Jak skonfigurować wbudowaną zaporę Ubuntu
W tym artykule zbadamy, jak skonfigurować wbudowaną zaporę Ubuntu za pomocą UFW (nieskomplikowana zapora) i GUFW (graficzny front dla UFW). Omówimy wstępnie zainstalowaną zaporę ogniową w Ubuntu, jak ją włączyć i jak pracować z zasadami, aby umożliwić lub odmówić określonego ruchu. Dodatkowo omówimy profile aplikacji i sposób, w jaki mogą one uprościć proces konfigurowania zapory.
1. Ubuntu jest wyposażony w wstępnie zainstalowaną zaporę, znaną jako UFW (nieskomplikowana zapora).
2. UFW to frontend dla standardowych poleceń Linux IPTables.
3. GUFW to graficzny front dla UFW, ułatwiając normalnym użytkownikom konfigurację zapory.
4. Zapora jest domyślnie wyłączona w Ubuntu.
5. Aby włączyć zaporę, uruchom polecenie „sudo ufw enable” w terminalu.
. Można dodać reguły, aby umożliwić lub odmówić określonych rodzajów ruchu.
7. Przykładowe polecenia umożliwiające ruch SSH na porcie 22:
- „Sudo UFW zezwala na 22” (pozwala zarówno na ruch TCP, jak i UDP, a nie idealnie, jeśli UDP nie jest konieczne)
- „Sudo UFW zezwala na 22/TCP” (umożliwia tylko ruch TCP na porcie 22)
- „Sudo UFW zezwala na SSH” (sprawdza plik /etc /usługi dla portu SSH wymaga i pozwala na to)
8. .
9. Reguły można przeglądać za pomocą polecenia „SUDO UFW Status”.
10. Reguły można usunąć za pomocą polecenia „Sudo UFW Usuń [reguła]”.
11. Zapora można zresetować do stanu domyślnego za pomocą polecenia „Sudo UFW Reset”.
. UFW obsługuje profile aplikacji w celu łatwiejszej konfiguracji.
13. Profile aplikacji można wymienić za pomocą polecenia „Lista aplikacji SUDO UFW”.
14. Dodatkowe informacje o określonym profilu aplikacji można uzyskać za pomocą polecenia „Sudo UFW Info aplikacji [nazwa]”.
Pytania i odpowiedzi
1. Czy w Ubuntu jest wstępnie zainstalowana lub automatyczna zapora ogniowa? Czy potrzebuję jednego?
Tak, Ubuntu jest wyposażony w wstępnie zainstalowaną zaporę znaną jako UFW (nieskomplikowana zapora). Podczas gdy Linux jest ogólnie uważany za bezpieczniejszy niż inne systemy operacyjne, posiadanie zapory jest nadal ważne dla ochrony systemu przed nieautoryzowanym dostępem.
2. Co to jest UFW i GUFW?
UFW to frontend dla standardowych poleceń Linux iPtables i umożliwia łatwiejszą konfigurację zapory. Z drugiej strony GUFW to graficzny front dla UFW, dzięki czemu jest bardziej przyjazny dla zwykłych użytkowników.
3. Jak mogę włączyć zaporę?
Aby włączyć zaporę w Ubuntu, otwórz terminal i uruchom polecenie „Sudo UFW Włącz”. To aktywuje zaporę ogniową i zacznie stosować skonfigurowane reguły.
4. Jak mogę dodać reguły, aby umożliwić określony ruch?
Możesz dodać reguły, aby umożliwić określony ruch przy użyciu polecenia „Sudo UFW zezwolić [port/protokół]”. Na przykład, aby umożliwić ruch SSH na porcie 22, możesz uruchomić polecenie „Sudo UFW zezwolić na 22” lub „sudo ufw zezwolić na ssh”.
5. Czy mogę wyświetlić reguły, które stworzyłem?
Tak, możesz wyświetlić reguły, które utworzyłeś, uruchamiając polecenie „SUDO UFW status” w terminalu. To wyświetli listę aktywnych reguł.
6. Jak mogę usunąć zasadę?
Aby usunąć regułę, użyj polecenia „sudo ufw usuń [reguła]”. Na przykład, aby przestać odrzucić ruch wychodzący SSH, uruchomisz „Sudo UFW usuń odrzucić SSH”.
7. Czy istnieje sposób na zresetowanie zapory do stanu domyślnego?
Tak, możesz zresetować zaporę ogniową do jego domyślnego stanu, uruchamiając polecenie „Sudo UFW Reset”. To usunie wszystkie skonfigurowane reguły i ustawienia.
. Jakie są profile aplikacji?
Profile aplikacji to predefiniowane konfiguracje, które umożliwiają łatwiejszą konfigurację zapory dla określonych aplikacji. Możesz wymienić dostępne profile aplikacji za pomocą polecenia „Lista aplikacji SUDO UFW”.
9. Jak mogę uzyskać więcej informacji o określonym profilu aplikacji?
Aby uzyskać więcej informacji o określonym profilu aplikacji, użyj polecenia „Informacje o aplikacji Sudo UFW [nazwa]”. To poda szczegóły dotyczące profilu i jego zawartych zasad.
10. Jak odmówić określonego ruchu?
Aby odmówić określonego ruchu, możesz użyć polecenia „sudo ufw odmówić [port/protokół]”. Na przykład, aby odmówić ruchu TCP z określonego adresu IP do portu 22, uruchomisz „Sudo UFW odmówienie Proto TCP z [IP] do dowolnego portu 22”.
. Czy zaporę można zarządzać za pośrednictwem interfejsu graficznego?
Tak, zaporą można zarządzać za pośrednictwem interfejsu graficznego za pomocą GUFW, graficznego przodu dla UFW. Zapewnia przyjazny dla użytkownika sposób skonfigurowania zapory.
. Jest domyślnie działającą zaporą ogniową, nawet jeśli pokazuje się jako niepełnosprawne w GAFW?
