Jak nakonfigurovat vestavěný firewall Ubuntu

souhrn

V tomto článku prozkoumáme, jak nakonfigurovat vestavěný firewall Ubuntu pomocí UFW (nekomplikovaný firewall) a GUFW (Graphical Front End pro UFW). Budeme diskutovat o předinstalovaném bráně firewallu v Ubuntu, o tom, jak jej povolit a jak pracovat s pravidly, abychom umožnili nebo popřeli konkrétní provoz. Kromě toho budeme pokrývat profily aplikací a jak mohou zjednodušit proces konfigurace firewall.

Klíčové body

1. Ubuntu přichází s předinstalovaným firewallem známým jako UFW (nekomplikovaný firewall).

2. UFW je frontend pro standardní příkazy Linux Iptables.

3. GUFW je pro UFW grafický přední konec, což běžným uživatelům usnadňuje konfiguraci firewall.

4. Firewall je ve výchozím nastavení zakázán v Ubuntu.

5. Chcete -li povolit bránu firewall, spusťte příkaz “sudo UFW Enable” v terminálu.

6. Pravidla mohou být přidána, aby bylo možné nebo zamítnuto konkrétní typy provozu.

7. Příklady příkazů pro umožnění provozu SSH na přístavu 22:

• „Sudo UFW Povolit 22“ (umožňuje provoz TCP i UDP, není ideální, pokud UDP není nutný)
• „Sudo UFW Povolit 22/TCP“ (umožňuje pouze provoz TCP na portu 22)
• „Sudo UFW Povolit SSH“ (zkontroluje soubor /etc /služby pro port SSH a umožňuje jej)

8. Pravidla lze nastavit pro příchozí a odchozí provoz.

9. Pravidla lze zobrazit pomocí příkazu „SUDO UFW Stav“.

10. Pravidla mohou být odstraněna pomocí příkazu „Sudo UFW Odstranit [pravidlo]“.

11. Firewall lze resetovat do výchozího stavu pomocí příkazu „sudo ufw reset“.

12. UFW podporuje profily aplikací pro snazší konfiguraci.

13. Profily aplikací mohou být uvedeny pomocí příkazu „Seznam aplikací SUDO UFW“.

14. Další informace o konkrétním profilu aplikace lze získat pomocí příkazu „SUDO UFW Info [Name]“.

Otázky a odpovědi

1. Existuje v Ubuntu předinstalovaný nebo automatický firewall? Potřebuji jeden?

Ano, Ubuntu přichází s předinstalovaným firewallem známým jako UFW (nekomplikovaný firewall). Zatímco Linux je obecně považován za bezpečnější než jiné operační systémy, mít firewall je stále důležité pro ochranu vašeho systému před neoprávněným přístupem.

2. Co je UFW a GUFW?

UFW je frontend pro standardní příkazy Linux Iptables a umožňuje snadnější konfiguraci brány firewall. GUFW, na druhé straně, je pro UFW grafickým front-konec, díky čemuž je pro normální uživatele uživatelsky přívětivější.

3. Jak mohu povolit firewall?

Chcete -li povolit firewall v Ubuntu, otevřete terminál a spusťte příkaz „SUDO UFW ENTALE“. Tím se aktivuje firewall a začne používat konfigurovaná pravidla.

4. Jak mohu přidat pravidla, která umožňují konkrétní provoz?

Můžete přidat pravidla, která umožňují konkrétní provoz pomocí příkazu „SUDO UFW povolit [Port/Protocol]“. Například, abyste umožnili provoz SSH na přístavu 22, můžete spustit příkaz „Sudo UFW Povolit 22“ nebo „Sudo UFW Povolit SSH“.

5. Mohu zobrazit pravidla, která jsem vytvořil?

Ano, můžete zobrazit pravidla, která jste vytvořili, spuštěním příkazu „SUDO UFW Stav“ v terminálu. To zobrazí seznam aktivních pravidel.

6. Jak mohu smazat pravidlo?

Chcete -li odstranit pravidlo, použijte příkaz “Sudo UFW Odstranit [pravidlo]”. Například, abyste zastavili odmítnutí odchozího provozu SSH, spustili byste „Sudo UFW odstranit odmítnutí SSH“.

7. Existuje způsob, jak resetovat bránu firewall do výchozího stavu?

Ano, můžete resetovat bránu firewall do výchozího stavu spuštěním příkazu “Sudo UFW Reset”. Tím se odstraní všechna pravidla a nastavení, která jste nakonfigurovali.

8. Jaké jsou profily aplikací?

Profily aplikací jsou předdefinované konfigurace, které umožňují snadnější konfiguraci brány firewall pro konkrétní aplikace. Dostupné profily aplikací můžete uvést pomocí příkazu „Seznam aplikací Sudo UFW“.

9. Jak mohu získat více informací o konkrétním profilu aplikace?

Chcete -li získat více informací o konkrétním profilu aplikace, použijte příkaz “SUDO UFW Info [Name]”. To poskytne podrobnosti o profilu a jeho zahrnutých pravidlech.

10. Jak mohu popřít konkrétní provoz?

Chcete -li popírat konkrétní provoz, můžete použít příkaz „Sudo UFW Deny [Port/Protocol]“. Například, abyste popřeli provoz TCP z konkrétní IP adresy na port 22, spustili byste „Sudo UFW Deny Proto TCP z [IP] na libovolný port 22“.

11. Lze bránu firewall spravovat prostřednictvím grafického rozhraní?

Ano, firewall může být spravován pomocí grafického rozhraní pomocí GUFW, grafického předního konce pro UFW. Poskytuje uživatelsky přívětivý způsob nakonfigurace firewall.

12. Je ve výchozím nastavení firewall, i když se ukazuje jako deaktivovaný v GUFW?

Ano, firewall ve výchozím nastavení běží v Ubuntu. Zpráva Enable/Deaktivate v GUFW se týká stanovených pravidel s UFW, nikoli na skutečný stav firewall.

13. Jak mohu zkontrolovat, zda je firewall běží?

V terminálu můžete zkontrolovat, zda je firewall spuštěn spuštěním příkazu „sudo iptables – -list –rebose“. To ukáže pravidla brány firewall a potvrdí, že firewall je aktivní.

