Hvernig á að setja upp og stilla UFW - óflókinn eldvegg í Debian/Ubuntu

Þar sem tölvur eru tengdar hver annarri vex þjónusta hratt. Tölvupóstur, samfélagsmiðlar, netverslun, spjall þar til veffundur er þjónusta sem notandi notar. En hinum megin er þessi tenging bara eins og tvíhliða hníf. Það er líka hægt að senda slæm skilaboð til þeirra tölvur eins og vírus, spilliforrit, trójuforrit eru ein af þeim.

Netið, þar sem stærsta tölvunetið er ekki alltaf fullt af góðu fólki. Til að tryggja að tölvur okkar/netþjónar séu öruggir þurfum við að vernda þær.

Einn af nauðsynlegum hlutum á tölvunni þinni/þjónum er Firewall. Frá Wikipedia er skilgreining:

Í tölvumálum er eldveggur hugbúnaðar- eða vélbúnaðarbundið netöryggiskerfi sem stjórnar inn- og út netumferð með því að greina gagnapakkana og ákvarða hvort þeim eigi að hleypa í gegn eða ekki, byggt á beitt reglum.

Iptables er einn af eldveggjunum sem er mikið notaður af netþjónum. Það er forrit sem notað er til að stjórna komandi og útleiðinni umferð á netþjóninum byggt á reglum. Almennt er aðeins traust tenging leyfð inn á netþjóninn. En IPTables keyrir í stjórnborðsham og það er flókið. Þeir sem þekkja iptables reglur og skipanir, þeir geta lesið eftirfarandi grein sem lýsir því hvernig á að nota iptables eldvegg.

Grundvallarleiðbeiningar um IPTables (Linux Firewall)

Uppsetning á UFW eldvegg í Debian/Ubuntu

Til að minnka flókið hvernig á að stilla IPTables er mikið af framhliðum. Ef þú ert að keyra Ubuntu Linux finnurðu ufw sem sjálfgefið eldveggverkfæri. Við skulum byrja að kanna um ufw eldvegg.

ufw (Uncomplicated Firewall) er framenda fyrir mest notaða iptables eldvegg og það er vel þægilegt fyrir eldveggi sem byggir á hýsingaraðila. ufw gefur ramma til að stjórna netsíu, auk skipanalínuviðmóts til að stjórna eldveggnum. Það veitir notendavænt og auðvelt í notkun viðmót fyrir Linux nýliða sem eru ekki mikið kunnugir eldveggshugtökum.

Á hinni hliðinni hjálpar sömu flóknu skipanirnar stjórnendum að setja flóknar reglur með því að nota skipanalínuviðmót. ufw er andstreymis fyrir aðrar dreifingar eins og Debian, Ubuntu og Linux Mint.

Athugaðu fyrst hvort ufw sé sett upp með eftirfarandi skipun.

$ sudo dpkg --get-selections | grep ufw

ufw 		install

Ef það er ekki uppsett geturðu sett það upp með því að nota apt skipun eins og sýnt er hér að neðan.

$ sudo apt-get install ufw

Áður en þú notar skaltu athuga hvort ufw sé í gangi eða ekki. Notaðu eftirfarandi skipun til að athuga það.

$ sudo ufw status

Ef þú fannst Status: óvirkt þýðir það að það sé ekki virkt eða óvirkt.

Til að virkja það þarftu bara að slá inn eftirfarandi skipun í flugstöðinni.

$ sudo ufw enable

Firewall is active and enabled on system startup

Til að slökkva á því skaltu bara slá inn.

$ sudo ufw disable

Eftir að eldveggurinn er virkjaður geturðu bætt reglum þínum inn í hann. Ef þú vilt sjá hverjar eru sjálfgefnar reglur geturðu slegið inn.

$ sudo ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
$

Eins og þú sérð er sjálfgefið sérhverri tengingu sem kemur inn. Ef þú vilt fjarlægja vélina þína þá þarftu að leyfa rétta höfn. Til dæmis viltu leyfa ssh tengingu. Hér er skipunin til að leyfa það.

$ sudo ufw allow ssh

[sudo] password for pungki :
Rule added
Rule added (v6)
$

Ef þú athugar stöðuna aftur muntu sjá úttak eins og þetta.

