אנדרואיד

כיצד להגדיר חומת אש עם ufw ב- debian 9

Настройка firewall в Debian 9 (iptables)

Настройка firewall в Debian 9 (iptables)

תוכן עניינים:

Anonim

Debian כוללת מספר חבילות המספקות כלים לניהול חומת אש עם התקני iptables המותקנים כחלק ממערכת הבסיס. למתחילים זה יכול להיות מורכב ללמוד כיצד להשתמש בכלי ה- iptables כדי להגדיר ולנהל נכון חומת אש, אך UFW מפשט זאת.

UFW (Firewall Uncomplicated Firewall) הוא חזית ידידותית למשתמש לניהול כללי חומת האש של ה- iptables והמטרה העיקרית שלה היא להקל על ניהול ה- iptables או כפי שהשם אומר לא מסובך.

במדריך זה נראה לך כיצד להגדיר חומת אש עם UFW ב- Debian 9.

תנאים מוקדמים

לפני שתמשיך במדריך זה, וודא שלמשתמש שאתה מחובר בו יש הרשאות סודו.

התקן UFW

UFW אינו מותקן כברירת מחדל ב- Debian 9. אתה יכול להתקין את חבילת ufw ידי הקלדה:

sudo apt install ufw

בדוק את מצב UFW

לאחר השלמת תהליך ההתקנה, תוכלו לבדוק את מצב UFW באמצעות הפקודה הבאה:

sudo ufw status verbose

הפלט ייראה כך:

Status: inactive

UFW מושבת כברירת מחדל. ההתקנה לא תפעיל את חומת האש באופן אוטומטי כדי להימנע מנעילה מהשרת.

אם UFW מופעל, הפלט ייראה דומה לזה:

מדיניות ברירת מחדל של UFW

כברירת מחדל, UFW יחסום את כל החיבורים הנכנסים ויאפשר את כל החיבורים היוצאים. המשמעות היא שמי שמנסה לגשת לשרת לא יוכל להתחבר אלא אם כן אתה פותח את היציאה באופן ספציפי, בעוד שכל היישומים והשירותים הפועלים בשרת שלך יוכלו לגשת לעולם החיצון.

מדיניות ברירת המחדל מוגדרת בקובץ /etc/default/ufw וניתן לשנותם באמצעות sudo ufw default פקודה.

מדיניות חומת אש הינה הבסיס לבניית כללים מפורטים ומוגדרים יותר על ידי המשתמש. ברוב המקרים, מדיניות ברירת המחדל הראשונית של UFW היא נקודת פתיחה טובה.

פרופילי יישומים

בעת התקנת חבילה עם apt היא תוסיף פרופיל יישום לספרייה /etc/ufw/applications.d המתארת ​​את השירות ומכילה הגדרות UFW.

כדי להציג את כל פרופילי היישומים הזמינים בסוג המערכת שלך:

sudo ufw app list

בהתאם לחבילות המותקנות במערכת שלך הפלט ייראה דומה לזה:

Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…

כדי למצוא מידע נוסף על פרופיל ספציפי וכללים כלולים, השתמש בפקודה הבאה:

sudo ufw app info OpenSSH

Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp

הפלט שלמעלה אומר לנו שפרופיל OpenSSH פותח את יציאה 22 .

אפשר חיבורי SSH

לפני שנפעיל תחילה את חומת האש UFW עלינו לאפשר חיבורי SSH נכנסים.

אם אתה מתחבר לשרת שלך ממיקום מרוחק, וזה כמעט תמיד המקרה ואתה מאפשר את חומת האש UFW לפני שתאפשר במפורש חיבורי SSH נכנסים, לא תוכל עוד להתחבר לשרת ה- Debian שלך.

כדי להגדיר את תצורת חומת האש UFW שלך כך שתאפשר חיבורי SSH נכנסים, הפעל את הפקודה הבאה:

sudo ufw allow OpenSSH

Rules updated Rules updated (v6)

אם שרת SSH מאזין ביציאה שאינה יציאת ברירת המחדל 22, יהיה עליכם לפתוח יציאה זו.

לדוגמה, שרת ה- ssh שלך מקשיב ביציאה 8822 , ואז תוכל להשתמש בפקודה הבאה כדי לאפשר חיבורים ביציאה זו:

sudo ufw allow 8822/tcp

אפשר UFW

כעת, לאחר שחומת האש UFW שלך מוגדרת לאפשר חיבורי SSH נכנסים, אתה יכול להפעיל אותה על ידי הפעלה:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

תוזהר כי הפעלת חומת האש עלולה לשבש את חיבורי ה- ssh הקיימים, פשוט הקלד y והקש על Enter .

אפשר חיבורים ביציאות אחרות

בהתאם ליישומים הפועלים על השרת שלך ולצרכים הספציפיים שלך, עליך גם לאפשר גישה נכנסת לכמה יציאות אחרות.