14. Mohu nakonfigurovat pravidla brány firewallu, aniž bych nejprve povolil bránu firewall?

Ano, můžete nakonfigurovat pravidla brány firewall, aniž byste povolili firewall. Během brány firewall můžete přidat pravidla, a poté jej povolit po dokončení konfigurace pravidel.

15. Mohu nakonfigurovat složitá pravidla s UFW?

Ano, UFW podporuje složitá pravidla. Například můžete popřít provoz z konkrétní IP adresy na konkrétní port pomocí příkazu „SUDO UFW Deny proto TCP z [IP] na libovolný port [port]“. To umožňuje jemnozrnnou kontrolu nad provozem povolený nebo zamítnutý firewallem.

Jak nakonfigurovat ubuntu’S vestavěný firewall

Tímto způsobem zablokujete veškerý provoz od roku 192.168.100.20 až port 53 pomocí protokolu UDP, který je obvykle vyhrazen pro službu DNS.

Existuje předinstalovaná nebo automatická brána firewall?

Přichází Ubuntu s předinstalovaným nebo automatickým firewallem? Pokud ne, potřebuji ho? Četl jsem několik článků o výhodách Linuxu oproti jiným operačním systémům o zabezpečení (není třeba mít antivirus, . ) ale chtěl bych si být jistý.

68.8K 55 55 Zlaté odznaky 214 214 Silver odznaky 325 325 Bronzové odznaky

Dotaz 24. října 2010 ve 14:55

Pedroo Pedroo

5 odpovědí 5

Ubuntu má firewall zahrnutý do jádra a ve výchozím nastavení běží. Co potřebujete ke správě tohoto brány firewall, jsou iptables. Ale to je složité, takže můžete použít UFW (nekomplikovaný firewall) Konfigurace. Ale UFW je pro normální uživatele stále něco těžkého, takže to, co můžete udělat, je nainstalovat Gufw to je jen grafický přední konec pro UFW.

Pokud používáte GUFW, poprvé uvidíte ve spodní části okna ‘Postižené brány firewall’. Ale to není pravda, váš brána firewall již běží. Tato zpráva Povolení/deaktivace se vztahuje na stanovená pravidla s UFW, nikoli na bránu firewall.

Pokud mi nevěříte, otevřete mi terminál a napište

sudo iptables - -list --rebose 

Zkuste to s GUFW povoleno a deaktivované. Uvidíte, že jedinými rozdíly budou pravidla, která jste stanovili s GUFW.

Jak nakonfigurovat ubuntu’S vestavěný firewall

Chris Hoffman

Chris Hoffman
Šéfredaktor

Chris Hoffman je šéfredaktorem How-to Geek. O technologii je napsán více než deset let a byl publicistou PCWorld po dobu dvou let. Chris napsal pro The New York Times a Přehled čtenáře, Byl dotazován jako odborník na technologii na televizních stanicích, jako je NBC 6 Miami, a jeho práce pokryla zpravodajskými střediskami jako BBC. Od roku 2011 napsal Chris více než 2 000 článků, které byly přečteny více než miliardukrát — a to je právě tady na How-to Geek. Přečtěte si více.

Aktualizováno 10. července 2017, 16:11 EDT | 2 minuty čtení

Ubuntu zahrnuje vlastní bránu firewall, známý jako UFW – krátký “nekomplikovaný firewall.” UFW je snadnější použití frontend pro standardní příkazy Linux Iptables. UFW můžete dokonce ovládat z grafického rozhraní. Ubuntu’S Firewall je navržen jako snadný způsob provádění základních úkolů brány firewall bez učení iptables. To ne’T nabízí veškerou sílu standardních příkazů iptables, ale to’je méně složité.

Použití terminálu

Firewall je ve výchozím nastavení deaktivován. Chcete -li povolit firewall, spusťte následující příkaz z terminálu:

SUDO UFW Povolit

Ty’t nutně musí nejprve povolit bránu firewall. Můžete přidat pravidla, když je brána firewall offline, a poté ji povolit’znovu hotovo konfigurace.

Práce s pravidly

Nechat’s řekněme, že chcete povolit provoz SSH na přístavu 22. Za tímto účelem můžete spustit jeden z několika příkazů:

Sudo UFW Povolit 22 (umožňuje provoz TCP i UDP – není ideální, pokud je UDP ISN’T nutné.) sudo UFW Povolit 22/TCP (umožňuje pouze provoz TCP na tomto portu.) sudo ufw Povolit SSH (zkontroluje soubor /etc /služby ve vašem systému pro port, který SSH vyžaduje a umožňuje jej. V tomto souboru je uvedeno mnoho běžných služeb.)

UFW předpokládá, že chcete stanovit pravidlo pro příchozí provoz, ale můžete také zadat směr. Například pro blokování odchozího provozu SSH spusťte následující příkaz:

sudo ufw odmítnout ssh

Můžete zobrazit pravidla’Ve vytvořené s následujícím příkazem:

SUDO UFW Stav

Chcete -li odstranit pravidlo, přidejte slovo odstranit před pravidlem. Například pro zastavení odmítnutí odchozího provozu SSH spusťte následující příkaz:

sudo ufw odstranit odmítnutí ssh

Ufw’S syntaxe umožňuje poměrně složitá pravidla. Například toto pravidlo popírá provoz TCP z IP 12.34.56.78 do portu 22 v místním systému:

sudo UFW Deny proto TCP z 12.34.56.78 do jakéhokoli přístavu 22

Chcete -li resetovat firewall do výchozího stavu, spusťte následující příkaz:

sudo ufw reset

Profily aplikací

Některé aplikace vyžadující otevřené porty přicházejí s profily UFW, aby to usnadnily. Chcete -li zobrazit profily aplikací dostupné v místním systému, spusťte následující příkaz:

Seznam aplikací Sudo UFW

Zobrazit informace o profilu a jeho zahrnutých pravidlech s následujícím příkazem:

Sudo UFW Info App Infome Jméno

Povolte profil aplikace s příkazem povolení:

sudo ufw Povolit jméno

Více informací

Protokolování je ve výchozím nastavení deaktivováno, ale můžete také umožnit protokolování tisknout zprávy brány firewall do protokolu systému:

sudo ufw přihlášení

Pro více informací spusťte Muž ufw příkaz ke čtení UFW’S manuální stránka.

