Kako postaviti UFW Firewall na Ubuntu i Debian
Ispravno funkcionirajući firewall je najvažniji dio kompletne sigurnosti Linux sistema. Po zadanim postavkama, Debian i Ubuntu distribucija dolazi s alatom za konfiguraciju vatrozida pod nazivom UFW (Nekomplicirani vatrozid), najpopularniji je i jednostavan za korištenje alat naredbenog retka za konfiguriranje i upravljanje vatrozidom na Ubuntu i Debian distribucijama.
U ovom članku ćemo objasniti kako instalirati i postaviti UFW firewall na Ubuntu i Debian distribucijama.
Preduvjeti
Prije nego što počnete s ovim člankom, provjerite jeste li prijavljeni na svoj Ubuntu ili Debian poslužitelj sa sudo korisnikom ili s root računom. Ako nemate sudo korisnika, možete ga kreirati koristeći sljedeće upute kao root korisnik.
adduser username
usermod -aG sudo username
su - username
sudo whoami
Instalirajte UFW Firewall na Ubuntu i Debian
UFW (Nekomplicirani vatrozid) bi trebao biti instaliran prema zadanim postavkama u Ubuntu i Debianu, ako nije, instalirajte ga pomoću APT upravitelja paketa koristeći sljedeću naredbu.
sudo apt install ufw
Provjerite UFW Firewall
Kada je instalacija završena, možete provjeriti status UFW-a upisivanjem.
sudo ufw status verbose
Prilikom prve instalacije, UFW firewall je po defaultu onemogućen, izlaz će biti sličan onome ispod.
Status: inactive
Omogućite UFW zaštitni zid
Možete aktivirati ili omogućiti UFW zaštitni zid pomoću sljedeće naredbe, koja bi trebala učitati zaštitni zid i omogućiti mu da se pokrene pri pokretanju.
sudo ufw enable
Da biste onemogućili UFW firewall, koristite sljedeću naredbu koja oslobađa zaštitni zid i onemogućuje njegovo pokretanje pri pokretanju.
sudo ufw disable
UFW zadane politike
Podrazumevano, UFW firewall odbija sve dolazne veze i dozvoljava samo sve odlazne veze sa serverom. To znači da niko ne može pristupiti vašem serveru, osim ako posebno ne otvorite port, dok svi pokrenuti servisi ili aplikacije na vašem serveru mogu pristupiti vanjskoj mreži.
Podrazumevane UFW politike zaštitnog zida smeštene su u datoteku /etc/default/ufw i mogu se promeniti korišćenjem sledeće komande.
sudo ufw default deny incoming
sudo ufw default allow outgoing
UFW profili aplikacija
Kada instalirate softverski paket koristeći APT menadžer paketa, on će uključiti profil aplikacije u direktoriju /etc/ufw/applications.d koji definira uslugu i drži UFW postavke.
Možete navesti sve dostupne profile aplikacija na vašem serveru koristeći sljedeću naredbu.
sudo ufw app list
Ovisno o instalaciji softverskog paketa na vašem sistemu, izlaz će izgledati slično sljedećem:
Available applications:
APACHE
APACHE Full
APACHE SECURE
CUPS
OpenSSH
Postfix
Postfix SMTPS
Postfix Submission
Ako želite dobiti više informacija o određenom profilu i definiranim pravilima, možete koristiti sljedeću naredbu.
sudo ufw app info 'Apache'
Profile: Apache
Title: Web Server
Description: Apache V2 is the next generation f the omnipresent Apache web server.
Ports:
80/tcp
Omogućite IPv6 sa UFW
Ako je vaš server konfiguriran sa IPv6, provjerite je li vaš UFW konfiguriran s podrškom za IPv6 i IPv4. Da biste to potvrdili, otvorite UFW konfiguracijsku datoteku koristeći svoj omiljeni uređivač.
sudo vi /etc/default/ufw
Zatim provjerite je li “IPV6” postavljen na "yes" u konfiguracijskoj datoteci kao što je prikazano.
IPV6=yes
Sačuvaj i zatvori. Zatim ponovo pokrenite zaštitni zid sa sljedećim naredbama:
sudo ufw disable
sudo ufw enable
Dozvolite SSH veze na UFW
Ako ste do sada omogućili UFW firewall, on bi blokirao sve dolazne veze i ako ste povezani na vaš server preko SSH-a sa udaljene lokacije, više ga nećete moći ponovo povezati.
Omogućimo SSH konekciju sa našim serverom kako bismo spriječili da se to dogodi koristeći sljedeću naredbu:
sudo ufw allow ssh
Ako koristite prilagođeni SSH port (na primjer port 2222), tada morate otvoriti taj port na UFW firewall koristeći sljedeću naredbu.
sudo ufw allow 2222/tcp
Da biste blokirali sve SSH veze, unesite sljedeću naredbu.
sudo ufw deny ssh/tcp
sudo ufw deny 2222/tcp [If using custom SSH port]
Omogućite određene portove na UFW
Također možete otvoriti određeni port u firewall-u da biste preko njega omogućili povezivanje na određenu uslugu. Na primjer, ako želite postaviti web server koji sluša na portu 80 (HTTP) i 443 (HTTPS >) podrazumevano.