$ sudo ufw status

To 		Action 			From
-- 		----------- 		------
22 		ALLOW 			Anywhere
22 		ALLOW 			Anywhere (v6)

Ef þú ert með margar reglur og vilt setja tölur á allar reglur á flugu, notaðu breytu númeruð.

$ sudo ufw status numbered

To 		Action 			From
------ 		----------- 		------
[1] 22 		ALLOW 			Anywhere
[2] 22 		ALLOW 			Anywhere (v6)

Fyrsta reglan segir að komandi tenging við port 22 hvaðan sem er, bæði tcp eða udp pakkar eru leyfðir. Hvað ef þú vilt leyfa aðeins tcp pakka? Síðan er hægt að bæta við færibreytunni tcp á eftir gáttarnúmerinu. Hér er dæmi með sýnishornsúttak.

$ sudo ufw allow ssh/tcp

To 		Action 			From
------ 		----------- 		------
22/tcp 		ALLOW 			Anywhere
22/tcp 		ALLOW 			Anywhere (v6)

Sömu brögðum er beitt fyrir Neita reglu. Segjum að þú viljir afneita ftp reglu. Svo þú þarft aðeins að skrifa.

$ sudo ufw deny ftp

To 		Action 			From
------ 		----------- 		------
21/tcp 		DENY 			Anywhere
21/tcp 		DENY 			Anywhere (v6)

Stundum höfum við sérsniðna höfn sem fylgir engum stöðlum. Segjum að við breytum ssh tenginu á vélinni okkar úr 22 í 2290. Síðan til að leyfa tengi 2290 getum við bætt því við svona.

$ sudo ufw allow

To 		Action 			From
-- 		----------- 		------
2290 		ALLOW 			Anywhere
2290 		ALLOW 			Anywhere (v6)

Það er líka mögulegt fyrir þig að bæta port-sviði við regluna. Ef við viljum opna port frá 2290 – 2300 með tcp samskiptareglum, þá verður skipunin svona.

$ sudo ufw allow 2290:2300/tcp

To 			Action 			From
------ 			----------- 		------
2290:2300/tcp 		ALLOW 			Anywhere
2290:2300/tcp 		ALLOW			Anywhere (v6)

á meðan ef þú vilt nota udp skaltu bara nota eftirfarandi skipun.

$ sudo ufw allow 2290:2300/udp

To 			Action 			From
------ 			----------- 		------
2290:2300/udp 		ALLOW 			Anywhere
2290:2300/udp 		ALLOW			Anywhere (v6)

Vinsamlega mundu að þú þarft að setja „tcp“ eða „udp“ sérstaklega, annars færðu villuboð svipað og hér að neðan.

ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports

Áður höfum við bætt við reglum sem byggjast á þjónustu eða höfn. Ufw gerir þér einnig kleift að bæta við reglum sem byggjast á IP tölu. Hér er sýnishornsskipunin.

$ sudo ufw allow from 192.168.0.104

Þú getur líka notað undirnetmaska til að auka svið.

$ sudo ufw allow form 192.168.0.0/24

To 		Action 			From
-- 		----------- 		------
Anywhere	ALLOW 			192.168.0.104
Anywhere	ALLOW 			192.168.0.0/24

Eins og þú sérð, frá breytu mun aðeins takmarka uppruna tengingarinnar. Á meðan áfangastaðurinn - sem er táknaður með To dálknum - er hvar sem er. Þú getur líka stjórnað áfangastaðnum með því að nota 'To' færibreytu. Við skulum sjá sýnishornið til að leyfa aðgang að höfn 22 (ssh).

$ sudo ufw allow to any port 22

Ofangreind skipun mun leyfa aðgang hvar sem er og frá hvaða samskiptareglum sem er að höfn 22.

Fyrir nákvæmari reglur geturðu líka sameinað IP tölu, samskiptareglur og gátt. Segjum að við viljum búa til reglu sem takmarkar tenginguna aðeins frá IP 192.168.0.104, aðeins protocol tcp og til port 22. Þá verður skipunin eins og hér að neðan.

$ sudo ufw allow from 192.168.0.104 proto tcp to any port 22

Setningafræði til að búa til neitareglu er svipuð og leyfa reglu. Þú þarft aðeins að breyta færibreytu úr leyfa til að neita.