Grafické rozhraní GUFW

GUFW je grafické rozhraní pro UFW. Ubuntu nedělá’T přichází s grafickým rozhraním, ale GUFW je zahrnut do Ubuntu’S softwarové repozitáře. Můžete jej nainstalovat pomocí následujícího příkazu:

sudo apt-get instalace gufw

GUFW se objeví na pomlčce jako aplikace s názvem Konfigurace firewall. Stejně jako samotný UFW poskytuje GUFW jednoduché, snadno použitelné rozhraní. Můžete snadno povolit nebo deaktivovat firewall, řídit výchozí zásady pro příchozí nebo odchozí provoz a přidat pravidla.

Editor pravidel lze použít k přidání jednoduchých pravidel nebo složitějších.

Pamatujte, můžete’Dělejte všechno s UFW – pro komplikovanější úkoly brány firewall’Musím si zašpinit ruce iptables.

Příkazy Linux
Soubory	dehet · PV · kočka · tac · Chmod · Grep · diff · sed · AR · muž · Pushd · Popd · FSCK · TestDisk · seq · fd · Pandoc · CD · $ Cesta · Awk · připojit · JQ · složit · Uniq · Journalctl · ocas · STAT · ls · fstab · echo · méně · Chgrp · Chown · Rev · Koukni se · řetězce · typ · přejmenovat · zip · Unzip · Mount · Umount · Nainstalujte · fdisk · MKFS · rm · rmdir · rsync · DF · GPG · vi · Nano · Mkdir · du · ln · náplast · konvertovat · rclone · Shred · SRM · SCP · Gzip · Chattr · střih · nalézt · Umask · toaleta · Tr
Procesy	alias · obrazovka · horní · pěkný · revize · pokrok · šíření · Systemd · Tmux · Chsh · Dějiny · na · dávka · volný, uvolnit · který · DMESG · CHFN · usermod · ps · chroot · Xargs · tty · malíček · LSOF · vmstat · Časový limit · stěna · Ano · zabít · spát · sudo · Su · čas · GroupAdd · usermod · skupiny · LSHW · vypnout · restartovat · Stůj · vypnout · Passwd · LSCPU · Crontab · datum · BG · FG · Pidof · Nohup · PMAP
Sítě	netstat · ping · Traceroute · ip · ss · kdo je · Fail2ban · Bmon · kopat · prst · NMAP · ftp · kučera · Wget · SZO · kdo jsem · w · iptables · ssh-keygen · ufw · Arping · Firewalld

PŘÍBUZNÝ: Nejlepší notebooky Linuxu pro vývojáře a nadšence

• › Jak začít s Firewalld na Linuxu
• › Jak si vytvořit synchronizaci vlastního cloudového souboru s NextCloud
• › Váš Mac’S Firewall je ve výchozím nastavení: musíte jej povolit?
• › Samsung Galaxy Z Fold 4 Hits Nová historická nízká cena plus další nabídky
• › Profil Sennheiser Profil USB Review: Solid streamování mikrofonu s praktickými ovládacími prvky
• › Nyní můžete zavolat na číslo, abyste se dostali do jízdy uber
• › Amazon odhaluje nové “Echo pop” a aktualizované inteligentní displeje
• › Jak opravit “Něco neudělalo’je to podle plánu” Chyba v systému Windows 11

Chris Hoffman
Chris Hoffman je šéfredaktorem How-to Geek. O technologii je napsán více než deset let a byl publicistou PCWorld po dobu dvou let. Chris napsal pro The New York Times a Přehled čtenáře, Byl dotazován jako odborník na technologii na televizních stanicích, jako je NBC 6 Miami, a jeho práce pokryla zpravodajskými střediskami jako BBC. Od roku 2011 napsal Chris více než 2 000 článků, které byly přečteny více než miliardukrát — a to je právě tady na How-to Geek.
Přečtěte si plné bio »

Jak nastavit firewall s UFW na Ubuntu 22.04

UFW, nebo nekomplikovaný firewall, je zjednodušené rozhraní pro správu firewall, které skrývá složitost technologií filtrování paketů na nižší úrovni, jako jsou iptables a nfTables . jestli ty’se snaží začít zajistit vaši síť a vy’Nejste si jisti, jaký nástroj použít, UFW může být pro vás tou správnou volbou.

Tento tutoriál vám ukáže, jak nastavit firewall s UFW na Ubuntu 22.04.

Předpoklady

Chcete -li postupovat podle tohoto tutoriálu, budete potřebovat:

• Jeden Ubuntu 22.04 Server s uživatelem Non-Root SUDO, který můžete nastavit podle našeho počátečního nastavení serveru s Ubuntu 22.04 Výukový program.

UFW je nainstalován ve výchozím nastavení na Ubuntu. Pokud byl z nějakého důvodu odinstalován, můžete jej nainstalovat pomocí sudo apt instalace UFW .

Krok 1 – Používání IPv6 s UFW (volitelné)

Tento tutoriál je napsán s ohledem na IPv4, ale bude fungovat pro IPv6 a tak dlouho, jak jej povolíte. Pokud má váš server Ubuntu povoleno IPv6, ujistěte se, že UFW je nakonfigurován tak, aby podporoval IPv6, takže bude kromě IPv4 spravovat pravidla brány firewall pro IPv6. Chcete -li to provést, otevřete konfiguraci UFW pomocí Nano nebo vašeho oblíbeného editoru.

Pak se ujistěte, že hodnota IPv6 je ano . Mělo by to vypadat takto:

/etc/default/ufw výňatek

IPv6 =Ano 

Uložit a zavřít soubor. Nyní, když je UFW povoleno, bude nakonfigurován tak, aby psal pravidla brány firewall IPv4 i IPv6. Před povolením UFW však budeme chtít zajistit, aby byl váš firewall nakonfigurován tak, aby vám umožnil připojení přes SSH. Nechat’s Začněte nastavením výchozích zásad.