להלן מספר דוגמאות לאפשר חיבורים נכנסים לכמה מהשירותים הנפוצים ביותר:

יציאה פתוחה 80 - HTTP

ניתן לאפשר חיבורי HTTP באמצעות הפקודה הבאה:

sudo ufw allow

במקום פרופיל http , אתה יכול להשתמש במספר היציאה, 80 :

sudo ufw allow 80/tcp

יציאה פתוחה 443 - HTTPS

ניתן לאפשר חיבורי HTTP באמצעות הפקודה הבאה:

sudo ufw allow

כדי להשיג זאת במקום https תוכלו להשתמש במספר היציאה, 443 :

sudo ufw allow 443/tcp

יציאה פתוחה 8080

sudo ufw allow 8080/tcp

אפשר טווחי פורט

עם UFW אתה יכול גם לאפשר גישה לטווחי יציאה. כאשר מאפשרים טווחי יציאה עם UFW, עליך לציין את הפרוטוקול, tcp או udp .

לדוגמה, כדי לאפשר יציאות בין 7100 ל- 7200 הן ב- tcp והן ב- udp , הפעל את הפקודה הבאה:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

אפשר כתובות IP ספציפיות

sudo ufw allow from 64.63.62.61

אפשר כתובות IP ספציפיות ביציאה ספציפית

כדי לאפשר גישה ביציאה ספציפית, נניח שפורט 22 ממכונת העבודה שלך עם כתובת IP של 64.63.62.61 השתמש בפקודה הבאה:

sudo ufw allow from 64.63.62.61 to any port 22

אפשר תת-רשתות

הפקודה לאפשר חיבור לרשת משנה של כתובות IP זהה בעת השימוש בכתובת IP יחידה, ההבדל היחיד הוא שאתה צריך לציין את מסכת הרשת. לדוגמה, אם ברצונך לאפשר גישה לכתובות IP שנעות בין 192.168.1.1 ל- 192.168.1.254 ליציאה 3360 (MySQL), תוכל להשתמש בפקודה זו:

sudo ufw allow from 192.168.1.0/24 to any port 3306

אפשר חיבורים לממשק רשת ספציפי

כדי לאפשר גישה ביציאה ספציפית נניח שיציאה 3360 רק למערכת ממשק רשת ספציפית eth2 , השתמש allow in on ובשם ממשק הרשת:

sudo ufw allow in on eth2 to any port 3306

דחו קשרים

מדיניות ברירת המחדל עבור כל החיבורים הנכנסים מוגדרת ככחולה ופירושה ש- UFW יחסום את כל החיבורים הנכנסים אלא אם כן אתה פותח את החיבור ספציפית.

נניח שפתחת את היציאות 80 ו 443 והשרת שלך מותקף מרשת 23.24.25.0/24 . כדי לשלול את כל החיבורים מיום 23.24.25.0/24 , השתמש בפקודה הבאה:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

כתיבת כללי הכחשה זהה לכללים לאפשר כתיבה, אתה צריך רק להחליף allow deny .

מחק את כללי UFW

ישנן שתי דרכים שונות למחוק כללי UFW, לפי מספר הכלל ועל ידי ציון הכלל בפועל.

קל יותר למחוק כללי UFW לפי מספר כללי, במיוחד אם אתה חדש ב- UFW.

כדי למחוק כלל לפי מספר כלל תחילה עליך למצוא את מספר הכלל שברצונך למחוק. כדי לבצע פעולה זו, הפעלה הבאה:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

למחיקת כלל מספר 3, הכלל המאפשר חיבורים ליציאה 8080, באפשרותך להשתמש בפקודה הבאה:

sudo ufw delete 2

השיטה השנייה היא למחוק כלל על ידי ציון הכלל בפועל. לדוגמה, אם הוספת כלל לפתיחת יציאה 8069 אתה יכול למחוק אותה באמצעות:

sudo ufw delete allow 8069

השבת UFW

אם מסיבה כלשהי ברצונך להפסיק את UFW ולהשבית את כל הכללים הרצים:

sudo ufw disable

מאוחר יותר אם ברצונך להפעיל מחדש את UTF ולהפעיל את כל הכללים, פשוט הקלד:

sudo ufw enable

אפס UFW

איפוס UFW יבטל את UFW, וימחק את כל הכללים הפעילים. זה מועיל אם ברצונך להחזיר את כל השינויים שלך ולהתחיל לרענן.

כדי לאפס UFW פשוט הקלד את הפקודה הבאה:

sudo ufw reset

סיכום

למדת כיצד להתקין ולהגדיר את חומת האש של UFW במחשב ה- Debian 9 שלך. הקפד לאפשר את כל החיבורים הנכנסים הנחוצים לתפקוד תקין של המערכת שלך, תוך הגבלת כל החיבורים המיותרים.

אבטחה של חומת אש