Tak, zapora działa domyślnie w Ubuntu, nawet jeśli pokazuje się jako niepełnosprawna w GUFW. Wiadomość Enable/wyłącz w GUFW odnosi się do zestawów reguł z UFW, a nie do faktycznego statusu zapory.
13. Jak mogę sprawdzić, czy zapora działa?
. To pokaże zasady zapory i potwierdzi, że zapora jest aktywna.
14. Czy mogę skonfigurować reguły zapory bez umożliwienia zaporowej zapory?
Tak, możesz skonfigurować reguły zapory bez włączania zapory. Możesz dodać reguły, gdy zapora jest offline, a następnie włączyć ją po zakończeniu konfiguracji reguł.
. Czy mogę skonfigurować złożone reguły z UFW?
Tak, UFW obsługuje złożone zasady. Na przykład możesz odmówić ruchu z określonego adresu IP do określonego portu za pomocą polecenia „Sudo UFW odmówić proto TCP z [IP] do dowolnego portu [port]”. Umożliwia to drobnoziarnistą kontrolę nad ruchem dozwolonym lub odrzuconym przez zaporę ogniową.
Jak skonfigurować Ubuntu’S Wbudowana zapora ogniowa
W ten sposób zablokujesz cały ruch z 192.168.100.20 do portu 53 za pomocą protokołu UDP, który jest zwykle zarezerwowany dla usługi DNS.
Czy istnieje wstępnie zainstalowana lub automatyczna zapora ogniowa?
Czy Ubuntu jest dostarczany z wstępnie zainstalowaną lub automatyczną zaporą zapory? Jeśli nie, potrzebuję jednego? Przeczytałem kilka artykułów o zaletach Linuksa w stosunku do innych systemów operacyjnych dotyczących bezpieczeństwa (nie ma potrzeby mieć antywirusa, . ), ale chciałbym się upewnić.
68.8K 55 55 Złote odznaki 214 214 Srebrne odznaki 325 325 brązowe odznaki
zapytał 24 października 2010 o 14:55
Pedroo Pedroo
5 odpowiedzi 5
Ubuntu ma zaporę ogniową zawartą w jądrze i domyślnie działa. To, czego potrzebujesz, aby zarządzać tą zaporą iptables. Ale są to skomplikowane w zarządzaniu, więc możesz użyć UFW (nieskomplikowana zapora) . Ale UFW jest nadal czymś trudnym dla normalnych użytkowników, więc możesz zainstalować GUFW .
Jeśli użyjesz GUFW, po raz pierwszy zobaczysz na dole okna „Niepełnosprawna zapora”. Ale to nieprawda, twoja zapora już działa. To włączenie/wyłączenie wiadomości odnosi się do zestawów reguł z UFW, a nie do zapory.
Jeśli nie wierzysz mi, otwórz terminal i napisz
sudo iptables -lista -czasnik
Spróbuj tego z gufw włączony I wyłączony. Zobaczysz, że jedynymi różnicami będą reguły, które ustawiłeś w GUFW.
Jak skonfigurować Ubuntu’
Chris Hoffman
Chris Hoffman
Redaktor naczelny
Chris Hoffman jest redaktorem naczelnym How-To Geek. Od ponad dekady pisał o technologii i przez dwa lata był felietonistą PCWorld. Chris napisał dla The New York Times I Reader’s Digest, . Od 2011 r. Chris napisał ponad 2000 artykułów, które zostały przeczytane więcej niż miliard razy-i to właśnie tutaj w hodowli maniaka. Czytaj więcej.
Zaktualizowano 10 lipca 2017, 16:11 EDT | Przeczytaj 2 min
Ubuntu zawiera własną zaporę, znaną jako UFW – krótko “Nieskomplikowana zapora ogniowa.” UFW to łatwiejsza frontend dla standardowych poleceń Linux IPTABLES. . Ubuntu’S Firewall jest zaprojektowany jako łatwy sposób na wykonywanie podstawowych zadań zapory bez uczenia się iptables. To nie’t Oferuj całą moc standardowych poleceń iptables, ale’s mniej złożone.
Zastosowanie terminali
. Aby włączyć zaporę ogniową, uruchom następujące polecenie z terminala:
sudo ufw włącz
Jesteś skończony’koniecznie muszę najpierw włączyć zaporę. Możesz dodać zasady, gdy zapora jest offline, a następnie włączyć je po sobie’Ponownie konfigurowanie go.
Praca z zasadami
Pozwalać’S, powiedzmy, że chcesz zezwolić na ruch SSH na porcie 22. Aby to zrobić, możesz uruchomić jedno z kilku poleceń:
Sudo UFW zezwala na 22 (pozwala zarówno na ruch TCP, jak i UDP – nie jest idealny, jeśli UDP ISN’t konieczne.) Sudo UFW zezwala na 22/TCP (umożliwia tylko ruch TCP w tym porcie.) Sudo UFW zezwala na SSH (sprawdza plik /etc /usługi w systemie dla portu, którego wymaga i pozwala na to. .)