Krok 2 – Nastavení výchozích zásad

jestli ty’Začínáme s vaším firewallem, prvními pravidly, které je třeba definovat, jsou vaše výchozí zásady. Tato pravidla řídí, jak zvládnout provoz, který se výslovně neodpovídá žádným jiným pravidlům. Ve výchozím nastavení je UFW nastavena tak, aby popřela všechna příchozí připojení a umožnila všechna odchozí připojení. To znamená, že kdokoli, kdo se snaží dosáhnout vašeho serveru, by se nemohl připojit, zatímco jakákoli aplikace v rámci serveru by byla schopna dosáhnout vnějšího světa.

Nechat’s Nastavte svá pravidla UFW zpět na výchozí hodnota, abychom si mohli být jisti, že jste’S tímto tutoriálem budu moci následovat. Chcete -li nastavit výchozí hodnoty používané UFW, použijte tyto příkazy:

Obdržíte výstup jako následující:

Výstup
Výchozí příchozí zásady se změnily na „Deny“ (ujistěte se, že vaše pravidla podle toho aktualizujte) výchozí odchozí zásady změněné na „Povolit“ (ujistěte se, že vaše pravidla odpovídajícím způsobem aktualizují) 

Tyto příkazy nastavují výchozí hodnoty, aby popíraly příchozí a umožňovaly odchozí připojení. Tyto výchozí hodnoty firewall mohou stačit pro osobní počítač, ale servery obvykle musí reagovat na příchozí požadavky od vnějších uživatelů. My’Podívejte se na to další.

Krok 3 – Povolení připojení SSH

Pokud bychom nyní povolili náš firewall UFW, popřel by to všechna příchozí spojení. To znamená, že budeme muset vytvořit pravidla, která výslovně umožňují legitimní příchozí spojení – například SSH nebo HTTP připojení – pokud chceme, aby náš server reagoval na tyto typy požadavků. jestli ty’znovu pomocí cloudového serveru budete pravděpodobně chtít povolit příchozí připojení SSH, abyste se mohli připojit a spravovat svůj server.

Chcete -li nakonfigurovat server tak, aby umožňoval příchozí připojení SSH, můžete tento příkaz použít:

Tím se vytvoří pravidla brány firewall, která umožní všechna spojení na portu 22, což je port, který ve výchozím nastavení poslouchá démon SSH. UFW ví, co port umožňuje SSH, protože to’S je uvedeno jako služba v souboru /etc /služby.

Ekvivalentní pravidlo však můžeme skutečně napsat zadáním portu místo názvu služby. Například tento příkaz funguje stejně jako výše uvedený:

Pokud jste nakonfigurovali démon SSH tak, aby používal jiný port, budete muset zadat příslušný port. Pokud například váš server SSH poslouchá na portu 2222, můžete tento příkaz použít k povolení připojení na tomto portu:

Nyní, když je vaše brána firewall nakonfigurována tak, aby umožňovala příchozí připojení SSH, můžeme to povolit.

Krok 4 – Povolení UFW

Chcete -li povolit UFW, použijte tento příkaz:

Obdržíte varování, které říká, že příkaz může narušit stávající spojení SSH. Už jste stanovili pravidlo brány firewall, které umožňuje spojení SSH, takže by mělo být v pořádku pokračovat. Odpovězte na výzvu s y a stiskněte Enter .

Firewall je nyní aktivní. Spusťte sudo UFW status verbose příkaz a podívejte se na stanovená pravidla. Zbytek tohoto tutoriálu zahrnuje, jak používat UFW podrobněji, jako je povolení nebo popření různých druhů spojení.

Krok 5 – Povolení dalších spojení

V tomto okamžiku byste měli povolit všechna ostatní spojení, na která musí váš server reagovat. Spojení, která byste měli povolit, závisí na vašich konkrétních potřebách. Naštěstí již víte, jak psát pravidla, která umožňují připojení na základě názvu nebo portu; Už jsme to udělali pro SSH na přístavu 22 . Můžete to také udělat pro:

• Http na portu 80, což je to, co používají nešifrované webové servery, pomocí sudo UFW umožňuje http nebo sudo ufw povolit 80
• Https na portu 443, což je to, co používají šifrované webové servery, pomocí sudo UFW umožňuje https nebo sudo ufw povolit 443

Existuje několik dalších způsobů, jak povolit další spojení, kromě specifikace port nebo známé služby.

Konkrétní rozsahy portů

Můžete zadat rozsahy portů s UFW. Některé aplikace používají více portů, namísto jednoho portů.

Například umožnění připojení X11, která používají porty 6000 – 6007, použijte tyto příkazy:

Při určování rozsahů portů s UFW musíte určit protokol (TCP nebo UDP), na které by se měla pravidla vztahovat. My jsme nebyli’T to zmínil dříve, protože nezadávání protokolu automaticky umožňuje obě protokoly, což je ve většině případů v pořádku.

Konkrétní IP adresy

Při práci s UFW můžete také zadat adresy IP. Pokud například chcete povolit připojení z konkrétní IP adresy, jako je práce nebo domácí IP adresa z roku 203.0.113.4, musíte zadat, poté IP adresu:

Můžete také určit konkrétní port, ke kterému se IP adresa může připojit přidáním do jakéhokoli portu následovaného číslem portu. Například, pokud chcete povolit 203.0.113.4 Chcete -li se připojit k portu 22 (SSH), použijte tento příkaz:

Podsítě

Pokud chcete povolit podsíť IP adres, můžete tak učinit pomocí zápisu CIDR k zadání netmask. Například, pokud chcete povolit všechny adresy IP v rozmezí od roku 203.0.113.1 až 203.0.113.254 Tento příkaz byste mohli použít:

Stejně tak můžete také určit cílový port, že podsíť 203.0.113.0/24 se může připojit. Opět my’LL Použijte jako příklad port 22 (SSH):

Připojení ke konkrétnímu síťovému rozhraní

Pokud chcete vytvořit pravidlo brány firewall, které se vztahuje pouze na konkrétní síťové rozhraní, můžete tak učinit zadáním “Povolit” následuje název síťového rozhraní.

Možná budete chtít vyhledat své síťové rozhraní před pokračováním. Chcete -li tak učinit, použijte tento příkaz:

Výňatek
2: enp0s3: MTU 1500 QDISC PFIFO_FAST Stav . . . 3: enp0s4: MTU 1500 QDISC NOOP State Down Group Default . . . 

