Настройка firewall в Debian 9 (iptables)
תוכן עניינים:
- תנאים מוקדמים
- התקן UFW
- בדוק את מצב UFW
- מדיניות ברירת מחדל של UFW
- פרופילי יישומים
- אפשר חיבורי SSH
- אפשר UFW
- אפשר חיבורים ביציאות אחרות
- יציאה פתוחה 80 - HTTP
- יציאה פתוחה 443 - HTTPS
- יציאה פתוחה 8080
- אפשר טווחי פורט
- אפשר כתובות IP ספציפיות
- אפשר כתובות IP ספציפיות ביציאה ספציפית
- אפשר תת-רשתות
- אפשר חיבורים לממשק רשת ספציפי
- דחו קשרים
- מחק את כללי UFW
- השבת UFW
- אפס UFW
- סיכום
Debian כוללת מספר חבילות המספקות כלים לניהול חומת אש עם התקני iptables המותקנים כחלק ממערכת הבסיס. למתחילים זה יכול להיות מורכב ללמוד כיצד להשתמש בכלי ה- iptables כדי להגדיר ולנהל נכון חומת אש, אך UFW מפשט זאת.
UFW (Firewall Uncomplicated Firewall) הוא חזית ידידותית למשתמש לניהול כללי חומת האש של ה- iptables והמטרה העיקרית שלה היא להקל על ניהול ה- iptables או כפי שהשם אומר לא מסובך.
במדריך זה נראה לך כיצד להגדיר חומת אש עם UFW ב- Debian 9.
תנאים מוקדמים
לפני שתמשיך במדריך זה, וודא שלמשתמש שאתה מחובר בו יש הרשאות סודו.
התקן UFW
UFW אינו מותקן כברירת מחדל ב- Debian 9. אתה יכול להתקין את חבילת
ufw
ידי הקלדה:
בדוק את מצב UFW
לאחר השלמת תהליך ההתקנה, תוכלו לבדוק את מצב UFW באמצעות הפקודה הבאה:
sudo ufw status verbose
הפלט ייראה כך:
Status: inactive
UFW מושבת כברירת מחדל. ההתקנה לא תפעיל את חומת האש באופן אוטומטי כדי להימנע מנעילה מהשרת.
אם UFW מופעל, הפלט ייראה דומה לזה:
מדיניות ברירת מחדל של UFW
כברירת מחדל, UFW יחסום את כל החיבורים הנכנסים ויאפשר את כל החיבורים היוצאים. המשמעות היא שמי שמנסה לגשת לשרת לא יוכל להתחבר אלא אם כן אתה פותח את היציאה באופן ספציפי, בעוד שכל היישומים והשירותים הפועלים בשרת שלך יוכלו לגשת לעולם החיצון.
מדיניות ברירת המחדל מוגדרת בקובץ
/etc/default/ufw
וניתן לשנותם באמצעות
sudo ufw default
מדיניות חומת אש הינה הבסיס לבניית כללים מפורטים ומוגדרים יותר על ידי המשתמש. ברוב המקרים, מדיניות ברירת המחדל הראשונית של UFW היא נקודת פתיחה טובה.
פרופילי יישומים
בעת התקנת חבילה עם
apt
היא תוסיף פרופיל יישום לספרייה
/etc/ufw/applications.d
המתארת את השירות ומכילה הגדרות UFW.
כדי להציג את כל פרופילי היישומים הזמינים בסוג המערכת שלך:
sudo ufw app list
בהתאם לחבילות המותקנות במערכת שלך הפלט ייראה דומה לזה:
Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…
כדי למצוא מידע נוסף על פרופיל ספציפי וכללים כלולים, השתמש בפקודה הבאה:
sudo ufw app info OpenSSH
Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp
הפלט שלמעלה אומר לנו שפרופיל OpenSSH פותח את יציאה
22
.
אפשר חיבורי SSH
לפני שנפעיל תחילה את חומת האש UFW עלינו לאפשר חיבורי SSH נכנסים.
אם אתה מתחבר לשרת שלך ממיקום מרוחק, וזה כמעט תמיד המקרה ואתה מאפשר את חומת האש UFW לפני שתאפשר במפורש חיבורי SSH נכנסים, לא תוכל עוד להתחבר לשרת ה- Debian שלך.
