Kaip įdiegti ir konfigūruoti UFW – nesudėtinga ugniasienė „Debian“/„Ubuntu“
Kadangi kompiuteriai yra sujungti vienas su kitu, paslaugos sparčiai auga. El. paštas, Socialinė žiniasklaida, Internetinė parduotuvė, Pokalbiai iki Žiniatinklio konferencijos yra paslaugos, kurios naudojo vartotojas. Tačiau iš kitos pusės šis ryšys tiesiog mėgsta dvipusį peilį. Taip pat galima siųsti blogus pranešimus į tuos kompiuterius, pvz., Virusas, kenkėjiškas programas, Trojos arklys.
Internetas, kaip didžiausias kompiuterių tinklas, ne visada užpildomas gerų žmonių. Norėdami įsitikinti, kad mūsų kompiuteriai/serveriai yra saugūs, turime juos apsaugoti.
Vienas iš privalomų komponentų jūsų kompiuteryje/serveriuose yra Ugniasienė. Iš Wikipedia apibrėžimas yra toks:
Skaičiuojant ugniasienė yra programine arba aparatine įranga pagrįsta tinklo saugos sistema, kuri kontroliuoja įeinantį ir išeinantį tinklo srautą analizuodama duomenų paketus ir nustatydama, ar juos reikia leisti, ar ne, remiantis taikomų taisyklių rinkiniu.
Iptables yra viena iš užkardų, plačiai naudojamų serveriuose. Tai programa, naudojama serverio gaunamam ir išeinančiam srautui valdyti pagal taisyklių rinkinį. Paprastai į serverį leidžiama patekti tik patikimam ryšiui. Tačiau IPTables veikia konsolės režimu ir tai sudėtinga. Tie, kurie yra susipažinę su iptables taisyklėmis ir komandomis, gali perskaityti šį straipsnį, kuriame aprašoma, kaip naudoti iptables užkardą.
- Pagrindinis IPTables (Linux ugniasienės) vadovas
UFW ugniasienės įdiegimas Debian/Ubuntu
Siekiant sumažinti IPT lentelės nustatymo metodų sudėtingumą, yra daug priekinių elementų. Jei naudojate Ubuntu Linux, ufw rasite kaip numatytąjį ugniasienės įrankį. Pradėkime tyrinėti ufw ugniasienę.
Kas yra ufw
ufw (Nesudėtinga ugniasienė) yra plačiausiai naudojamos iptables ugniasienės sąsaja ir yra patogi prieglobos ugniasienėms. ufw suteikia netfilter valdymo sistemą, taip pat komandų eilutės sąsają užkardai valdyti. Tai suteikia patogią ir lengvai naudojamą sąsają Linux naujokams, kurie nėra gerai susipažinę su ugniasienės koncepcijomis.
Kita vertus, tos pačios sudėtingos komandos padeda administratoriams nustatyti sudėtingas taisykles naudojant komandų eilutės sąsają. ufw yra ankstesnė versija, skirta kitiems platinimams, pvz., Debian, Ubuntu ir Linux Mint.
Pagrindinis naudojimas ufw
Pirmiausia patikrinkite, ar ufw įdiegtas, naudodami šią komandą.
sudo dpkg --get-selections | grep ufw
ufw install
Jei jis neįdiegtas, galite jį įdiegti naudodami komandą apt, kaip parodyta toliau.
sudo apt-get install ufw
Prieš naudodami patikrinkite, ar ufw veikia, ar ne. Norėdami tai patikrinti, naudokite šią komandą.
sudo ufw status
Jei radote Būsena: neaktyvi, tai reiškia, kad ji neaktyvi arba išjungta.
NAUJIENA! Nepakeičiama el. knyga kiekvienam Linux administratoriui!Atsisiųskite nemokamą 696 puslapių el. knygą
Ufw įjungimas/išjungimas
Norėdami jį įjungti, tiesiog terminale turite įvesti šią komandą.
sudo ufw enable
Firewall is active and enabled on system startup
Norėdami jį išjungti, tiesiog įveskite.
sudo ufw disable
Išvardykite dabartines ufw taisykles
Suaktyvinę užkardą galite į ją įtraukti savo taisykles. Jei norite pamatyti, kokios yra numatytosios taisyklės, galite įvesti.
sudo ufw status verbose
Pavyzdžio išvestis
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
$
Kaip pridėti ufw taisykles
Kaip matote, pagal numatytuosius nustatymus kiekvienas įeinantis ryšys yra uždraustas. Jei norite nuotoliniu būdu perkelti savo įrenginį, turite leisti tinkamą prievadą. Pavyzdžiui, norite leisti ssh ryšį. Štai komanda tai leisti.