Zvýrazněný výstup označuje názvy síťového rozhraní. Obvykle se jmenují něco jako eth0, ens1 nebo enp3s2 .

Pokud tedy váš server má rozhraní veřejné sítě s názvem ENS3, můžete s tímto příkazem povolit provoz HTTP (port 80):

Pokud tak učiníte, umožnilo by vašemu serveru přijímat požadavky HTTP z veřejného internetu.

Nebo, pokud chcete, aby váš databázový server MySQL (port 3306) poslouchal připojení na rozhraní soukromé sítě ETH1, můžete použít tento příkaz:

To by umožnilo dalším serverům ve vaší soukromé síti připojit se k vaší databázi MySQL.

Krok 6 – Popírání spojení

Pokud jste ne’t změnil výchozí zásady pro příchozí připojení, UFW je nakonfigurován tak, aby zamítl všechna příchozí připojení. Obecně to zjednodušuje proces vytváření zabezpečené politiky brány firewall tím, že požaduje, abyste vytvořili pravidla, která výslovně umožňují konkrétní porty a IP adresy prostřednictvím prostřednictvím.

Někdy však budete chtít popřít konkrétní připojení na základě zdrojové IP adresy nebo podsítě, snad proto, že víte, že váš server je odtud napaden. Také, pokud chcete změnit výchozí příchozí politiku na dovolit (což se nedoporučuje), musíte vytvořit odmítnout Pravidla pro jakékoli služby nebo IP adresy, které donesete’T chce povolit spojení pro.

Psát odmítnout pravidla, můžete použít výše popsané příkazy a nahradit dovolit s odmítnout.

Například, abyste popřeli připojení HTTP, můžete tento příkaz použít:

Nebo pokud chcete popřít všechna spojení z 203.0.113.4 Tento příkaz byste mohli použít:

Teď ať’s Podívejte se, jak smazat pravidla.

Krok 7 – Pravidla mazání

Vědět, jak smazat pravidla brány firewall, je stejně důležité jako vědět, jak je vytvořit. Existují dva různé způsoby, jak určit, která pravidla je odstranit: podle čísla pravidla nebo podle skutečného pravidla (podobné tomu, jak byla pravidla stanovena, když byla vytvořena). My’Začněte s Smazat podle čísla pravidla metoda, protože je to snazší.

Podle čísla pravidla

jestli ty’znovu používat číslo pravidla k odstranění pravidel brány firewall, první věc, kterou jste’Chci to udělat, je získat seznam vašich pravidel brány firewall. Příkaz UFW Status má možnost zobrazit čísla vedle každého pravidla, jak bylo prokázáno zde:

Očíslovaný výstup:
Stav: Aktivní k akci od ------ ---- [1] 22 Povolit v 15.15.15.0/24 [2] 80 povolit kdekoli 

Pokud se rozhodnete, že chcete smazat pravidlo 2, ten, který umožňuje připojení Port 80 (HTTP), můžete jej zadat v příkazu UFW Delete, jako je tento:

To by ukázalo výzvu k potvrzení a poté smazat pravidlo 2, které umožňuje připojení HTTP. Všimněte si, že pokud máte povoleno IPv6, chtěli byste také odstranit odpovídající pravidlo IPv6.

Skutečným pravidlem

Alternativou k číslem pravidel je stanovení skutečného pravidla, které má být odstraněno. Pokud například chcete odstranit pravidlo povoleného HTTP, můžete jej napsat takto:

Pravidlo můžete také určit povolením 80, místo názvu služby:

Tato metoda odstraní pravidla IPv4 i IPv6, pokud existují.

Krok 8 – Kontrola stavu a pravidel UFW

Kdykoli můžete zkontrolovat stav UFW s tímto příkazem:

Pokud je UFW deaktivován, což je ve výchozím nastavení, vy’Viz něco takového:

Výstup
Stav: Neaktivní 

Pokud je UFW aktivní, což by mělo být, pokud byste dodržovali krok 3, výstup řekne, že to’je aktivní a bude uvedena na uvedení všech stanovených pravidel. Například, pokud je firewall nastaven tak, aby umožňoval připojení SSH (port 22) odkudkoli, může výstup vypadat něco takového:

Výstup
Stav: Aktivní protokolování: ON (Low) Výchozí: Deny (příchozí), povolit (odchozí), Deny (směrované) Nové profily: Přeskočte do akce z ------ ---- 22/TCP Povolit v kdekoli 22 (v6) Povolit kdekoli (V6) 

Pokud chcete zkontrolovat, jak UFW nakonfiguroval firewall, použijte příkaz status.

Krok 9 – Deaktivace nebo resetování UFW (volitelné)

Pokud se rozhodnete, že’T chtít použít UFW, můžete jej s tímto příkazem deaktivovat:

Jakákoli pravidla, která jste vytvořili s UFW, již nebudou aktivní. Povolení sudo UFW můžete vždy spustit, pokud jej potřebujete později aktivovat.

Pokud již máte nakonfigurovaná pravidla UFW, ale rozhodnete se, že chcete začít znovu, můžete použít příkaz Reset:

Tím se deaktivuje UFW a odstraní všechna dříve definovaná pravidla. Mějte na paměti, že výchozí zásady vyhrály’Pokud jste je kdykoli změnili na jejich původní nastavení. To by vám mělo poskytnout nový začátek s UFW.

Závěr

Vaše brána firewall je nyní nakonfigurována tak, aby umožňovala (alespoň) připojení SSH. Nezapomeňte povolit jakákoli další příchozí připojení, která váš server potřebuje, a zároveň omezit jakékoli zbytečné připojení, takže váš server bude funkční a bezpečný.

Chcete -li se dozvědět o běžnějších konfiguracích UFW, podívejte se na UFW Essentials: Společné pravidla a příkazy firewall Tutorial.

Děkujeme, že jste se dozvěděli s komunitou DigitalOcean. Podívejte se na naše nabídky pro výpočet, úložiště, síť a spravované databáze.

Série tutoriálu: Začínáme s cloud computingem

Tento kurikulum zavádí open-source cloud computingové skupiny obecným publika spolu s dovednostmi nezbytnými k bezpečnému nasazení aplikací a webových stránek do cloudu.

