Hvernig á að setja upp UFW eldvegg á Ubuntu og Debian
Rétt starfandi eldveggur er mikilvægasti hluti alls Linux kerfisöryggis. Sjálfgefið er að Debian og Ubuntu dreifing sé með eldveggstillingarverkfæri sem kallast UFW (Óbrotinn eldveggur), er vinsælasta og auðveldasta skipanalínutólið til að stilla og stjórna eldvegg í Ubuntu og Debian dreifingum.
Í þessari grein munum við útskýra hvernig á að setja upp og setja upp UFW eldvegg á Ubuntu og Debian dreifingum.
Áður en þú byrjar með þessa grein, vertu viss um að þú hafir skráð þig inn á Ubuntu eða Debian netþjóninn þinn með sudo notanda eða með rótarreikningnum. Ef þú ert ekki með sudo notanda geturðu búið til einn með því að nota eftirfarandi leiðbeiningar sem rótnotandi.
# adduser username # usermod -aG sudo username # su - username $ sudo whoami
Settu upp UFW eldvegg á Ubuntu og Debian
UFW (Óbrotinn eldveggur) ætti að vera sjálfgefið uppsettur í Ubuntu og Debian, ef ekki, settu það upp með APT pakkastjóranum með eftirfarandi skipun.
$ sudo apt install ufw
Þegar uppsetningunni er lokið geturðu athugað stöðu UFW með því að slá inn.
$ sudo ufw status verbose
Við fyrstu uppsetningu er UFW eldveggurinn sjálfgefið óvirkur, úttakið verður svipað og hér að neðan.
Status: inactive
Þú getur virkjað eða virkjað UFW eldvegg með því að nota eftirfarandi skipun, sem ætti að hlaða eldveggnum og gera honum kleift að byrja við ræsingu.
$ sudo ufw enable
Til að slökkva á UFW eldvegg, notaðu eftirfarandi skipun, sem losar eldvegginn og gerir hann óvirkan frá því að byrja við ræsingu.
$ sudo ufw disable
Sjálfgefið er að UFW eldveggurinn neitar öllum komandi tengingum og leyfir aðeins allar tengingar á útleið við netþjóninn. Þetta þýðir að enginn getur fengið aðgang að netþjóninum þínum nema þú opnir gáttina sérstaklega, á meðan allar keyrandi þjónustur eða forrit á netþjóninum þínum geta fengið aðgang að utanaðkomandi neti.
Sjálfgefnar UFW eldveggsreglur eru settar í /etc/default/ufw skrána og hægt er að breyta þeim með eftirfarandi skipun.
$ sudo ufw default deny incoming $ sudo ufw default allow outgoing
Þegar hugbúnaðarpakki er settur upp með því að nota APT pakkastjórnun mun hann innihalda forritasnið í /etc/ufw/applications.d skránni sem skilgreinir þjónustuna og geymir UFW stillingar.
Þú getur skráð öll tiltæk forritasnið á netþjóninum þínum með því að nota eftirfarandi skipun.
$ sudo ufw app list
Það fer eftir uppsetningum hugbúnaðarpakka á kerfinu þínu mun úttakið líta svipað út og eftirfarandi:
Available applications: APACHE APACHE Full APACHE SECURE CUPS OpenSSH Postfix Postfix SMTPS Postfix Submission
Ef þú vilt fá frekari upplýsingar um tiltekið snið og skilgreindar reglur geturðu notað eftirfarandi skipun.
$ sudo ufw app info 'Apache'
Profile: Apache Title: Web Server Description: Apache V2 is the next generation f the omnipresent Apache web server. Ports: 80/tcp
Ef þjónninn þinn er stilltur með IPv6, vertu viss um að UFW þinn sé stilltur með IPv6 og IPv4 stuðningi. Til að staðfesta það skaltu opna UFW stillingarskrána með því að nota uppáhalds ritilinn þinn.
$ sudo vi /etc/default/ufw
Gakktu úr skugga um að „IPV6“ sé stillt á \yes\ í stillingarskránni eins og sýnt er.
IPV6=yes
Vista og hætta. Endurræstu síðan eldvegginn þinn með eftirfarandi skipunum:
$ sudo ufw disable $ sudo ufw enable
Ef þú hefur virkjað UFW eldvegg núna myndi það loka fyrir allar komandi tengingar og ef þú ert tengdur við netþjóninn þinn í gegnum SSH frá ytri staðsetningu muntu ekki lengur geta tengst hann aftur.
Við skulum virkja SSH tengingar við netþjóninn okkar til að koma í veg fyrir að það gerist með því að nota eftirfarandi skipun:
$ sudo ufw allow ssh
Ef þú ert að nota sérsniðna SSH tengi (til dæmis port 2222), þá þarftu að opna þá höfn á UFW eldvegg með eftirfarandi skipun.
$ sudo ufw allow 2222/tcp
Til að loka fyrir allar SSH tengingar skaltu slá inn eftirfarandi skipun.