UFW zakłada, że chcesz ustawić regułę dla przychodzącego ruchu, ale możesz również określić kierunek. Na przykład, aby zablokować wychodzący ruch SSH, uruchom następujące polecenie:
sudo ufw odrzucaj ssh
Możesz wyświetlić zasady’ve utworzone za pomocą następującego polecenia:
status sudo UFW
Aby usunąć regułę, dodaj słowo usuń przed regułą. Na przykład, aby przestać odrzucić ruch wychodzący SSH, uruchom następujące polecenie:
sudo ufw usuń odrzuć ssh
UFW’Składnia S pozwala na dość złożone zasady. Na przykład ta reguła odmawia ruchu TCP z IP 12..56.78 do portu 22 w systemie lokalnym:
sudo ufw odmówić proto tcp od 12.34.56.78 do dowolnego portu 22
Aby zresetować zaporę ogniową do stanu domyślnego, uruchom następujące polecenie:
sudo ufw reset
Profile aplikacji
Niektóre aplikacje wymagające otwartych portów są wyposażone w profile UFW, aby jeszcze ułatwić. Aby zobaczyć profile aplikacji dostępne w systemie lokalnym, uruchom następujące polecenie:
Lista aplikacji Sudo UFW
Wyświetl informacje o profilu i jego zawodach z następującym poleceniem:
Nazwa informacji o aplikacji Sudo UFW
Zezwalaj na profil aplikacji z poleceniem zezwoleń:
sudo ufw zezwala na nazwę
Więcej informacji
Logowanie jest domyślnie wyłączone, ale możesz również włączyć rejestrowanie, aby wydrukować komunikaty zapory na dziennik systemu:
sudo ufw logowanie
Aby uzyskać więcej informacji, uruchom Man Ufw polecenie do odczytania UFW’S Strona ręczna.
Interfejs graficzny GUFW
GUFW to graficzny interfejs UFW. Ubuntu nie’T’S repozytoria oprogramowania. Możesz zainstalować go za pomocą następującego polecenia:
sudo apt-get instaluj gufw
GUFW pojawia się w Dash jako aplikacja o nazwie konfiguracja zapory. Podobnie jak sam UFW, GUFW zapewnia prosty, łatwy w użyciu interfejs. Możesz łatwo włączyć lub wyłączyć zaporę ogniową, kontrolować domyślną zasady dla ruchu przychodzącego lub wychodzącego i dodać reguły.
Edytor reguł można użyć do dodania prostych reguł lub bardziej skomplikowanych.
Pamiętaj, że możesz’t rób wszystko z UFW – dla bardziej skomplikowanych zadań zapory, ty’Muszę zabrudzić sobie ręce iptables.
Polecenia Linux | |
Akta | smoła · PV · kot · tac · · Grep · sed · ar · Człowiek · Pushd · popd · FSCK · TestDisk · SEQ · FD · Pandoc · płyta CD · $ Ścieżka · Awk · dołączyć JQ · zginać · Uniq · Journalctl · ogon · Stat · LS · Echo · mniej · CHGRP · Chown · obrót silnika · Patrzeć · smyczki · typ · Przemianować · zamek błyskawiczny · rozsunąć suwak uchwyt · Umount zainstalować · · MKFS · Rm · Rmdir · rsync · df · GPG · vi · Nano · Mkdir · du · Ln · skrawek konwertować · rclone · · srm · SCP · gzip Chattr · · znajdować · Umask · toaleta · tr |
Procesy | Alias · ekran · szczyt · Ładny · Renice · postęp · · Systemd · Tmux · Chsh · historia · Na · seria · bezpłatny · Który · Dmesg CHFN Usermod Ps · Chroot · Xargs · tty · mały palec · lsof · VMSTAT · koniec czasu · ściana · Tak · zabić · spać sudo · Su · czas · GroupAdd · Usermod · grupy · lshw · zamknięcie ponowne uruchomienie · postój · Poweroff · Passwd · LSCPU · crontab · data · · · Pidof · Nohup · |
Networking | Netstat · świst · Taceroute · ip · SS · kto jest · Fail2ban · Bon · kopać · palec · nmap · ftp · kędzior · wget · Kto · kim jestem · w · iptables · ssh-keygen · UFW · · |
POWIĄZANY:
- › Jak zacząć z zaporą w Linux
- › Jak zbudować własny plik w chmurze zsynchronizowany z NextCloud
- › Twój Mac’S Firewall jest domyślnie wyłączony: czy musisz to włączyć?
- › Samsung Galaxy Z Fold 4 trafia nową niską cenę wszechczasów, a także więcej ofert
- › Profil Sennheiser Recenzja USB: Mikrofon stałego przesyłania strumieniowego z praktycznymi elementami sterującymi
- › Możesz teraz zadzwonić pod numer, aby uzyskać jazdę
- › Amazon ujawnia nowy “Echo pop” i zaktualizowane inteligentne wyświetlacze
- › Jak naprawić “Coś się nie’nie idź zgodnie z planem” Błąd w systemie Windows 11
Chris Hoffman
Chris Hoffman jest redaktorem naczelnym How-To Geek. Od ponad dekady pisał o technologii i przez dwa lata był felietonistą PCWorld. Chris napisał dla The New York Times I Reader’s Digest, Został przeprowadzony wywiad jako ekspert ds. Technologii na stacjach telewizyjnych, takich jak NBC 6 Miami, i jego praca omówiła serwis informacyjny, takie jak BBC. Od 2011 r. Chris napisał ponad 2000 artykułów, które zostały przeczytane więcej niż miliard razy-i to właśnie tutaj w hodowli maniaka.
Przeczytaj pełną biografię »
Jak założyć zaporę ogniową z UFW na Ubuntu 22.04
UFW, czyli nieskomplikowana zapora ogniowa, to uproszczony interfejs zarządzania zaporą ogniową, który ukrywa złożoność technologii filtrowania pakietów niższego poziomu, takich jak IPTABLES i NFABLES . Jeśli ty’Szukam, aby zacząć zabezpieczać swoją sieć, a ty’Nie jestem pewien, jakiego narzędzia do użycia, UFW może być dla Ciebie właściwym wyborem.
Ten samouczek pokaże, jak założyć zaporę ogniową z UFW na Ubuntu 22.04.
Wymagania wstępne
Aby śledzić ten samouczek, będziesz potrzebować:
- Jeden Ubuntu 22.04 Serwer z użytkownikiem nie-root sudo, który można skonfigurować, postępując zgodnie z naszą początkową konfiguracją serwera z Ubuntu 22.04 Samouczek.
UFW jest domyślnie zainstalowany na Ubuntu. .
