykle používají port 80, takže použijte „sudo ufw allow 80“. Můžete to také udělat na servisní úrovni „sudo ufw povolit apache“.

Toto břemeno leží na vaší straně a je vaší odpovědností zajistit, aby váš server fungoval správně.

Pro uživatelé stolních počítačů, můžete pokračovat s výchozími zásadami.

sudo ufw default deny incoming
sudo ufw default allow outgoing

Povolit a zakázat UFW

Aby UFW fungovalo, musíte jej povolit:

sudo ufw enable

Tím spustíte bránu firewall a naplánujete její spuštění při každém spuštění. Zobrazí se následující zpráva:

Firewall is active and enabled on system startup.

Znovu: pokud jste připojeni k počítači přes ssh, ujistěte se, že je ssh povoleno, než povolíte ufw zadáním sudo ufw povolit ssh.

Pokud chcete UFW vypnout, zadejte:

sudo ufw disable

Vrátíte se:

Firewall stopped and disabled on system startup

Znovu načtěte bránu firewall pro nová pravidla

Pokud je již UFW povoleno a upravíte pravidla brány firewall, musíte je znovu načíst, než se změny projeví.

UFW můžete restartovat tak, že jej deaktivujete a znovu povolíte:

sudo ufw disable && sudo ufw enable

Or načíst Pravidla:

sudo ufw reload

Obnovit výchozí pravidla brány firewall

Pokud kdykoli pokazíte některé ze svých pravidel a budete se chtít vrátit k výchozím pravidlům (tj. bez výjimek pro povolení příchozího nebo zákazu odchozího provozu), můžete to začít znovu:

sudo ufw reset

Mějte na paměti, že tím odstraníte všechny konfigurace brány firewall.

Konfigurace firewallu s UFW (podrobnější zobrazení)

V pořádku! Takže jste se naučili většinu základních příkazů ufw. V této fázi bych raději šel trochu podrobněji o konfiguraci pravidla brány firewall.

Povolit a zakázat protokolem a porty

Tímto způsobem přidáváte nové výjimky do vašeho firewallu; povolit umožňuje vašemu stroji přijímat data z určené služby, zatímco popřít dělá opak

Ve výchozím nastavení tyto příkazy přidají pravidla pro oba IP a IPv6. Chcete-li toto chování upravit, budete jej muset upravit / etc / default / ufw. Změna

IPV6=yes

na

IPV6=no

Jak již bylo řečeno, základní příkazy jsou:

sudo ufw allow <port>/<optional: protocol>
sudo ufw deny <port>/<optional: protocol>

Pokud bylo pravidlo úspěšně přidáno, vrátíte se:

Rules updated
Rules updated (v6)

Například:

sudo ufw allow 80/tcp
sudo ufw deny 22
sudo ufw deny 443/udp

Poznámka: pokud nezadáte konkrétní protokol, pravidlo se použije pro oba tcp a udp.

Pokud povolíte (nebo pokud již běží, znovu načtete) UFW a zkontrolujete jeho stav, uvidíte, že nová pravidla byla úspěšně aplikována.

UFW portyUFW porty

Můžete také povolit/odmítnout rozsahy portů. Pro tento typ pravidla musíte zadat protokol. Například:

sudo ufw allow 90:100/tcp

Povolí všechny služby na portech 90 až 100 pomocí protokolu TCP. Můžete znovu načíst a ověřit stav:

Rozsahy portů UFWRozsahy portů UFW

Povolit a zamítnout službami

Pro usnadnění můžete také přidat pravidla pomocí názvu služby:

sudo ufw allow <service name>
sudo ufw deny <service name>

Chcete-li například povolit příchozí ssh a blokovat a příchozí služby HTTP:

sudo ufw allow ssh
sudo ufw deny http

při tom UFW bude číst služby z / etc / services. Seznam si můžete prohlédnout sami:

less /etc/services
Seznam /etc/servicesSeznam /etc/services

Přidejte pravidla pro aplikace

Některé aplikace poskytují specifické pojmenované služby pro snadné použití a mohou dokonce využívat různé porty. Jedním takovým příkladem je ssh. Seznam takových aplikací, které jsou na vašem počítači, můžete zobrazit s následujícím:

sudo ufw app list
Seznam aplikací UFWSeznam aplikací UFW

V mém případě jsou dostupné aplikace CUPS (systém síťového tisku) a OpenSSH.

Chcete-li přidat pravidlo pro aplikaci, zadejte:

sudo ufw allow <application>
sudo ufw deny <application>

Například:

sudo ufw allow OpenSSH

Po opětovném načtení a kontrole stavu byste měli vidět, že pravidlo bylo přidáno:

Aplikace UFWAplikace UFW

závěr

Tohle byla jen špička firewallu ledovce. Firewally v Linuxu obsahují mnohem více, že o nich lze napsat knihu. Ve skutečnosti již existuje vynikající kniha Linux Firewalls od Steva Suehringa.


Linux Firewally: Zvýšení bezpečnosti s nftables and Beyond: Zvýšení bezpečnosti s nftables and Beyond (4. vydání)Linux Firewally: Zvýšení bezpečnosti s nftables and Beyond: Zvýšení bezpečnosti s nftables and Beyond (4. vydání)


Linux Firewally: Zvýšení bezpečnosti s nftables and Beyond: Zvýšení bezpečnosti s nftables and Beyond (4. vydání)

$ 49.99


Koupit na Amazonu

Získáváme provizi, pokud provedete nákup, bez dalších nákladů pro vás.

11. 17. 2022 01:42 GMT

Pokud si myslíte, že nastavit firewall pomocí UFW, měli byste zkusit použít iptables nebo nftables. Pak si uvědomíte, jak UFW nekomplikuje konfiguraci firewallu.

Doufám, že se vám tento průvodce UFW pro začátečníky líbil. Pokud máte dotazy nebo návrhy, dejte nám vědět.

původní článek