Suteikti prieigą
sudo ufw allow ssh
[sudo] password for pungki :
Rule added
Rule added (v6)
$
Jei dar kartą patikrinsite būseną, pamatysite tokią išvestį.
sudo ufw status
To Action From
-- ----------- ------
22 ALLOW Anywhere
22 ALLOW Anywhere (v6)
Jei turite daug taisyklių ir norite įrašyti skaičius kiekvienai taisyklei, naudokite parametrą sunumeruotas.
sudo ufw status numbered
To Action From
------ ----------- ------
[1] 22 ALLOW Anywhere
[2] 22 ALLOW Anywhere (v6)
Pirmoji taisyklė sako, kad įeinantis ryšys su 22 prievadu iš Bet kur leidžiamas ir tcp arba udp paketais. Ką daryti, jei norite leisti tik tcp paketą? Tada po prievado numerio galite pridėti parametrą tcp. Štai pavyzdys su išvesties pavyzdžiu.
sudo ufw allow ssh/tcp
To Action From
------ ----------- ------
22/tcp ALLOW Anywhere
22/tcp ALLOW Anywhere (v6)
Uždrausti prieigą
Tie patys triukai taikomi taisyklei Neleisti. Tarkime, kad norite neleisti ftp taisyklės. Taigi jums tereikia įvesti tekstą.
sudo ufw deny ftp
To Action From
------ ----------- ------
21/tcp DENY Anywhere
21/tcp DENY Anywhere (v6)
Pridedamas konkretus prievadas
Kartais turime pasirinktinį prievadą, kuris neatitinka jokių standartų. Tarkime, savo įrenginio ssh prievadą pakeisime iš 22 į 2290. Tada, norėdami leisti prievadą 2290, galime jį pridėti taip.
sudo ufw allow
To Action From
-- ----------- ------
2290 ALLOW Anywhere
2290 ALLOW Anywhere (v6)
Taip pat galite į taisyklę įtraukti prievado diapazoną. Jei norime atidaryti prievadą nuo 2290 iki 2300 su tcp protokolu, tada komanda bus tokia.
sudo ufw allow 2290:2300/tcp
To Action From
------ ----------- ------
2290:2300/tcp ALLOW Anywhere
2290:2300/tcp ALLOW Anywhere (v6)
o jei norite naudoti udp, tiesiog naudokite šią komandą.
sudo ufw allow 2290:2300/udp
To Action From
------ ----------- ------
2290:2300/udp ALLOW Anywhere
2290:2300/udp ALLOW Anywhere (v6)
Atminkite, kad turite aiškiai įvesti „tcp“ arba „udp“, kitaip gausite klaidos pranešimą, panašų į toliau pateiktą.
ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports
Pridedamas konkretus IP
Anksčiau pridėjome taisykles, pagrįstas paslauga arba prievadu. Ufw taip pat leidžia pridėti taisyklių, pagrįstų IP adresu. Štai pavyzdinė komanda.
sudo ufw allow from 192.168.0.104
Taip pat galite naudoti potinklio kaukę, kad padidintumėte diapazoną.
sudo ufw allow form 192.168.0.0/24
To Action From
-- ----------- ------
Anywhere ALLOW 192.168.0.104
Anywhere ALLOW 192.168.0.0/24
Kaip matote, parametras apribos tik ryšio šaltinį. Nors kelionės tikslas – stulpelis Kam – yra Bet kur. Taip pat galite tvarkyti paskirties vietą naudodami parametrą Kam. Pažiūrėkime pavyzdį, leidžiantį pasiekti 22 prievadą (ssh).
sudo ufw allow to any port 22
Aukščiau pateikta komanda leis pasiekti 22 prievadą iš bet kurios vietos ir iš bet kurio protokolo.
Parametrų derinimas
Norėdami gauti konkretesnių taisyklių, taip pat galite derinti IP adresą, protokolą ir prievadą. Tarkime, kad norime sukurti taisyklę, kuri apribotų ryšį tik nuo IP 192.168.0.104, tik protokolo tcp ir prievado 22. Tada komanda bus tokia, kaip žemiau.
sudo ufw allow from 192.168.0.104 proto tcp to any port 22
Neigimo taisyklės kūrimo sintaksė yra panaši į leidimo taisyklę. Jums tereikia pakeisti parametrą iš leisti į neleisti.