Ten samouczek jest napisany z myślą o IPv4, ale będzie działał dla IPv6, a także długo, jak to włączysz. Jeśli Twój serwer Ubuntu ma włączony IPv6, upewnij się, że UFW jest skonfigurowane do obsługi IPv6, aby zarządzać regułami zapory dla IPv6 oprócz IPv4. Aby to zrobić, otwórz konfigurację UFW za pomocą Nano lub ulubionego edytora.
Następnie upewnij się, że wartość IPv6 jest tak . To powinno wyglądać tak:
/etc/default/UFW fragment
IPv6 =Tak
Zapisz i zamknij plik. Teraz, gdy UFW jest włączone, zostanie on skonfigurowany do zapisywania reguł zapory IPv4, jak i IPv6. Jednak przed włączeniem UFW będziemy chcieli upewnić się, że Twoja zapora zostanie skonfigurowana, aby umożliwić połączenie się za pośrednictwem SSH. Pozwalać’S Zacznij od ustawienia domyślnych zasad.
Krok 2 – Konfigurowanie domyślnych zasad
Jeśli ty’Po prostu zaczynaj zacząć swoją zaporę, pierwsze zasady, które określają, to twoje domyślne zasady. . Domyślnie UFW jest ustawione na zaprzeczenie wszystkich połączeń przychodzących i umożliwia wszystkie połączenia wychodzące. Oznacza to, że każdy, kto próbuje dotrzeć do serwera, nie byłby w stanie się połączyć, podczas gdy każda aplikacja na serwerze byłaby w stanie dotrzeć do świata zewnętrznego.
Pozwalać’S Odłóż reguły UFW z powrotem na wartości domyślne, abyśmy mogli mieć pewność, że Ty’. Aby ustawić wartości domyślne używane przez UFW, użyj tych poleceń:
Otrzymasz dane wyjściowe jak następujące:
WyjścieDomyślna polityka przychodząca zmieniona na „Odmowa” (pamiętaj, aby odpowiednio zaktualizować swoje zasady) Zmienione zasady wychodzące z niewydolności na „Zezwalaj” (pamiętaj, aby odpowiednio zaktualizować swoje zasady)
Polecenia te ustawiają domyślne, aby odmówić przychodzącego i umożliwiające połączenia wychodzące. Te same domyślne warunki zapory mogą wystarczyć do komputera osobistego, ale serwery zwykle muszą odpowiedzieć na przychodzące żądania od użytkowników zewnętrznych. ’Spójrz na to następne.
Krok 3 – Zezwalanie na połączenia SSH
Gdybyśmy teraz włączyli naszą zaporę UFW, odmówiłoby to wszystkich połączeń przychodzących. Oznacza to, że będziemy musieli utworzyć reguły, które jawnie zezwalają na legalne połączenia przychodzące – na przykład połączenia SSH lub HTTP – jeśli chcemy, aby nasz serwer odpowiedział na tego rodzaju żądania. Jeśli ty’Przy użyciu serwera w chmurze, prawdopodobnie będziesz chciał zezwolić na przychodzące połączenia SSH, abyś mógł połączyć się z serwerem i zarządzać.
Aby skonfigurować serwer, aby umożliwić przychodzące połączenia SSH, możesz użyć tego polecenia:
To utworzy reguły zapory, które pozwoli na wszystkie połączenia z portem 22, czyli portem, na którym domyślnie nasyna SSH służy. UFW wie, co na to pozwala SSH, ponieważ to’s wymieniony jako usługa w pliku /etc /usługi.
Możemy jednak faktycznie napisać równoważną regułę, określając port zamiast nazwy usługi. Na przykład to polecenie działa tak samo jak powyżej:
. Na przykład, jeśli Twój serwer SSH słucha na porcie 2222, możesz użyć tego polecenia, aby umożliwić połączenia w tym porcie:
Teraz, gdy Twoja zapora jest skonfigurowana, aby umożliwić przychodzące połączenia SSH, możemy to włączyć.
Krok 4 – Włączanie UFW
Aby włączyć UFW, użyj tego polecenia:
Otrzymasz ostrzeżenie, które mówi, że polecenie może zakłócić istniejące połączenia SSH. Już skonfigurowałeś regułę zapory, która umożliwia połączenia SSH, więc kontynuowanie powinno być dobrze. Odpowiedz na monit za pomocą Y i naciśnij Enter .
Zapora jest teraz aktywna. Uruchom komendę Verbose Status Sudo UFW, aby zobaczyć ustawione reguły. Reszta tego samouczka obejmuje bardziej szczegółowo korzystanie z UFW, na przykład dopuszczenie lub odmawianie różnych rodzajów połączeń.
Krok 5 – Zezwalanie na inne połączenia
W tym momencie powinieneś zezwolić na wszystkie inne połączenia, na które Twój serwer musi odpowiedzieć. . . Możesz to również zrobić dla:
- HTTPS na porcie 443, którego używa zaszyfrowane serwery Web, za pomocą sudo UFW zezwala na HTTPS lub sudo UFW zezwala na 443
Istnieje kilka innych sposobów na zezwolenie na inne połączenia, oprócz określania portu lub znanej usługi.
Określone zakresy portów
Możesz określić zakresy portów za pomocą UFW. Niektóre aplikacje używają wielu portów, zamiast jednego portu.
Na przykład, aby umożliwić połączenia X11, które używają portów 6000 – 6007, użyj tych poleceń:
Podczas określania zakresów portów z UFW należy określić protokół (TCP lub UDP), do którego reguły powinny mieć zastosowanie. Pracujemy’T wspomniałem o tym wcześniej, ponieważ nie określenie protokołu automatycznie zezwala na oba protokoły, co jest w porządku w większości przypadków.
