Hvernig á að setja upp og stilla UFW - óflókinn eldvegg í Debian/Ubuntu
Þar sem tölvur eru tengdar hver annarri vex þjónusta hratt. Tölvupóstur, samfélagsmiðlar, netverslun, spjall þar til veffundur er þjónusta sem notandi notar. En hinum megin er þessi tenging bara eins og tvíhliða hníf. Það er líka hægt að senda slæm skilaboð til þeirra tölvur eins og vírus, spilliforrit, trójuforrit eru ein af þeim.
Netið, þar sem stærsta tölvunetið er ekki alltaf fullt af góðu fólki. Til að tryggja að tölvur okkar/netþjónar séu öruggir þurfum við að vernda þær.
Einn af nauðsynlegum hlutum á tölvunni þinni/þjónum er Firewall. Frá Wikipedia er skilgreining:
Í tölvumálum er eldveggur hugbúnaðar- eða vélbúnaðarbundið netöryggiskerfi sem stjórnar inn- og út netumferð með því að greina gagnapakkana og ákvarða hvort þeim eigi að hleypa í gegn eða ekki, byggt á beitt reglum.
Iptables er einn af eldveggjunum sem er mikið notaður af netþjónum. Það er forrit sem notað er til að stjórna komandi og útleiðinni umferð á netþjóninum byggt á reglum. Almennt er aðeins traust tenging leyfð inn á netþjóninn. En IPTables keyrir í stjórnborðsham og það er flókið. Þeir sem þekkja iptables reglur og skipanir, þeir geta lesið eftirfarandi grein sem lýsir því hvernig á að nota iptables eldvegg.
- Grundvallarleiðbeiningar um IPTables (Linux Firewall)
Uppsetning á UFW eldvegg í Debian/Ubuntu
Til að minnka flókið hvernig á að stilla IPTables er mikið af framhliðum. Ef þú ert að keyra Ubuntu Linux finnurðu ufw sem sjálfgefið eldveggverkfæri. Við skulum byrja að kanna um ufw eldvegg.
ufw (Uncomplicated Firewall) er framenda fyrir mest notaða iptables eldvegg og það er vel þægilegt fyrir eldveggi sem byggir á hýsingaraðila. ufw gefur ramma til að stjórna netsíu, auk skipanalínuviðmóts til að stjórna eldveggnum. Það veitir notendavænt og auðvelt í notkun viðmót fyrir Linux nýliða sem eru ekki mikið kunnugir eldveggshugtökum.
Á hinni hliðinni hjálpar sömu flóknu skipanirnar stjórnendum að setja flóknar reglur með því að nota skipanalínuviðmót. ufw er andstreymis fyrir aðrar dreifingar eins og Debian, Ubuntu og Linux Mint.
Athugaðu fyrst hvort ufw sé sett upp með eftirfarandi skipun.
$ sudo dpkg --get-selections | grep ufw ufw install
Ef það er ekki uppsett geturðu sett það upp með því að nota apt skipun eins og sýnt er hér að neðan.
$ sudo apt-get install ufw
Áður en þú notar skaltu athuga hvort ufw sé í gangi eða ekki. Notaðu eftirfarandi skipun til að athuga það.
$ sudo ufw status
Ef þú fannst Status: óvirkt þýðir það að það sé ekki virkt eða óvirkt.
Til að virkja það þarftu bara að slá inn eftirfarandi skipun í flugstöðinni.
$ sudo ufw enable Firewall is active and enabled on system startup
Til að slökkva á því skaltu bara slá inn.
$ sudo ufw disable
Eftir að eldveggurinn er virkjaður geturðu bætt reglum þínum inn í hann. Ef þú vilt sjá hverjar eru sjálfgefnar reglur geturðu slegið inn.
$ sudo ufw status verbose
Status: active Logging: on (low) Default: deny (incoming), allow (outgoing) New profiles: skip $
Eins og þú sérð er sjálfgefið sérhverri tengingu sem kemur inn. Ef þú vilt fjarlægja vélina þína þá þarftu að leyfa rétta höfn. Til dæmis viltu leyfa ssh tengingu. Hér er skipunin til að leyfa það.