Naikinimo taisyklės
Kartais gali tekti ištrinti esamą taisyklę. Dar kartą naudojant ufw paprasta ištrinti taisykles. Iš aukščiau pateikto pavyzdžio turite žemiau esančią taisyklę ir norite ją ištrinti.
To Action From
-- ----------- ------
22/tcp ALLOW 192.168.0.104
21/tcp ALLOW Anywhere
21/tcp ALLOW Anywhere (v6)
Yra du taisyklių panaikinimo būdai.
1 būdas
Toliau pateikta komanda ištrins taisykles, atitinkančias paslaugą ftp. Taigi 21/tcp, reiškiantis ftp prievadą, bus ištrintas.
sudo ufw delete allow ftp
2 būdas
Bet kai bandėte ištrinti pirmąją taisyklę aukščiau pateiktame pavyzdyje naudodami toliau pateiktą komandą.
sudo ufw delete allow ssh
Or
sudo ufw delete allow 22/tcp
Galite rasti klaidos pranešimą, pvz.
Could not delete non-existent rule
Could not delete non-existent rule (v6)
Tada galite padaryti šį triuką. Kaip minėjome aukščiau, galite parodyti taisyklės skaičių, kad nurodytumėte, kurią taisyklę norime ištrinti. Leiskite tai parodyti jums.
sudo ufw status numbered
To Action From
-- ----------- ------
[1] 22/tcp ALLOW 192.168.0.104
[2] 21/tcp ALLOW Anywhere
[3] 21/tcp ALLOW Anywhere (v6)
Tada galite ištrinti pirmąją taisyklę naudodami. Paspaudę y taisyklę ištrinsite visam laikui.
sudo ufw delete 1
Deleting :
Allow from 192.168.0.104 to any port 22 proto tcp
Proceed with operation (y|n)? y
Iš šių metodų pamatysite skirtumą. 2 metodas prieš ištrindamas taisyklę paprašys naudotojo patvirtinimo, o pagal 1 metodą - ne.
Kaip iš naujo nustatyti taisykles
Kai kuriais atvejais galite ištrinti/iš naujo nustatyti visas taisykles. Tai galite padaryti įvesdami.
sudo ufw reset
Resetting all rules to installed defaults. Proceed with operation (y|n)? y
Jei paspausite „y“, ufw sukurs visų esamų taisyklių atsarginę kopiją prieš iš naujo nustatydami ufw. Iš naujo nustatę taisykles taip pat bus išjungta ugniasienė. Jei norite naudoti, turite jį vėl įjungti.
Išplėstinė funkcija
Kaip minėjau aukščiau, ufw ugniasienė gali padaryti viską, ką gali padaryti iptables. Tai pasiekiama naudojant įvairius taisyklių rinkinius, kurie yra ne kas kita, kaip iptables-restore tinkami tekstiniai failai. Tikslus ufw derinimas ir (arba) papildomų iptables komandų, kurios neleidžiamos naudojant ufw komandą, įdėjimas yra kelių tekstinių failų redagavimo reikalas.
- /etc/default/ufw: pagrindinė numatytųjų strategijų, IPv6 palaikymo ir branduolio modulių konfigūracija.
- /etc/ufw/before[6].rules: taisyklės šiuose failuose apskaičiuojamos prieš bet kokias taisykles, įtrauktas naudojant ufw komandą.
- /etc/ufw/after[6].rules: taisyklės šiuose failuose apskaičiuojamos po bet kokių taisyklių, pridėtų naudojant ufw komandą.
- /etc/ufw/sysctl.conf: branduolio tinklo derinimo priemonės.
- /etc/ufw/ufw.conf: nustato, ar ufw įgalintas paleidžiant, ir nustato LOGLEVEL.
Išvada
UFW kaip „iptables“ sąsaja tikrai palengvina vartotojo sąsają. Vartotojui nereikia atsiminti sudėtingos „iptables“ sintaksės. UFW taip pat kaip parametrą naudoja „plain english“.
Leisti, neleisti, nustatyti iš naujo yra vienas iš jų. Manau, kad yra daug daugiau „iptable“ sąsajų. Tačiau neabejotinai ufw yra viena geriausių alternatyvų vartotojams, norintiems greitai, lengvai ir, žinoma, saugiai nustatyti užkardą. Norėdami gauti daugiau informacijos, apsilankykite ufw vadovo puslapyje įvesdami man ufw.