Określone adresy IP
Podczas pracy z UFW możesz również określić adresy IP. Na przykład, jeśli chcesz zezwolić na połączenia z określonego adresu IP, takiego jak pracujący lub domowy adres IP 203.0.113.4, musisz określić, a następnie adres IP:
Możesz także określić określony port, z którym może się połączyć adres IP, dodając do dowolnego portu, a następnie numer portu. Na przykład, jeśli chcesz zezwolić na 203..113.4 Aby połączyć się z portem 22 (SSH), użyj tego polecenia:
Podsieci
Jeśli chcesz zezwolić na podsieć adresów IP, możesz to zrobić za pomocą notacji CIDR w celu określenia maski sieciowej. Na przykład, jeśli chcesz zezwolić na wszystkie adresy IP od 203.0.113.1 do 203.0.113.254 Możesz użyć tego polecenia:
.0.113.0/24 może łączyć się z. Znowu my’LL Użyj portu 22 (SSH) jako przykładu:
Jeśli chcesz utworzyć regułę zapory, która dotyczy tylko określonego interfejsu sieciowego, możesz to zrobić, określając “Pozwól” .
Przed kontynuowaniem możesz sprawdzić interfejsy sieciowe. Aby to zrobić, użyj tego polecenia:
Fragment wyjściowy2: : MTU 1500 QDISC PFIFO_FAST Stan . . . 3: ENP0S4: MTU 1500 QDISC Noop State Down Group . . .
Podświetlone wyjście wskazuje nazwy interfejsu sieciowego. Zazwyczaj nazywane są czymś takim jak ETH0, ENS1 lub ENP3S2 .
Jeśli więc twój serwer ma publiczny interfejs sieciowy o nazwie ENS3, możesz zezwolić na ruch HTTP (port 80) za pomocą tego polecenia:
Pozwoliłby Twojemu serwerowi odbierać żądania HTTP z publicznego Internetu.
Lub, jeśli chcesz, aby Twój serwer bazy danych MySQL (port 3306) słuchał połączeń w prywatnym interfejsie sieciowym ETH1, możesz użyć tego polecenia:
Umożliwiłoby to innym serwerom w Twojej prywatnej sieci połączenie się z twoją bazą danych MySQL.
Krok 6 – Odmawianie połączeń
Jeśli przystąpiłeś’t Zmieniono domyślną zasady dla połączeń przychodzących, UFW jest skonfigurowany tak, aby odmówił wszystkich połączeń przychodzących. Ogólnie rzecz biorąc, upraszcza to proces tworzenia bezpiecznej zasady zapory, wymagając od ciebie tworzenia reguł, które jawnie zezwalają na określone porty i adresy IP za pośrednictwem.
Czasami jednak będziesz chciał odmówić określonych połączeń na podstawie źródła adresu IP lub podsieci, być może dlatego, że wiesz, że stamtąd jest atakowany, że twój serwer jest atakowany. Ponadto, jeśli chcesz zmienić domyślną politykę przychodzącą na umożliwić (co nie jest zalecane), musisz stworzyć zaprzeczyć zasady dotyczące dowolnych usług lub adresów IP, których nie’t chcę zezwolić na połączenia.
Pisać reguły, możesz użyć poleceń opisanych powyżej, zastępując umożliwić z zaprzeczyć.
Na przykład, aby odmówić połączeń HTTP, możesz użyć tego polecenia:
Lub jeśli chcesz odmówić wszystkich połączeń z 203.0.113.4 Możesz użyć tego polecenia:
Teraz pozwól’S Spójrz na to, jak usunąć zasady.
Krok 7 – Zasady usuwania
Wiedza o tym, jak usunąć zasady zapory, jest tak samo ważna, jak wiedza o ich tworzeniu. Istnieją dwa różne sposoby określenia, które reguły należy usunąć: według numeru reguły lub faktycznej reguły (podobnie jak określono reguły, kiedy zostały utworzone). My’Zacznij od Usuń według numeru reguły Metoda, ponieważ jest to łatwiejsze.
Według numeru reguły
’Ponowne użycie numeru reguły do usuwania zasad zapory, pierwszą rzeczą’. Polecenie statusu UFW ma opcję wyświetlania liczb obok każdej reguły, jak pokazano tutaj:
Numerowane wyjście:Status: Aktywne do działania od------- ---- [1] 22 Zezwalaj na 15.15.15.
Jeśli zdecydujesz, że chcesz usunąć regułę 2, ten, który umożliwia połączenia Port 80 (HTTP), możesz je określić w poleceniu UFW Usuń tak:
Pokazałoby to monit potwierdzenia, a następnie usunąć regułę 2, która umożliwia połączenia HTTP. Zauważ, że jeśli masz włączone IPv6, chcesz również usunąć odpowiednią regułę IPv6.
Według faktycznej reguły
Alternatywą dla numerów reguł jest określenie rzeczywistej reguły do usunięcia. Na przykład, jeśli chcesz usunąć regułę zezwolenia HTTP, możesz ją napisać w ten sposób:
Możesz także określić regułę według Zezwolenie na 80, zamiast nazwy usługi:
Ta metoda usunie zarówno reguły IPv4, jak i IPv6, jeśli istnieją.
Krok 8 – Sprawdzanie statusu i zasad UFW
W dowolnym momencie możesz sprawdzić status UFW za pomocą tego polecenia:
Jeśli UFW jest wyłączone, co jest domyślnie, ty’
WyjścieStatus: nieaktywny
Jeśli UFW jest aktywne, co powinno być, jeśli podążasz za krokiem 3, wyjście powie, że to’s Aktywne i wymienia wszelkie ustawione reguły. Na przykład, jeśli zapora jest ustawiona, aby umożliwić połączenia SSH (port 22) z dowolnego miejsca, wyjście może wyglądać tak:
WyjścieStatus: Aktywne rejestrowanie: ON (niski) Domyślnie: Odmowa (przychodzą), Zezwalaj (wychodzący), Odmowa (kierowana) Nowe profile: Przejdź do działania od ------- ---- 22/TCP Zezwalaj w dowolnym miejscu 22 (v6) Pozwól w dowolnym miejscu (v6)
Użyj polecenia statusu, jeśli chcesz sprawdzić, w jaki sposób UFW skonfigurowało zaporę ogniową.