Procházet série: 39 článků

• 1/39 cloudové servery: Úvod
• 2/39 Obecný úvod do cloud computingu
• 3/39 Počáteční nastavení serveru s Ubuntu 22.04

Jak nakonfigurovat firewall ubuntu s UFW

Firewall je bezpečnostní systém pro sítě, který monitoruje veškerý příchozí a odchozí provoz. Povoluje nebo blokuje datové pakety na základě předdefinovaných bezpečnostních pravidel.

Pokud provozujete výrobní systém, je pro vás důležité pochopit, jak nakonfigurovat firewall. Systémy chráněné firewallem jsou méně pravděpodobné, že se nakazí škodlivými informacemi, protože jsou méně vystaveny internetu, protože příchozí a odchozí provoz je přísně filtrován podle bezpečnostních pravidel.

#Co je ufw?

UFW, také nazývaný nekomplikovaný firewall, je front -end framework, který poskytuje jednoduché rozhraní pro použití nástroje Iptables pro správu NetFilter – výchozí systém filtrování paketů linuxového jádra. Je to vestavěný systém brány firewall pro Ubuntu 20.04 To zjednodušuje komplikované příkazy iptables a umožňuje vám snadněji vytvářet základní konfigurace firewall.

UFW používá rozhraní příkazového řádku s malým počtem jednoduchých příkazů. Podporuje všechna základní pravidla brány firewall, různé síťové protokoly, protokolování a mnoho dalších funkcí. V oficiální dokumentaci UFW můžete zkontrolovat rozsáhlý seznam funkcí.

#Prerequisites

Chcete -li nakonfigurovat UFW, musíte mít předem následující věci:

• Ubuntu 20.04 Systém s kořenovými oprávněními
• Základní znalost rozhraní příkazové linie (CLI)

POZNÁMKA: Tento tutoriál se nejenže vztahuje pouze na Ubuntu 20.04, ale i jiné verze LTS. Rané verze UFW byly k dispozici od Ubuntu 12.04.

#Instalujte firewall UFW

UFW je předinstalován s operačním systémem Ubuntu. Můžete se však ujistit, že máte nejnovější verzi UFW tím, že se pokusíte nainstalovat pomocí následujícího příkazu:

APT nainstalovat UFW

Nyní, když máte nainstalovanou nejnovější verzi UFW, nechte’s Zkontrolujte jeho stav pomocí následujícího příkazu:

Jak vidíte, UFW je ve výchozím nastavení neaktivní. Nejprve to uděláme po provedení několika důležitých změn.

#Ufw výchozí zásady brány firewall

Pokud začnete s UFW poprvé, je dobré dvakrát zkontrolovat výchozí zásady brány firewall. Chcete -li to provést, zkontrolujte výchozí konfigurační soubor UFW:

Ve výchozím nastavení je UFW nakonfigurován tak, aby zamítl veškerý příchozí provoz a umožnil veškerý odchozí provoz. To znamená, že nikdo není schopen dosáhnout vašeho systému, zatímco vy můžete podávat odchozí požadavky z jakékoli aplikace nebo služby.

Výchozí zásady UFW lze změnit pomocí následujícího vzoru příkazu:

Například, pokud chcete povolit veškerý příchozí provoz Použijte následující příkaz:

výchozí UFW Povolit příchozí

Zatímco následující příkaz popírá veškerý odchozí provoz:

UFW výchozí zamítnutí odchozí

Potvrzovací zpráva bude zobrazena například po každé změně politiky:

#Allow SSH připojení

Ve výchozím nastavení bude UFW blokovat veškerý příchozí provoz včetně SSH a HTTP. Pokud povolíte bránu firewall před nastavením výjimky, vaše aktuální vzdálená relace bude ukončena a vyhráli jste’už se můžete připojit k vašemu serveru.

Abyste tomu zabránili, musíte povolit příchozí připojení SSH pomocí následujícího příkazu:

Otevře port 22, což je výchozí port. Jak vidíte, pro protokoly IPv4 a IPv6 byla přidána dvě nová pravidla brány firewall:

Pokud jste nakonfigurovali SSH pro používání jiného portu, použijte prosím konkrétnější příkaz k vytvoření pravidla pro připojení SSH. Například, pokud máte službu SSH poslouchání Port 4422, použijte následující příkaz:

UFW Povolit 4422/TCP

Toto pravidlo brány firewall umožňuje připojení TCP k portu 4422.

#ENABLE UFW Firewall

Nyní, když byl váš UFW nakonfigurován, musíte jej povolit pomocí následujícího příkazu:

Toto okamžitě spustí démona UFW a povolí jej při spuštění systému. Přijměte danou výzvu zadáním Y a stisknutím klávesy Enter pokračujte.

Můžete zkontrolovat, zda je spuštěn pomocí SystemCtl Service Manager:

Stav SystemCtl UFW

#Add pravidla firewall ufw

Existují různá pravidla brány firewall, která se můžete na svůj systém použít prostřednictvím UFW:

• Povolit – Povolit provoz
• popírat – tiše zahodit provoz
• Odmítnout – odmítnout provoz a poslat zpět chybový paket odesílateli
• Limit – Omezení připojení z konkrétní IP adresy, která se pokusila zahájit 6 nebo více připojení za posledních 30 sekund

Tato pravidla brány firewall můžete použít v obecném nebo konkrétnějším rozsahu. Obecný rozsah uplatňuje pravidlo UFW jak na příchozí i odchozí provoz. Můžete jej použít s následujícím vzorem příkazu:

ufw [pravidlo] [cíl]

Na druhou stranu možná budete chtít použít pravidlo buď na příchozí, nebo konkrétně odchozí provoz. V takovém případě byste měli odpovídajícím způsobem použít následující vzorce příkazů:

ufw [pravidlo] v [cíli]

ufw [pravidlo] out [cíl]

Později projdeme několik praktických příkladů, takže jste mohli vidět několik aplikací skutečného života.

Pravidla firewall UFW mohou fungovat na mnoha různých cílech. Můžete se zaměřit na jména služeb, IP adresy, porty a dokonce i síťové rozhraní. Nechat’Nyní projděte každý z těchto vzorců cílení, abyste viděli, co je možné.

#Target Application Profiles

Když je nainstalován UFW, většina aplikací, které se spoléhají na síť pro komunikaci registrujte svůj profil s UFW, což uživatelům umožňuje rychle umožnit nebo zamítnout externí přístup k této aplikaci.