$ sudo ufw deny ssh/tcp $ sudo ufw deny 2222/tcp [If using custom SSH port]
Einnig er hægt að opna tiltekið tengi í eldveggnum til að leyfa tengingar um hann við ákveðna þjónustu. Til dæmis, ef þú vilt setja upp vefþjón sem hlustar sjálfgefið á port 80 (HTTP) og 443 (HTTPS).
Hér að neðan eru nokkur dæmi um hvernig á að leyfa komandi tengingar við Apache þjónustu.
$ sudo ufw allow http [By service name] $ sudo ufw allow 80/tcp [By port number] $ sudo ufw allow 'Apache' [By application profile]
$ sudo ufw allow https $ sudo ufw allow 443/tcp $ sudo ufw allow 'Apache Secure'
Að því gefnu að þú hafir einhver forrit sem þú vilt keyra á ýmsum höfnum (5000-5003), geturðu bætt öllum þessum höfnum við með eftirfarandi skipunum.
sudo ufw allow 5000:5003/tcp sudo ufw allow 5000:5003/udp
Ef þú vilt leyfa tengingar á öllum höfnum frá tiltekinni IP tölu 192.168.56.1, þá þarftu að tilgreina frá fyrir IP tölu.
$ sudo ufw allow from 192.168.56.1
Til að leyfa tengingu á tilteknu tengi (til dæmis port 22) frá heimavélinni þinni með IP-tölu 192.168.56.1, þá þarftu að bæta við hvaða tengi sem er og gáttarnúmerið á eftir IP-tölunni eins og sýnt er.
$ sudo ufw allow from 192.168.56.1 to any port 22
Til að leyfa tengingar fyrir tilteknar IP-tölur á bilinu 192.168.1.1 til 192.168.1.254 við höfn 22 (SSH), keyrðu eftirfarandi skipun.
$ sudo ufw allow from 192.168.1.0/24 to any port 22
Til að leyfa tengingar við tiltekið netviðmót eth2 fyrir tiltekna höfn 22 (SSH), keyrðu eftirfarandi skipun.
$ sudo ufw allow in on eth2 to any port 22
Sjálfgefið er að allar komandi tengingar eru læstar, nema þú hafir sérstaklega opnað tenginguna á UFW. Til dæmis, þú hefur opnað port 80 og 443 og vefþjónninn þinn er undir árás frá óþekkta netinu 11.12.13.0/24.
Til að loka fyrir allar tengingar frá þessu tiltekna 11.12.13.0/24 netsviði geturðu notað eftirfarandi skipun.
$ sudo ufw deny from 11.12.13.0/24
Ef þú vilt aðeins loka á tengingar á höfnum 80 og 443 geturðu notað eftirfarandi skipanir.
$ sudo ufw deny from 11.12.13.0/24 to any port 80 $ sudo ufw deny from 11.12.13.0/24 to any port 443
Það eru 2 leiðir til að eyða UFW reglum, eftir reglunúmeri og eftir raunverulegri reglu.
Til að eyða UFW reglum með því að nota reglunúmer þarftu fyrst að skrá reglur eftir tölum með eftirfarandi skipun.
$ sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
Til að eyða reglu númer 1, notaðu eftirfarandi skipun.
$ sudo ufw delete 1
Önnur aðferðin er að eyða reglu með því að nota raunverulegu regluna, til dæmis til að eyða reglu, tilgreina gáttarnúmerið með samskiptareglum eins og sýnt er.
$ sudo ufw delete allow 22/tcp
Þú getur keyrt hvaða ufw skipanir sem er án þess að gera neinar breytingar á eldvegg kerfisins með því að nota --dry-run fána, þetta sýnir einfaldlega breytingarnar sem eiga að gerast.
$ sudo ufw --dry-run enable
Af einni eða annarri ástæðu, ef þú vilt eyða/endurstilla allar eldveggsreglur skaltu slá inn eftirfarandi skipanir, það mun snúa öllum breytingunum til baka og byrja upp á nýtt.
$ sudo ufw reset $ sudo ufw status
UFW eldveggurinn getur gert allt sem iptables gerir. Þetta er hægt að gera með mismunandi settum af regluskrám, sem eru ekkert, heldur einfaldar iptables-restore textaskrár.
Stilling á UFW eldvegg eða bæta við fleiri iptables skipunum er ekki leyfilegt með ufw skipun, er bara spurning um að breyta eftirfarandi textaskrám
- /etc/default/ufw: Aðalstillingarskráin með fyrirfram skilgreindum reglum.
- /etc/ufw/before[6].rules: Í þessari skrá eru reglur reiknaðar áður en þeim er bætt við með ufw skipun.
- /etc/ufw/after[6].rules: Í þessari skrá eru reglur reiknaðar eftir að hafa verið bætt við með ufw skipun.
- /etc/ufw/sysctl.conf: Þessi skrá er notuð til að stilla kjarnanet.
- /etc/ufw/ufw.conf: Þessi skrá virkjar ufw við ræsingu.
Það er það! UFW er frábær framhlið til iptables með notendavænt viðmót til að skilgreina flóknar reglur með einni ufw skipun.
Ef þú hefur einhverjar spurningar eða hugsanir til að deila um þessa ufw grein, notaðu athugasemdareyðublaðið hér að neðan til að ná í okkur.