Krok 9 – Wyłączanie lub resetowanie UFW (opcjonalnie)
’T chcesz użyć UFW, możesz go wyłączyć za pomocą tego polecenia:
Wszelkie zasady, które utworzyłeś z UFW, nie będą już aktywne. Zawsze możesz uruchomić sudo ufw, jeśli chcesz go aktywować później.
Jeśli masz już skonfigurowane reguły UFW, ale zdecydujesz, że chcesz zacząć od nowa, możesz użyć polecenia reset:
Wyłączy to UFW i usunie wszelkie wcześniej zdefiniowane reguły. Pamiętaj, że domyślne zasady wygrały’Zmień się na ich oryginalne ustawienia, jeśli je zmodyfikowałeś w dowolnym momencie. To powinno dać ci nowy początek z UFW.
Wniosek
. Pamiętaj, aby zezwolić na inne przychodzące połączenia, których potrzebuje Twój serwer, jednocześnie ograniczając wszelkie niepotrzebne połączenia, aby Twój serwer był funkcjonalny i bezpieczny.
.
Dziękujemy za naukę ze społecznością Digitalocean. Sprawdź nasze oferty do obliczeń, pamięci, sieci i zarządzanych baz danych.
Seria samouczków: Pierwsze kroki z przetwarzaniem w chmurze
Ten program nauczania wprowadza przetwarzanie w chmurze open source do ogólnej grupy odbiorców wraz z umiejętnościami niezbędnymi do bezpiecznego wdrażania aplikacji i stron internetowych w chmurze.
Seria przeglądania: 39 artykułów
- 1/39 serwery chmurowe: wprowadzenie
- 2/39 Ogólne wprowadzenie do przetwarzania w chmurze
- 3/39 początkowa konfiguracja serwera z Ubuntu 22.04
Jak skonfigurować zaporę Ubuntu z UFW
Zapora to system bezpieczeństwa dla sieci, który monitoruje cały przychodzący i wychodzący ruch. Zezwala lub blokuje pakiety danych w oparciu o predefiniowane reguły bezpieczeństwa.
Jeśli prowadzisz system produkcyjny, ważne jest, aby zrozumieć, jak skonfigurować zaporę ogniową. Systemy chronione na zaporę są mniej prawdopodobne, że zarażają się szkodliwymi informacjami, ponieważ są mniej narażone na Internet, ponieważ ruch przychodzący i wychodzący jest ściśle filtrowany zgodnie z zasadami bezpieczeństwa.
?
UFW, zwane również nieskomplikowaną zaporą, to front -end framework, który zapewnia prosty interfejs do używania narzędzia IPTABLES do zarządzania NetFilter – domyślny system filtrowania pakietów z jądra Linux. .04 To upraszcza skomplikowane polecenia IPTables i pozwala łatwiej tworzyć podstawowe konfiguracje zapory.
UFW używa interfejsu wiersza poleceń z niewielką liczbą prostych poleceń. . .
#Wymagania
Aby skonfigurować UFW, musisz wcześniej mieć następujące rzeczy:
- .
- Podstawowa znajomość interfejsu wiersza poleceń (CLI)
NOTATKA: .04, ale inne wersje LTS. Wczesne wersje UFW były dostępne od Ubuntu 12.04.
#Install UFW Firewall
UFW jest wstępnie zainstalowany z systemem operacyjnym Ubuntu. Możesz jednak upewnić się, że masz najnowszą wersję UFW, próbując ją zainstalować za pomocą następującego polecenia:
apt Zainstaluj UFW
Teraz, gdy masz zainstalowaną najnowszą wersję UFW, niech’S Sprawdź jego status za pomocą następującego polecenia:
Jak widać, UFW jest domyślnie nieaktywne. Umożliwimy to po wprowadzeniu najpierw ważnych zmian.
.
Domyślnie UFW jest skonfigurowany tak, aby odmawia się całego ruchu przychodzącego i umożliwiający cały ruch wychodzący. Oznacza to, że nikt nie jest w stanie dotrzeć do twojego systemu, podczas gdy możesz wymyślić wnioski wychodzące z dowolnej aplikacji lub usługi.
Domyślne zasady UFW można zmienić za pomocą następującego wzorca polecenia:
Na przykład, jeśli chcesz zezwolić na cały przychodzący ruch, użyj następującego polecenia:
UFW Domyślnie pozwala na przybycie
Domyślnie UFW odmówić wychodzącego
Na przykład po każdej zmianie zasad zostanie wyświetlona wiadomość potwierdzająca:
#Allow SSH Connections
Domyślnie UFW zablokuje cały przychodzący ruch, w tym SSH i HTTP. Jeśli włączysz zaporę przed ustaleniem wyjątku, Twoja bieżąca sesja zdalna zostanie zakończona i wygrałeś’Nie mogę już połączyć się z serwerem.
Aby tego uniknąć, musisz zezwolić na przychodzące połączenia SSH za pomocą następującego polecenia:
Otworzy port 22, który jest domyślnym portem. Jak widać, dodano dwie nowe reguły zapory odpowiednio dla protokołów IPv4 i IPv6:
Jeśli skonfigurowałeś SSH do korzystania z innego portu, użyj bardziej konkretnego polecenia, aby utworzyć regułę zezwoleń dla połączeń SSH. Na przykład, jeśli masz usługę SSH słuchając portu 4422, użyj następującego polecenia:
.
#Enable UFW Firewall
Teraz, gdy Twój UFW został skonfigurowany, musisz go włączyć za pomocą następującego polecenia:
To natychmiast uruchomi demon UFW i włączy go w uruchomieniu systemowym. Zaakceptuj podaną monit, wpisując Y i naciśnij Enter, aby kontynuować.