Můžete zkontrolovat, které aplikace jsou registrovány na UFW s následujícím příkazem:

Zde je, jak může vypadat váš výstup:

Chcete -li umožnit příchozí a odchozí přístup k kterékoli z těchto aplikací, použijte následující příkazový vzorec:

UFW Povolit [název aplikace]

Například můžete povolit připojení OpenSSH s následujícím příkazem:

UFW Povolit OpenSSH

Toto pravidlo brány firewall umožňuje veškerý příchozí a odchozí provoz pro aplikaci OpenSSH. Můžete být konkrétnější a umožnit pouze příchozí provoz SSH s následujícím příkazem:

UFW Povolit v Openssh

Nejlepší praxí pro povolení přístupu SSH na vzdáleném serveru je však použití limitního pravidla. Umožňuje pouze 6 připojení ze stejné IP adresy do 30 sekund okna, což vám ušetří potenciální útok brutální síly. Použijte limit spíše než povolit pravidla pro aplikaci OpenSSH ve výrobním prostředí:

limit UFW OpenSSH

#Target IP adresy

V UFW můžete povolit nebo zamítnout konkrétní IP adresu s následujícím vzorem příkazu:

ufw [pravidlo] z [ip_address]

Například, pokud jste viděli nějakou škodlivou činnost z IP adresy 192.168.100.20, můžete z něj blokovat veškerý provoz pomocí následujícího příkazu:

UFW Deny od roku 192.168.100.20

Přestože jste z této škodlivé IP adresy zablokovali veškerý příchozí provoz, v některých případech může stále dosáhnout vašeho serveru. K tomu může dojít, protože UFW aplikuje svá pravidla shora po Buttom. Například vaše první pravidlo může umožnit veškerý příchozí provoz do přístavu 22 a vaše popírání od roku 192.168.100.20 Pravidlo může být jeden krok rána.

Abyste se zabránili těmto situacím, použijte možnost PŘIPOJENÍ PŘIPOJENÍ A přidat nejvlivnější pravidla brány firewall do samého seznamu pravidel. Poslední příkaz by vypadal takto:

UFW PŘIPOJENÍ ZÍSKÁNÍ Z 192.168.100.20

#Target Ports

Můžete také zacílit na konkrétní porty nebo rozsahy portů s UFW. Například můžete povolit připojení k portu 8080 pomocí jakéhokoli protokolu:

Obvykle možná budete chtít být konkrétnější a povolit pouze připojení k konkrétnímu portu pomocí konkrétního síťového protokolu. Forn například můžete povolit připojení TCP k portu 8080 pouze s následujícím příkazem:

UFW Povolit 8080/TCP

Někdy však vaše aplikace může použít řadu portů pro různé činnosti. V takovém případě můžete použít následující příkaz k whitelisty rozsahu portů:

UFW Povolit 8080: 9090/TCP

Pamatujte na možnost zacílit na adresy IP? Pokud nechcete zablokovat veškerý provoz z IP adresy, můžete být o něco konkrétnější a pouze blokovat provoz na konkrétní port:

UFW Deny od roku 192.168.100.20 na jakýkoli port 53 Proto UDP

Tímto způsobem zablokujete veškerý provoz od roku 192.168.100.20 až port 53 pomocí protokolu UDP, který je obvykle vyhrazen pro službu DNS.

Zde je, jak by váš výstup vypadal:

#Target Network Interfaces

Některé systémy mají nakonfigurované více síťových rozhraní, která mohou vyžadovat odlišná pravidla brány firewall. Forutnatelly, UFW vám umožňuje zacílit na konkrétní síťové rozhraní a použít na něj pouze pravidlo brány firewall. Nechat’S vyzkoušejte to.

Nejprve uveďte svůj systém’síťová rozhraní S s následujícím příkazem:

Jak vidíte, v současné době existují tři síťová rozhraní na konfiguraci na Ubuntu 20.04 Systém. Nechat’cíl druhý druhý s názvem Eth0 . Chcete -li tak učinit, měli byste použít možnost ON ETH0 ve svém příkazu UFW:

UFW Povolte na eth0 od roku 192.168.100.255

Nyní veškerý provoz z roku 192.168.100.255 je povoleno pouze pro síťové rozhraní Eth0:

#Zkontrolujte pravidla brány firewallu UFW

Nyní, když jste dokončili přidávání pravidel brány firewall, je dobré zkontrolovat tabulku pravidel a vidět výsledky. Aktivní pravidla UFW můžete zkontrolovat pomocí následujícího příkazu:

Chcete -li zobrazit podrobnější verzi pravidel brány firewall UFW, použijte verbose možnost:

UFW Status Verbose

A pokud chcete jednoduše vidět seznam pravidel způsobem, který jste je poprvé zadali, použijte následující příkaz:

Na rozdíl od stavu UFW, UFW Show Command Zobrazuje pravidla firewall, i když je UFW deaktivován.

#Delete pravidla firewall ufw

Nyní, když jste dokončili přidávání pravidel brány firewall, co kdybyste některé z nich chtěli odstranit? Za tímto účelem máme k dispozici dvě metody: můžete podle jeho čísla buď smazat pravidlo, nebo jej smazat podle jeho názvu. Nechat’s projděte každý z nich.

#Delete podle čísla

Pravidla UFW můžete smazat číslováním tabulky pravidel a poté smazat konkrétní pravidlo pomocí přidruženého čísla.

Nejprve zkontrolujte číslovaný seznam pravidel UFW pomocí následujícího příkazu:

Stav UFW číslován

Jak vidíte, vaše pravidla brány firewall nyní mají s nimi čísla, která můžete použít k cílení. Například nechte’s nyní odstraňte pravidlo číslo 6 pomocí následujícího příkazu:

Stačí stisknout Y a přijmete potvrzovací výzvu a pravidlo 3 bude smazáno.