$ sudo ufw allow ssh [sudo] password for pungki : Rule added Rule added (v6) $
Ef þú athugar stöðuna aftur muntu sjá úttak eins og þetta.
$ sudo ufw status To Action From -- ----------- ------ 22 ALLOW Anywhere 22 ALLOW Anywhere (v6)
Ef þú ert með margar reglur og vilt setja tölur á allar reglur á flugu, notaðu breytu númeruð.
$ sudo ufw status numbered To Action From ------ ----------- ------ [1] 22 ALLOW Anywhere [2] 22 ALLOW Anywhere (v6)
Fyrsta reglan segir að komandi tenging við port 22 hvaðan sem er, bæði tcp eða udp pakkar eru leyfðir. Hvað ef þú vilt leyfa aðeins tcp pakka? Síðan er hægt að bæta við færibreytunni tcp á eftir gáttarnúmerinu. Hér er dæmi með sýnishornsúttak.
$ sudo ufw allow ssh/tcp To Action From ------ ----------- ------ 22/tcp ALLOW Anywhere 22/tcp ALLOW Anywhere (v6)
Sömu brögðum er beitt fyrir Neita reglu. Segjum að þú viljir afneita ftp reglu. Svo þú þarft aðeins að skrifa.
$ sudo ufw deny ftp To Action From ------ ----------- ------ 21/tcp DENY Anywhere 21/tcp DENY Anywhere (v6)
Stundum höfum við sérsniðna höfn sem fylgir engum stöðlum. Segjum að við breytum ssh tenginu á vélinni okkar úr 22 í 2290. Síðan til að leyfa tengi 2290 getum við bætt því við svona.
$ sudo ufw allow To Action From -- ----------- ------ 2290 ALLOW Anywhere 2290 ALLOW Anywhere (v6)
Það er líka mögulegt fyrir þig að bæta port-sviði við regluna. Ef við viljum opna port frá 2290 – 2300 með tcp samskiptareglum, þá verður skipunin svona.
$ sudo ufw allow 2290:2300/tcp To Action From ------ ----------- ------ 2290:2300/tcp ALLOW Anywhere 2290:2300/tcp ALLOW Anywhere (v6)
á meðan ef þú vilt nota udp skaltu bara nota eftirfarandi skipun.
$ sudo ufw allow 2290:2300/udp To Action From ------ ----------- ------ 2290:2300/udp ALLOW Anywhere 2290:2300/udp ALLOW Anywhere (v6)
Vinsamlega mundu að þú þarft að setja „tcp“ eða „udp“ sérstaklega, annars færðu villuboð svipað og hér að neðan.
ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports
Áður höfum við bætt við reglum sem byggjast á þjónustu eða höfn. Ufw gerir þér einnig kleift að bæta við reglum sem byggjast á IP tölu. Hér er sýnishornsskipunin.
$ sudo ufw allow from 192.168.0.104
Þú getur líka notað undirnetmaska til að auka svið.
$ sudo ufw allow form 192.168.0.0/24 To Action From -- ----------- ------ Anywhere ALLOW 192.168.0.104 Anywhere ALLOW 192.168.0.0/24
Eins og þú sérð, frá breytu mun aðeins takmarka uppruna tengingarinnar. Á meðan áfangastaðurinn - sem er táknaður með To dálknum - er hvar sem er. Þú getur líka stjórnað áfangastaðnum með því að nota 'To' færibreytu. Við skulum sjá sýnishornið til að leyfa aðgang að höfn 22 (ssh).
$ sudo ufw allow to any port 22
Ofangreind skipun mun leyfa aðgang hvar sem er og frá hvaða samskiptareglum sem er að höfn 22.
Fyrir nákvæmari reglur geturðu líka sameinað IP tölu, samskiptareglur og gátt. Segjum að við viljum búa til reglu sem takmarkar tenginguna aðeins frá IP 192.168.0.104, aðeins protocol tcp og til port 22. Þá verður skipunin eins og hér að neðan.
$ sudo ufw allow from 192.168.0.104 proto tcp to any port 22
Setningafræði til að búa til neitareglu er svipuð og leyfa reglu. Þú þarft aðeins að breyta færibreytu úr leyfa til að neita.