Możesz dwukrotnie sprawdzić, czy działa za pomocą SystemCtl Service Manager:
Status SystemCtl UFW
#Add UFW zasady zapory
Istnieją różne zasady zapory, które możesz zastosować do swojego systemu za pośrednictwem UFW:
- Odmowa – cicho odrzucaj ruch
- Odrzuć – odrzuć ruch i odślij pakiet błędu do nadawcy
- Limit – Limit połączeń z określonego adresu IP, który próbował zainicjować 6 lub więcej połączeń w ciągu ostatnich 30 sekund
Możesz zastosować te zasady zapory w ogólnym lub bardziej szczegółowym zakresie. Ogólny zakres stosuje zasadę UFW zarówno do ruchu przychodzącego, jak i wychodzącego.
UFW [reguła] [cel]
Z drugiej strony możesz zastosować regułę do przychodzącego lub wychodzącego ruchu.
UFW [reguła] w [Target]
.
. Możesz celować w nazwy usług, adresów IP, portów, a nawet interfejsów sieciowych. Pozwalać’s, teraz przejdź przez każdy z tych wzorców celowania, aby zobaczyć, co jest możliwe.
#Target Profile aplikacji
Po zainstalowaniu UFW większość aplikacji, które polegają na sieci komunikacji, rejestruje swój profil w UFW, umożliwiając użytkownikom szybkie zezwolenie na zewnętrzny dostęp do tej aplikacji.
Możesz sprawdzić, które aplikacje są zarejestrowane w UFW za pomocą następującego polecenia:
Oto jak może wyglądać twoje wyjście:
Aby umożliwić przychodzący i wychodzący dostęp do dowolnej z tych aplikacji, użyj następującego wzorca poleceń:
UFW Zezwalaj na [nazwa aplikacji]
Na przykład możesz zezwolić na połączenia OpenSSH z następującym poleceniem:
UFW zezwala na OpenSsh
Ta reguła zapory pozwala na cały przychodzący ruch i wychodzący ruch do aplikacji OpenSSH. Możesz być bardziej szczegółowy i umożliwić przychodzący ruch SSH tylko z następującym poleceniem:
UFW zezwala na OpenSsh
. . Użyj limitu zamiast zezwolić na zestaw reguł dla aplikacji OpenSSH w środowisku produkcyjnym:
Limit UFW OpenSsh
#Target Adress IP
W UFW możesz pozwolić lub odmówić określonego adresu IP z następującym wzorem poleceń:
UFW [reguła] z [ip_address]
Na przykład, jeśli widziałeś złośliwe działanie z adresu IP 192..100.
UFW zaprzecz od 192.168.100.20
Chociaż zablokowałeś cały przychodzący ruch z tego złośliwego adresu IP, w niektórych przypadkach może nadal dotrzeć do twojego serwera. . Na przykład Twoja pierwsza zasada może pozwolić na cały przychodzący ruch na porcie 22, a odmówić od 192..100.20 reguły może być jednym krokiem.
Aby uniknąć takich sytuacji, użyj opcji przygotowania, aby dodać najbardziej specyficzne reguły zapory na samą listę listy reguł.
UFW przygotowuje odmowę z 192 roku…20
#Target Porty
Możesz także kierować do określonych portów lub zakresów portów za pomocą UFW. Na przykład możesz zezwolić na połączenia do portu 8080 za pomocą dowolnego protokołu:
Zwykle możesz być bardziej szczegółowy i pozwolić tylko na połączenia z określonym portem za pomocą konkretnego protokołu sieciowego. Forn Instance możesz zezwolić na połączenia TCP do portu 8080 tylko z następującym poleceniem:
UFW Zezwalaj na 8080/tcp
Czasami jednak aplikacja może korzystać z zakresu portów do różnych czynności. W takim przypadku możesz użyć następującego polecenia, aby białolistować zakres portów:
UFW Zezwalaj na 8080: 9090/TCP
Pamiętaj o możliwości ukierunkowania adresów IP? Jeśli nie chcesz blokować całego ruchu z adresu IP, możesz być nieco bardziej szczegółowy i blokować ruch do określonego portu:
UFW zaprzecz od 192.168.100.20 do dowolnego portu 53 Proto UDP
.168.100.20 do portu 53 za pomocą protokołu UDP, który jest zwykle zarezerwowany dla usługi DNS.
Oto jak wyglądałoby twoje wyjście:
#Target Interfaces sieciowy
Niektóre systemy mają skonfigurowane wiele interfejsów sieciowych, które mogą wymagać odrębnych reguł zapory. Forutnatelly, UFW umożliwia ukierunkowanie na określony interfejs sieci. Pozwalać’s wypróbuj to.
Najpierw wymień swój system’S Interfejsy sieciowe z następującym poleceniem:
.04 System. Pozwalać’S Target drugi o nazwie ETH0 . Aby to zrobić, powinieneś użyć opcji ON Eth0 w swoim poleceniu UFW:
UFW zezwala na ETH0 z 192.168.100.255
Teraz cały ruch z 192.168.100.255 jest dozwolone tylko do interfejsu sieciowego ETH0:
Teraz, gdy skończyłeś dodawać zasady zapory, dobrym pomysłem jest dwukrotnie sprawdzenie tabeli reguł, aby zobaczyć wyniki. Możesz sprawdzić swoje aktywne reguły UFW za pomocą następującego polecenia:
Status UFW Varebose
A jeśli chcesz po prostu zobaczyć listę reguł w sposób, w jaki najpierw je wpisałeś, użyj następującego polecenia:
W przeciwieństwie do statusu UFW, polecenie UFW show wyświetla reguły zapory, nawet gdy UFW jest wyłączone.
#Delete UFW Firewall Zasady
? W tym celu mamy dostępne dwie metody: możesz albo usunąć regułę według jej liczby lub usunąć ją po nazwie. Pozwalać’.