#Delete podle názvu pravidla

Druhou metodou pro odstranění pravidla UFW je jeho názvu jeho názvem. Nejprve uveďte pravidla tak, jak jste je nejprve zadali:

Nechat’s říkáte, že chcete odstranit pravidlo, které popírá veškerý provoz z roku 192.168.100.20 IP adresa. Chcete -li tak učinit, musíte použít příkaz smazání s názvem pravidla od roku 192.168.100.20 . Poslední příkaz by vypadal takto:

UFW Odstranit Deny od roku 192.168.100.20

#Manage ufw protokoly

UFW podporuje více úrovní protokolování, takže byste se mohli podrobně podívat na svou síťovou aktivitu. Ve výchozím nastavení protokoly UFW všechny blokované pakety neodpovídají definovaným zásadám a také pakety odpovídajícím vašim definovaným pravidlům. Toto je nízká úroveň protokolování, kterou můžete v případě potřeby upravit.

Svou protokolovací činnost můžete zkontrolovat pomocí následujícího příkazu:

UFW Status Verbose

Druhý řádek výstupu ukazuje, že protokolování je zapnutá s úrovní protokolování nastavenou na nízkou.

#Set Úroveň protokolování ufw

Existuje pět úrovní protokolování UFW. Každá z nich má jinou politiku protokolování a shromažďuje stále více dat. Vezměte prosím na vědomí, že úrovně protokolu nad médiem mohou generovat hodně výstupu protokolování a mohou rychle vyplnit disk na rušném systému, takže je pečlivě použijte.

• OFF – Zakáže protokolování spravovaného UFW.
• Nízká – protokolí všechny blokované pakety, které neodpovídají výchozí zásady.
• Střední – stejné jako výše, plus všechny povolené pakety neodpovídající definované politice, všechny neplatné pakety a všechna nová spojení.
• Vysoké – stejné jako výše, jen bez omezení rychlosti, plus všechny pakety s omezením sazeb.
• plné – stejně jako výše, jen bez rychlosti.

Můžete změnit výchozí úroveň nízké protokolování pomocí následujícího vzoru příkazu:

Protokolování UFW [úroveň]

Například použijte následující příkaz ke změně úrovně protokolování na médium:

UFW protokolování médium

Tímto způsobem jste povolili úroveň střední protokolování se zvýšeným rozsahem protokolování.

#Understand Ufw protokoly

Soubory protokolu jsou uloženy v/var/log/adresář. Příkaz LS můžete použít k seznamu všech souborů protokolu vytvořené UFW:

Nyní můžete zkontrolovat své soubory protokolu a najít relevantní informace o aktivitě UFW, například:

Jak vidíte, je pro vás k dispozici rozsáhlé množství informací, abyste pochopili aktivitu UFW. Jediný řádek může vypadat takto:

2. ledna 00:00:14 Kernel Ubuntu-sandbox: [142705.160851] [ufw blok] in = eth0 out = mac = 52: 54: 21: 9a: ca: d7: fe: 54: 21: 9a: ca: d7: 08: 00 src = 198.144.159.22 DST = 5.199.162.56 len = 40 tos = 0x00 prec = 0x00 ttl = 239 Proto = TCP SPT = 49194 DPT = 10164 okno = 1024 res = 0x00 syn urgp = 0

Nechat’s nyní vydává tuto linii protokolů UFW, aby lépe porozuměl jeho významu. Nejvýznamnějšími proměnnými jsou pravděpodobně IP adresy SRC a DST s jejich přidruženými čísly portů SPT a DPT, ale je užitečné jim všechny porozumět:

• [Blok UFW]: Uvedl, že paket byl blokován
• In = eth0: příchozí dopravní zařízení.
• Out =: Odchozí dopravní zařízení je prázdné, protože provoz přicházel.
• MAC = 52: 54: 21: 9a: CA: D7: Fe: 54: 21: 9a: CA: D7: 08: 00: zařízení’S MAC adresa.
• SRC = 198.144.159.22: Zdroj IP adresa odesílatele paketů.
• DST = 5.199.162.56: Cílová IP adresa, která má obdržet paket. V tomto případě to byla moje IP adresa.
• Len = 40: délka paketu.
• TOS = 0x00 a Prec = 0x00: Odstraněné proměnné, které nejsou relevantní a nastaveny na 0.
• TTL = 239: Čas žít pro paket. Každý paket se může odrazit pouze přes daný počet směrovačů, než bude ukončen.
• ID = 61187: Unikátní ID pro IP Datagram, sdílené fragmenty stejného paketu.
• Proto = TCP: Použitý protokol.
• SPT = 49194: Zdrojový port připojení. Tento port může naznačit, jakou službu zahájila pokus o připojení.
• DPT = 10164: Cílový port připojení. Tento port může naznačit, jakou službu má přijmout pokus o připojení.
• Okno = 1024: Velikost paketu, který je odesílatel ochoten přijmout.
• Res = 0x00: Tento bit je vyhrazen pro budoucí použití. V současné době je irelevantní a nastaven na 0.
• Syn Urgp = 0: Syn naznačil, že toto spojení vyžaduje třícestný handshake, Urgp znamená urgentní relevanci ukazatele, který je irelevantní a nastaven na 0.

Resetujte konfiguraci UFW

Jsou chvíle, kdy musíte svou konfiguraci zahájit od nuly. V případě, že chcete resetovat konfiguraci UFW do výchozího nastavení, existuje příkaz za tímto účelem:

Zadejte Y, když je vyzván, a stisknutím klávesy Enter resetujte všechna aktivní pravidla brány firewall a vypněte démona UFW. Jak vidíte, UFW automaticky vytváří záložní soubory pro pravidla, která jste právě resetovali, pro případ, že si myslíte názor nebo chcete je v budoucnu zkontrolovat.

#Závěr

Nyní víte, jak nastavit a spravovat systém firewall UFW na Ubuntu 20.04. Pro budoucí reference Neváhejte použít oficiální dokumentaci Ubuntu k obnovení vaší paměti na základních funkcích a dozvědět se o pokročilé funkčnosti UFW: https: // wiki.Ubuntu.com/nekomplikovaná firewall

Mantas Levinas

Pomáháme inženýrům se dozvědět �� o nových technologiích a důmyslných případech automatizace IT pro vytváření lepších systémů ��

Připojte se ke komunitě Cherry Servers Community

Získejte měsíční praktické průvodce o budování bezpečnějších, efektivnějších a snáze škálovatelných systémů na ekosystému otevřeného cloudu.