Ispod je nekoliko primjera kako dozvoliti dolazne veze na Apache usluge.
Otvorite port 80 HTTP na UFW
sudo ufw allow http [By service name]
sudo ufw allow 80/tcp [By port number]
sudo ufw allow 'Apache' [By application profile]
Otvorite port 443 HTTPS na UFW
sudo ufw allow https
sudo ufw allow 443/tcp
sudo ufw allow 'Apache Secure'
Dozvoli opsege portova na UFW
Pod pretpostavkom da imate neke aplikacije koje želite pokrenuti na nizu portova (5000-5003), možete dodati sve ove portove koristeći sljedeće naredbe.
sudo ufw allow 5000:5003/tcp
sudo ufw allow 5000:5003/udp
Dozvoli određene IP adrese
Ako želite da dozvolite konekcije na svim portovima sa određene IP adrese 192.168.56.1, tada morate navesti od prije IP adrese.
sudo ufw allow from 192.168.56.1
Dozvolite određene IP adrese na određenom portu
Da dozvolite konekciju na određenom portu (na primjer port 22) sa vašeg kućnog uređaja sa IP adresom 192.168.56.1, tada morate dodati bilo koji port< i broj porta nakon IP adrese kao što je prikazano.
sudo ufw allow from 192.168.56.1 to any port 22
Dozvolite mrežnim podmrežama na određeni port
Za omogućavanje konekcija za određene IP adrese u rasponu od 192.168.1.1 do 192.168.1.254 na port 22 (SSH) , pokrenite sljedeću naredbu.
sudo ufw allow from 192.168.1.0/24 to any port 22
Dozvoli specifično mrežno sučelje
Da dozvolite konekcije na određeni mrežni interfejs eth2 za određeni port 22 (SSH), pokrenite sljedeću naredbu.
sudo ufw allow in on eth2 to any port 22
Odbijte veze na UFW
Po defaultu, sve dolazne veze su blokirane, osim ako niste posebno otvorili vezu na UFW. Na primjer, otvorili ste portove 80 i 443 i vaš web server je napadnut sa nepoznate mreže 11.12.13.0/24.
Da blokirate sve veze iz ovog određenog 11.12.13.0/24 opsega mreže, možete koristiti sljedeću naredbu.
sudo ufw deny from 11.12.13.0/24
Ako želite da blokirate veze samo na portovima 80 i 443, možete koristiti sljedeće komande.
sudo ufw deny from 11.12.13.0/24 to any port 80
sudo ufw deny from 11.12.13.0/24 to any port 443
Izbrišite UFW pravila
Postoje 2 načina za brisanje UFW pravila, prema broju pravila i prema stvarnom pravilu.
Da biste izbrisali UFW pravila korištenjem broj pravila, prvo trebate navesti pravila po brojevima koristeći sljedeću naredbu.
sudo ufw status numbered
Sample Output
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
Da izbrišete pravilo broj 1, koristite sljedeću naredbu.
sudo ufw delete 1
Druga metoda je brisanje pravila korištenjem stvarnog pravila, na primjer da biste izbrisali pravilo, navedite broj porta s protokolom kao što je prikazano.
sudo ufw delete allow 22/tcp
Pravila UFW trčanja na suho
Možete pokrenuti bilo koju ufw komandu bez stvarnog unošenja ikakvih promjena u zaštitni zid sistema koristeći --dry-run zastavicu, ovo jednostavno pokazuje promjene koje bi se trebale dogoditi.
sudo ufw --dry-run enable
Resetujte UFW zaštitni zid
Iz jednog ili drugog razloga, ako želite da izbrišete/resetujete sva pravila zaštitnog zida, otkucajte sledeće komande, to će poništiti sve vaše promene i početi ispočetka.
sudo ufw reset
sudo ufw status
UFW napredna funkcionalnost
UFW firewall može uspjeti učiniti sve što radi iptables. Ovo se može uraditi sa različitim skupovima datoteka pravila, koji nisu ništa drugo do jednostavni iptables-restore tekstualni fajlovi.
Podešavanje UFW firewall-a ili dodavanje dodatnih iptables komandi nije dozvoljeno putem ufw naredbe, samo je pitanje izmjene sljedećih tekstualnih datoteka
- /etc/default/ufw: Glavni konfiguracioni fajl sa unapred definisanim pravilima.
- /etc/ufw/before[6].rules: U ovoj datoteci pravila se izračunavaju prije dodavanja putem naredbe ufw.
- /etc/ufw/after[6].rules: U ovoj datoteci pravila se izračunavaju nakon dodavanja putem ufw komande.
- /etc/ufw/sysctl.conf: Ova datoteka se koristi za podešavanje mreže kernela.
- /etc/ufw/ufw.conf: Ovaj fajl omogućava ufw pri pokretanju.
To je to! UFW je odličan front-end za iptables sa korisničkim sučeljem za definiranje složenih pravila pomoću jedne ufw naredbe.
Ako imate bilo kakva pitanja ili razmišljanja o ovom ufw članku, koristite formular za komentare ispod da biste nas kontaktirali.