#Delete według liczby
Możesz usunąć reguły UFW, numerując tabelę reguł, a następnie usuwając określoną regułę, używając jej powiązanego numeru.
Prezentowany status UFW
. Na przykład, niech’S Teraz usuń numer 6 za pomocą następującego polecenia:
Wystarczy nacisnąć Y, aby zaakceptować monit o potwierdzenie, a reguła 3 zostanie usunięta.
#Delete według nazwy reguł
Drugą metodą usuwania reguły UFW jest określenie jej według nazwy. Najpierw wymień zasady w sposób, w jaki je najpierw je wpisałeś:
’..100.20 Adres IP. ..100. .
UFW Delete Daj z 192.168.100.20
#Zarządzanie dziennikami UFW
. Domyślnie dzienniki UFW wszystkie zablokowane pakiety nie pasują do zdefiniowanych zasad, a także pakiety pasujące do określonych zasad. Jest to niski poziom rejestrowania, który można zmodyfikować w razie potrzeby.
Możesz dwukrotnie sprawdzić aktywność rejestrowania za pomocą następującego polecenia:
Druga wiersz wyjścia pokazuje, że rejestrowanie jest włączone z ustawionymi poziomem poziomu rejestrowania na niski.
. Każdy z nich ma inne zasady rejestrowania i zbiera coraz więcej danych. Należy pamiętać, że poziomy dziennika powyżej medium mogą generować dużo wyjścia rejestrowania i mogą szybko wypełnić dysk w ruchliwym systemie, więc używaj ich uważnie.
- .
- Niskie – dzienniki wszystkie zablokowane pakiety nie pasują do zasad domyślnych, a także pakiety pasujące do reguł wstępnych.
- .
- Wysoki – taki sam jak powyżej, tylko bez ograniczeń prędkości, a także wszystkie pakiety z ograniczaniem prędkości.
- Pełne – tak samo jak powyżej, bez ograniczeń prędkości.
Możesz zmienić domyślny niski poziom rejestrowania za pomocą następującego wzorca polecenia:
rejestrowanie UFW [poziom]
Na przykład użyj następującego polecenia, aby zmienić poziom rejestrowania na medium:
Medium rejestrowania UFW
W ten sposób włączyłeś średni poziom rejestrowania ze zwiększonym zakresem rejestrowania.
#Understanding UFW dzienników
Pliki dziennika są przechowywane w katalogu/var/log/. Możesz użyć polecenia LS, aby wymienić wszystkie pliki dziennika utworzone przez UFW:
Możesz teraz sprawdzić swoje pliki dziennika, aby znaleźć odpowiednie informacje o aktywności UFW, na przykład:
Jak widać, dostępna jest wiele informacji, aby zrozumieć aktywność UFW.
2 stycznia 00:00:14 Kernel Ubuntu-Sandbox: [142705.160851] [blok UFW] in = Eth0 Out = Mac = 52: 54: 21: 9a: CA: D7: FE: 54: 21: 9a: CA: D7: 08: 00 SRC = 198.144.159.22 DST = 5.199.162.56 Len = 40 TO = 0x00 Pre = 0x00 TTL = 239 Proto = TCP SPT = 49194 DPT = 10164 Okno = 1024 Res = 0x00 Syn Urgp = 0
Pozwalać’s teraz wysyła ten wiersz dzienników UFW, aby lepiej zrozumieć jego znaczenie. Najbardziej pouczającymi zmiennymi są prawdopodobnie adresy IP SRC i DST z powiązanymi numerami portów SPT i DPT, ale warto je wszystkie zrozumieć:
- [Blok UFW]: wskazał, że pakiet został zablokowany
- In = eth0: przychodzące urządzenie ruchu.
- Out =: Urządzenie ruchu wychodzące jest puste, ponieważ ruch był przychodzący.
- Mac = 52: 54: 21: 9a: CA: D7: FE: 54: 21: 9a: CA: D7: 08: 00: Urządzenie’.
- Src = 198..159.22: źródłowy adres IP nadawcy pakietu.
- DST = 5.199.162.56: Adres IP docelowy, który ma odbierać pakiet. W tym przypadku był to mój adres IP.
- Len = 40: długość pakietu.
- TOS = 0x00 i Pre = 0x00: zmienne przestarzałe, które nie są istotne i ustawione na 0.
- . Każdy pakiet może odbić się tylko przez podaną liczbę routerów przed zakończeniem.
- ID = 61187: Unikalny identyfikator dla danych IP, udostępniony przez fragmenty tego samego pakietu.
- Proto = tcp: zastosowany protokół.
- . Ten port może wskazać, jaka usługa zainicjowała próbę połączenia.
- DPT = 10164: Port docelowy połączenia. Ten port może wskazać, jaka usługa miała otrzymać próbę połączenia.
- Okno = 1024: Rozmiar pakietu, który nadawca jest gotowy odbierać.
- Res = 0x00: Ten bit jest zarezerwowany do użytku w przyszłości. Obecnie jest nieistotny i ustawiony na 0.
- Syn Urgp = 0: Syn wskazał, że to połączenie wymaga trójstronnego uścisku dłoni, URGP oznacza pilne trafność wskaźnika, która jest nieistotna i ustawiona na 0.
Zresetuj konfigurację UFW
Są chwile, kiedy musisz rozpocząć konfigurację od zera. Jeśli chcesz zresetować konfigurację UFW na ustawienia domyślne, istnieje polecenie do tego celu:
. Jak widać, UFW automatycznie tworzy pliki tworzenia kopii zapasowych dla reguł, które właśnie zresetowałeś, na wypadek, gdybyś zmienił zdanie lub chcesz je przejrzeć w przyszłości.
#Wniosek
.04. .Ubuntu.
Mantas Levinas
Pomaganie inżynierom w nauce �� o nowych technologiach i genialnych przypadkach automatyzacji IT w celu budowy lepszych systemów ��
.