Uvod
Ubuntu je operacijski sistem Linux, ki je med skrbniki strežnikov zelo priljubljen zaradi naprednih funkcij, ki so mu privzeto na voljo. Ena takih lastnosti je požarni zid, ki je varnostni sistem, ki nadzira dohodne in odhodne omrežne povezave, da se lahko odloča glede na vnaprej določena varnostna pravila. Če želite določiti taka pravila, je treba požarni zid konfigurirati pred njegovo uporabo, ta priročnik pa prikazuje, kako z lahkoto omogočiti in konfigurirati požarni zid v Ubuntu, skupaj z drugimi koristnimi nasveti pri konfiguriranju požarnega zidu.
Kako omogočiti požarni zid
Ubuntu ima privzeto požarni zid, znan kot UFW (nezapleten požarni zid), kar zadostuje, skupaj z nekaterimi drugimi paketi tretjih oseb za zaščito strežnika pred zunanjimi grožnjami. Ker požarni zid ni omogočen, ga je treba pred vsem omogočiti. Z naslednjim ukazom omogočite privzeti UFW v Ubuntuju.
- Najprej preverite trenutno stanje požarnega zidu in se prepričajte, da je resnično onemogočen. Če želite dobiti podrobno stanje, ga uporabite skupaj s podrobnim ukazom.
status sudo ufw
sudo ufw podroben status
- Če je onemogočen, ga omogoči naslednji ukaz
sudo ufw omogoči
- Ko je požarni zid omogočen, znova zaženite sistem, da spremembe začnejo veljati. Parameter r se uporablja za navedbo ukaza za ponovni zagon, parameter now pa za navedbo, da je treba ponovni zagon opraviti takoj, brez odlašanja.
sudo shutdown -r zdaj
Blokirajte vse trafike s požarnim zidom
UFW, privzeto blokira / dovoli vse prometne trakove, razen če jih preglasijo določena vrata. Kot je razvidno iz zgornjih posnetkov zaslona, ufw blokira vse dohodne prometa in omogoča ves odhodni promet. Vendar lahko z naslednjimi ukazi ves promet onemogočite brez izjem. Kaj to počisti vse konfiguracije UFW in zavrne dostop iz katere koli povezave.
sudo ufw reset
sudo ufw privzeto zanika dohodne
sudo ufw privzeto zanika odhodno
Kako omogočiti vrata za HTTP?
HTTP pomeni protokol za prenos hiperteksta, ki določa, kako se sporočilo oblikuje pri prenosu prek katerega koli omrežja, na primer svetovne mreže, imenovane Internet. Ker se spletni brskalnik privzeto poveže s spletnim strežnikom prek protokola HTTP za interakcijo z vsebino, je treba omogočiti vrata, ki pripadajo HTTP. Če spletni strežnik uporablja SSL / TLS (zaščitena zaščita vtičnice / zaščitna plast), mora biti dovoljen tudi HTTPS.
sudo ufw dovoli http
sudo ufw dovoli https
Kako omogočiti vrata za SSH?
SSH pomeni varno lupino, ki se uporablja za povezavo s sistemom prek omrežja, običajno prek interneta; zato se pogosto uporablja za povezavo s strežniki prek interneta iz lokalnega računalnika. Ker Ubuntu privzeto blokira vse dohodne povezave, vključno s SSH, mora biti omogočen za dostop do strežnika prek interneta.
sudo ufw dovoli ssh
Če je SSH konfiguriran za uporabo drugih vrat, mora biti namesto imena profila izrecno navedena številka vrat.
sudo ufw dopusti 1024
Kako omogočiti vrata za TCP / UDP
TCP, imenovan tudi protokol za nadzor prenosa, določa, kako vzpostaviti in vzdrževati omrežni pogovor, da si aplikacija lahko izmenjuje podatke. Spletni strežnik privzeto uporablja protokol TCP; zato ga je treba omogočiti, a na srečo omogočanje vrat omogoča tudi vrata za TCP / UDP hkrati. Če pa je določeno vrata namenjeno samo za TCP ali UDP, je treba skupaj s številko vrat / imenom profila določiti protokol.
sudo ufw dovoli | zavrni številko portala | ime profila / tcp / udp
sudo ufw dovoli 21 / tcp
sudo ufw zanika 21 / udp
Kako popolnoma onemogočiti požarni zid?
