Kako postaviti vatrozid sa ufw na debianu 9

Debian uključuje nekoliko paketa koji pružaju alate za upravljanje vatrozidom s iptablesima instaliranim kao dio osnovnog sustava. Početnici mogu biti složeni da nauče kako pomoću iptables alata pravilno konfigurirati i upravljati vatrozidom, ali UFW to pojednostavljuje.

UFW (nekomplicirani vatrozid) jednostavan je korisnik za upravljanje pravilima vatrozida iptables i njegov glavni cilj je olakšavanje upravljanja iptablesima ili, kako samo ime kaže, jednostavno.

U ovom ćemo vam vodiču pokazati kako postaviti Device 9 na vatrozidu s UFW-om.

Preduvjeti

Prije nego što nastavite s ovim vodičem, provjerite ima li korisnik na koji ste prijavljeni kao i sudo privilegije.

Instalirajte UFW

UFW nije standardno instaliran u Debianu 9. ufw paket možete instalirati upisivanjem:

sudo apt install ufw

Provjerite UFW status

Nakon što je postupak instalacije dovršen, možete provjeriti status UFW sljedećom naredbom:

sudo ufw status verbose

Izlaz će izgledati ovako:

Status: inactive

UFW je onemogućeno prema zadanim postavkama. Instalacija neće automatski aktivirati vatrozid kako bi se izbjeglo blokiranje od poslužitelja.

Ako je aktivirano UFW, izlaz će izgledati slično:

UFW zadana pravila

UFW će prema zadanim postavkama blokirati sve dolazne veze i omogućiti sve izlazne veze. To znači da svi koji pokušaju pristupiti vašem poslužitelju neće se moći povezati ako posebno ne otvorite port, dok će sve aplikacije i usluge na vašem poslužitelju moći pristupiti vanjskom svijetu.

Zadani pravilnici definirani su u datoteci /etc/default/ufw i mogu se mijenjati pomoću sudo ufw default naredba.

Politike vatrozida temelj su za izgradnju detaljnijih i korisnički definiranih pravila. U većini slučajeva početne UFW zadane politike dobra su početna točka.

Profili aplikacije

Kada instalirate paket s apt on će dodati profil aplikacije u /etc/ufw/applications.d direktorij koji opisuje uslugu i sadrži UFW postavke.

Za popis svih profila aplikacija dostupnih na vašoj vrsti sustava:

sudo ufw app list

Ovisno o paketima instaliranim na vašem sustavu, izlaz će izgledati slično:

Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…

Da biste pronašli više informacija o određenom profilu i uključenim pravilima, koristite sljedeću naredbu:

sudo ufw app info OpenSSH

Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp

Izlaz iznad nam govori da OpenSSH profil otvara port 22 .

Dopusti SSH veze

Prije omogućavanja UFW vatrozida prvo moramo omogućiti dolazne SSH veze.

Ako se na poslužitelj povezujete s udaljene lokacije, što je gotovo uvijek slučaj i omogućite UFW vatrozid prije nego što izričito dopustite dolazne SSH veze, više se nećete moći povezati s vašim Debian poslužiteljem.

Da biste konfigurirali svoj UFW vatrozid tako da dopušta dolazne SSH veze, pokrenite sljedeću naredbu:

sudo ufw allow OpenSSH

Rules updated Rules updated (v6)

Ako SSH poslužitelj sluša na ulazu koji nije zadani port 22, morat ćete ga otvoriti.

Na primjer, vaš ssh server sluša na 8822 , tada možete upotrijebiti sljedeću naredbu za omogućavanje veza na tom ulazu:

sudo ufw allow 8822/tcp

Omogući UFW

Sada kada je vaš UFW vatrozid konfiguriran za omogućavanje dolaznih SSH veza, to možete omogućiti pokretanjem:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

Upozorit ćete da omogućavanje vatrozida može poremetiti postojeće ssh veze, samo upišite y i pritisnite Enter .

Dopustite veze na drugim ulazima

Ovisno o programima koji se pokreću na vašem poslužitelju i vašim specifičnim potrebama također ćete trebati omogućiti dolazni pristup nekim drugim portovima.