Einhvern tíma gætir þú þurft að eyða núverandi reglu. Enn og aftur með ufw er auðvelt að eyða reglum. Frá ofangreindu sýnishorni hefurðu reglu fyrir neðan og þú vilt eyða henni.

To 		Action 			From
-- 		----------- 		------
22/tcp		ALLOW 			192.168.0.104
21/tcp		ALLOW 			Anywhere
21/tcp 		ALLOW 			Anywhere (v6)

Það eru tvær aðferðir til að eyða reglum.

Skipunin hér að neðan mun eyða reglum sem passa við þjónustu ftp. Þannig að 21/tcp sem þýðir ftp tengi verður eytt.

$ sudo ufw delete allow ftp

En þegar þú reyndir að eyða fyrstu reglunni í dæminu hér að ofan með því að nota skipunina fyrir neðan.

$ sudo ufw delete allow ssh

Or 

$ sudo ufw delete allow 22/tcp

Þú gætir fundið villuboð eins og.

Could not delete non-existent rule
Could not delete non-existent rule (v6)

Þá geturðu gert þetta bragð. Eins og við nefndum hér að ofan geturðu sýnt fjölda reglna til að gefa til kynna hvaða reglu við viljum eyða. Við skulum sýna þér það.

$ sudo ufw status numbered

To 		Action 			From
-- 		----------- 		------
[1] 22/tcp		ALLOW 			192.168.0.104
[2] 21/tcp		ALLOW 			Anywhere
[3] 21/tcp 		ALLOW 			Anywhere (v6)

Þá geturðu eytt fyrstu reglunni með því að nota. Ýttu á \y mun eyða reglunni varanlega.

$ sudo ufw delete 1

Deleting :
Allow from 192.168.0.104 to any port 22 proto tcp
Proceed with operation (y|n)? y

Frá þessum aðferðum muntu sjá muninn. Aðferð 2 mun biðja notanda staðfestingar áður en reglunni er eytt á meðan aðferð 1 er það ekki.

Í sumum tilfellum gætirðu viljað eyða/endurstilla allar reglur. Þú getur gert það með því að slá inn.

$ sudo ufw reset

Resetting all rules to installed defaults. Proceed with operation (y|n)? y

Ef þú ýtir á \y, mun ufw taka öryggisafrit af öllum gildandi reglum áður en þú endurstillir ufw. Ef þú endurstillir reglurnar mun eldveggurinn þinn einnig óvirkur. Þú þarft að virkja hann aftur ef þú vilt nota hann.

Eins og ég sagði hér að ofan getur ufw eldveggurinn gert allt sem iptables geta gert. Þetta er gert með því að nota ýmis sett af regluskrám, sem eru ekkert annað en iptables-restore viðeigandi textaskrár. Að fínstilla ufw og/eða setja fleiri iptables skipanir sem ekki eru leyfðar með ufw skipuninni er spurning um að breyta nokkrum textaskrám.

/etc/default/ufw: Aðalstillingar fyrir sjálfgefnar reglur, IPv6 stuðning og kjarnaeiningar.
/etc/ufw/before[6].rules: reglur í þessum skrám eru reiknaðar áður en reglum er bætt við með ufw skipuninni.
/etc/ufw/after[6].reglur: reglur í þessum skrám eru reiknaðar eftir hvaða reglum sem er bætt við með ufw skipuninni.
/etc/ufw/sysctl.conf: stillanleg kjarnanetkerfi.
/etc/ufw/ufw.conf: stillir hvort ufw sé virkt við ræsingu eða ekki og stillir LOGLEVEL.

Niðurstaða

UFW sem framhlið til iptables gerir örugglega auðvelt viðmót fyrir notendur. Notandi þarf ekki að muna flókið setningafræði iptables. UFW notar einnig „látlaus ensku“ sem færibreytu.

Leyfa, neita, endurstilla eru ein þeirra. Ég tel að það séu miklu fleiri iptables framhlið þarna úti. En örugglega er ufw einn besti kosturinn fyrir notendur sem vilja setja upp eldvegginn sinn hratt, auðvelt og auðvitað öruggt. Vinsamlegast farðu á ufw handbókarsíðuna með því að slá inn man ufw fyrir frekari upplýsingar.