Včasih je treba privzeti požarni zid onemogočiti, da preizkusite omrežje ali kadar je nameščen drug požarni zid. Naslednji ukaz popolnoma onemogoči požarni zid in brezpogojno dovoli vse dohodne in odhodne povezave. To ni priporočljivo, razen če so zgoraj navedeni nameni razlogi za onemogočanje. Če onemogočite požarni zid, ne ponastavi ali izbriše njegovih konfiguracij; zato ga lahko znova omogočite s prejšnjimi nastavitvami.
sudo ufw onemogoči
Omogoči privzete pravilnike
Privzeti pravilniki navajajo, kako se požarni zid odzove na povezavo, če se ji nobeno pravilo ne ujema, na primer, če požarni zid privzeto dovoli vse dohodne povezave, če pa je vrata številka 25 blokirana za dohodne povezave, preostala vrata še vedno delujejo za dohodne povezave. razen vrat številka 25, saj preglasi privzeto povezavo. Naslednji ukazi zavrnejo dohodne povezave in privzeto dovolijo odhodne povezave.
sudo ufw privzeto zanika dohodne
sudo ufw privzeto dovoli odhodne
Omogoči določen obseg vrat
Obseg vrat določa, za katera vrata velja pravilo požarnega zidu. Razpon je naveden v startPort: endPort format, nato mu sledi protokol povezave, ki je pooblaščen za navedbo v tem primeru.
sudo ufw dopusti 6000: 6010 / tcp
sudo ufw dopusti 6000: 6010 / udp
Dovoli / zavrni določen naslov IP / naslove
Ne samo določenim vratom je mogoče dovoliti ali zavrniti bodisi odhodne bodisi dohodne, temveč tudi naslov IP. Ko je naslov IP določen v pravilu, se za katero koli zahtevo iz tega naslova IP uporabi ravno določeno pravilo, na primer v naslednjem ukazu dovoli vse zahteve od 67.205.171.204 IP naslov, potem omogoča vse zahteve od 67.205.171.204 na vrata 80 in 443, kar pomeni, da lahko katera koli naprava s tem IP-jem pošlje uspešne zahteve strežniku, ne da bi bila zavrnjena, če privzeto pravilo blokira vse dohodne povezave. To je zelo koristno za zasebne strežnike, ki jih uporablja ena oseba ali določeno omrežje.
sudo ufw dovoli od 67.205.171.204
sudo ufw dovoli od 67.205.171.204 v katero koli vrata 80
sudo ufw dovoli od 67.205.171.204 v katero koli pristanišče 443
Omogoči beleženje
Funkcija beleženja beleži tehnične podrobnosti o vsaki zahtevi na strežnik in s njega. To je koristno za odpravljanje napak; zato je priporočljivo, da ga vklopite.
sudo ufw prijava
Dovoli / zavrni določeno podomrežje
Ko gre za vrsto naslovov IP, je težko ročno dodati vsak zapis naslova IP pravilu požarnega zidu, da ga bodisi zavrnete bodisi dovolite, zato lahko obsege naslovov IP določite v zapisu CIDR, ki je običajno sestavljen iz naslova IP in količine gostiteljev, ki jih vsebuje, in IP vsakega gostitelja.
V naslednjem primeru uporablja naslednja dva ukaza. V prvem primeru uporablja / 24 mrežno masko in s tem pravilo velja od 192.168.1.1 do 192.168.1.254 naslovov IP. V drugem primeru velja isto pravilo samo za vrata številka 25. Torej, če so dohodne zahteve privzeto blokirane, lahko zdaj omenjeni naslovi IP pošiljajo zahteve na vrata številka 25 strežnika.
sudo ufw dovoli od 192.168.1.1/24
sudo ufw dovoli od 192.168.1.1/24 do katerega koli pristanišča 25
Izbrišite pravilo iz požarnega zidu
Pravila lahko odstranite s požarnega zidu. Naslednji prvi ukaz poravna vsako pravilo v požarnem zidu s številko, nato pa z drugim ukazom pravilo lahko izbrišete tako, da določite številko, ki pripada pravilu.
status sudo ufw oštevilčen
sudo ufw delete 2
Ponastavite konfiguracijo požarnega zidu
Na koncu, če želite začeti s konfiguracijo požarnega zidu, uporabite naslednji ukaz. To je zelo koristno, če požarni zid začne delovati nenavadno ali če se požarni zid obnaša nepričakovano.
sudo ufw reset