Ispod je nekoliko primjera kako dopustiti dolazne veze na neke od najčešćih usluga:

Otvoreni priključak 80 - HTTP

HTTP veze mogu se dopustiti sa sljedećom naredbom:

sudo ufw allow

Umjesto http profila, možete koristiti broj porta 80

sudo ufw allow 80/tcp

Otvoreni priključak 443 - HTTPS

HTTP veze mogu se dopustiti sa sljedećom naredbom:

sudo ufw allow

Da biste postigli isto umjesto https možete koristiti broj porta, 443 :

sudo ufw allow 443/tcp

Otvoreni port 8080

sudo ufw allow 8080/tcp

Dopusti domet luka

Pomoću UFW-a možete dozvoliti pristup rasponima priključaka. Pri dopuštanju raspona priključaka s UFW-om morate navesti protokol, bilo tcp ili udp .

Na primjer, da biste dozvolili portove od 7100 do 7200 i tcp i udp , pokrenite sljedeću naredbu:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

Dopusti određene IP adrese

sudo ufw allow from 64.63.62.61

Dopusti određene IP adrese na određenom priključku

Da biste omogućili pristup određenom priključku, recimo, priključak 22 sa vašeg radnog stroja s IP adresom 64.63.62.61 koristite sljedeću naredbu:

sudo ufw allow from 64.63.62.61 to any port 22

Dopusti podmreže

Naredba za omogućavanje povezivanja na podmrežu IP adresa ista je kao i kod korištenja jedne IP adrese, jedina je razlika što morate odrediti mrežnu masku. Na primjer, ako želite omogućiti pristup IP adresama u rasponu od 192.168.1.1 do 192.168.1.254 do porta 3360 (MySQL), možete koristiti ovu naredbu:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Dopusti veze s određenim mrežnim sučeljem

Da biste omogućili pristup na određenom priključku, recimo priključak 3360 samo određenom mrežnom sučelju eth2 , upotrijebite eth2 allow in on i naziv mrežnog sučelja:

sudo ufw allow in on eth2 to any port 3306

Zabranite veze

Zadana pravila za sve dolazne veze postavljena su na deny što znači da će UFW blokirati svu dolaznu vezu osim ako izričito ne otvorite vezu.

Recimo da ste otvorili portove 80 i 443 a vaš poslužitelj je napadnut iz mreže 23.24.25.0/24 . Za odbijanje svih veza od 23.24.25.0/24 koristite sljedeću naredbu:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

Pisanje pravila za uskraćivanje isto je kao i pravila za dopuštanje pisanja, samo trebate zamijeniti allow za deny .

Izbrišite UFW pravila

Postoje dva različita načina brisanja UFW pravila prema broju pravila i određivanju stvarnog pravila.

Brisanje UFW pravila prema broju pravila lakše je, posebno ako ste novi u UFW-u.

Da biste izbrisali pravilo s brojem pravila, prvo morate pronaći broj pravila koje želite izbrisati. Za to pokrenite sljedeću naredbu:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

Za brisanje pravila broj 3, pravila koje omogućuje veze s priključkom 8080, možete koristiti sljedeću naredbu:

sudo ufw delete 2

Druga metoda je brisanje pravila određivanjem stvarnog pravila. Na primjer, ako ste dodali pravilo za otvaranje priključka 8069 možete ga izbrisati s:

sudo ufw delete allow 8069

Onemogući UFW

Ako iz bilo kojeg razloga želite zaustaviti UFW i deaktivirati sva pravila pokrenite:

sudo ufw disable

Kasnije, ako želite ponovo omogućiti UTF i aktivirati sva pravila, samo upišite:

sudo ufw enable

Poništi UFW

Poništavanje UFW-a onemogućit će UFW i izbrisati sva aktivna pravila. Ovo je korisno ako želite poništiti sve svoje promjene i započeti nove.

Za resetiranje UFW-a jednostavno upišite sljedeću naredbu:

sudo ufw reset

Zaključak

Naučili ste kako instalirati i konfigurirati UFW vatrozid na svom Debian 9 stroju. Svakako dopustite sve dolazne veze koje su potrebne za pravilno funkcioniranje vašeg sustava, a pritom ograničite sve nepotrebne veze.

ufw firewall iptables debian sigurnost