Einhvern tíma gætir þú þurft að eyða núverandi reglu. Enn og aftur með ufw er auðvelt að eyða reglum. Frá ofangreindu sýnishorni hefurðu reglu fyrir neðan og þú vilt eyða henni.
To Action From -- ----------- ------ 22/tcp ALLOW 192.168.0.104 21/tcp ALLOW Anywhere 21/tcp ALLOW Anywhere (v6)
Það eru tvær aðferðir til að eyða reglum.
Skipunin hér að neðan mun eyða reglum sem passa við þjónustu ftp. Þannig að 21/tcp sem þýðir ftp tengi verður eytt.
$ sudo ufw delete allow ftp
En þegar þú reyndir að eyða fyrstu reglunni í dæminu hér að ofan með því að nota skipunina fyrir neðan.
$ sudo ufw delete allow ssh Or $ sudo ufw delete allow 22/tcp
Þú gætir fundið villuboð eins og.
Could not delete non-existent rule Could not delete non-existent rule (v6)
Þá geturðu gert þetta bragð. Eins og við nefndum hér að ofan geturðu sýnt fjölda reglna til að gefa til kynna hvaða reglu við viljum eyða. Við skulum sýna þér það.
$ sudo ufw status numbered To Action From -- ----------- ------ [1] 22/tcp ALLOW 192.168.0.104 [2] 21/tcp ALLOW Anywhere [3] 21/tcp ALLOW Anywhere (v6)
Þá geturðu eytt fyrstu reglunni með því að nota. Ýttu á \y mun eyða reglunni varanlega.
$ sudo ufw delete 1 Deleting : Allow from 192.168.0.104 to any port 22 proto tcp Proceed with operation (y|n)? y
Frá þessum aðferðum muntu sjá muninn. Aðferð 2 mun biðja notanda staðfestingar áður en reglunni er eytt á meðan aðferð 1 er það ekki.
Í sumum tilfellum gætirðu viljað eyða/endurstilla allar reglur. Þú getur gert það með því að slá inn.
$ sudo ufw reset Resetting all rules to installed defaults. Proceed with operation (y|n)? y
Ef þú ýtir á \y, mun ufw taka öryggisafrit af öllum gildandi reglum áður en þú endurstillir ufw. Ef þú endurstillir reglurnar mun eldveggurinn þinn einnig óvirkur. Þú þarft að virkja hann aftur ef þú vilt nota hann.
Eins og ég sagði hér að ofan getur ufw eldveggurinn gert allt sem iptables geta gert. Þetta er gert með því að nota ýmis sett af regluskrám, sem eru ekkert annað en iptables-restore viðeigandi textaskrár. Að fínstilla ufw og/eða setja fleiri iptables skipanir sem ekki eru leyfðar með ufw skipuninni er spurning um að breyta nokkrum textaskrám.
- /etc/default/ufw: Aðalstillingar fyrir sjálfgefnar reglur, IPv6 stuðning og kjarnaeiningar.
- /etc/ufw/before[6].rules: reglur í þessum skrám eru reiknaðar áður en reglum er bætt við með ufw skipuninni.
- /etc/ufw/after[6].reglur: reglur í þessum skrám eru reiknaðar eftir hvaða reglum sem er bætt við með ufw skipuninni.
- /etc/ufw/sysctl.conf: stillanleg kjarnanetkerfi.
- /etc/ufw/ufw.conf: stillir hvort ufw sé virkt við ræsingu eða ekki og stillir LOGLEVEL.
Niðurstaða
UFW sem framhlið til iptables gerir örugglega auðvelt viðmót fyrir notendur. Notandi þarf ekki að muna flókið setningafræði iptables. UFW notar einnig „látlaus ensku“ sem færibreytu.
Leyfa, neita, endurstilla eru ein þeirra. Ég tel að það séu miklu fleiri iptables framhlið þarna úti. En örugglega er ufw einn besti kosturinn fyrir notendur sem vilja setja upp eldvegginn sinn hratt, auðvelt og auðvitað öruggt. Vinsamlegast farðu á ufw handbókarsíðuna með því að slá inn man ufw fyrir frekari upplýsingar.