כדי להגדיר את תצורת חומת האש UFW שלך כך שתאפשר חיבורי SSH נכנסים, הפעל את הפקודה הבאה:
sudo ufw allow OpenSSH
Rules updated Rules updated (v6)
אם שרת SSH מאזין ביציאה שאינה יציאת ברירת המחדל 22, יהיה עליכם לפתוח יציאה זו.
לדוגמה, שרת ה- ssh שלך מקשיב ביציאה
8822
, ואז תוכל להשתמש בפקודה הבאה כדי לאפשר חיבורים ביציאה זו:
אפשר UFW
כעת, לאחר שחומת האש UFW שלך מוגדרת לאפשר חיבורי SSH נכנסים, אתה יכול להפעיל אותה על ידי הפעלה:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
תוזהר כי הפעלת חומת האש עלולה לשבש את חיבורי ה- ssh הקיימים, פשוט הקלד
y
והקש על
Enter
.
אפשר חיבורים ביציאות אחרות
בהתאם ליישומים הפועלים על השרת שלך ולצרכים הספציפיים שלך, עליך גם לאפשר גישה נכנסת לכמה יציאות אחרות.
להלן מספר דוגמאות לאפשר חיבורים נכנסים לכמה מהשירותים הנפוצים ביותר:
יציאה פתוחה 80 - HTTP
ניתן לאפשר חיבורי HTTP באמצעות הפקודה הבאה:
sudo ufw allow
במקום פרופיל
http
, אתה יכול להשתמש במספר היציאה,
80
:
יציאה פתוחה 443 - HTTPS
ניתן לאפשר חיבורי HTTP באמצעות הפקודה הבאה:
sudo ufw allow
כדי להשיג זאת במקום
https
תוכלו להשתמש במספר היציאה,
443
:
יציאה פתוחה 8080
אפשר טווחי פורט
עם UFW אתה יכול גם לאפשר גישה לטווחי יציאה. כאשר מאפשרים טווחי יציאה עם UFW, עליך לציין את הפרוטוקול,
tcp
או
udp
.
לדוגמה, כדי לאפשר יציאות בין
7100
ל-
7200
הן ב-
tcp
והן ב-
udp
, הפעל את הפקודה הבאה:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
אפשר כתובות IP ספציפיות
sudo ufw allow from 64.63.62.61
אפשר כתובות IP ספציפיות ביציאה ספציפית
כדי לאפשר גישה ביציאה ספציפית, נניח שפורט 22 ממכונת העבודה שלך עם כתובת IP של 64.63.62.61 השתמש בפקודה הבאה:
sudo ufw allow from 64.63.62.61 to any port 22
אפשר תת-רשתות
הפקודה לאפשר חיבור לרשת משנה של כתובות IP זהה בעת השימוש בכתובת IP יחידה, ההבדל היחיד הוא שאתה צריך לציין את מסכת הרשת. לדוגמה, אם ברצונך לאפשר גישה לכתובות IP שנעות בין 192.168.1.1 ל- 192.168.1.254 ליציאה 3360 (MySQL), תוכל להשתמש בפקודה זו:
sudo ufw allow from 192.168.1.0/24 to any port 3306
אפשר חיבורים לממשק רשת ספציפי
כדי לאפשר גישה ביציאה ספציפית נניח שיציאה 3360 רק למערכת ממשק רשת ספציפית
eth2
, השתמש
allow in on
ובשם ממשק הרשת:
sudo ufw allow in on eth2 to any port 3306
דחו קשרים
מדיניות ברירת המחדל עבור כל החיבורים הנכנסים מוגדרת ככחולה ופירושה ש- UFW יחסום את כל החיבורים הנכנסים אלא אם כן אתה פותח את החיבור ספציפית.
נניח שפתחת את היציאות
80
ו
443
והשרת שלך מותקף מרשת
23.24.25.0/24
. כדי לשלול את כל החיבורים מיום
23.24.25.0/24
, השתמש בפקודה הבאה:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
כתיבת כללי הכחשה זהה לכללים לאפשר כתיבה, אתה צריך רק להחליף
allow
deny
.
מחק את כללי UFW
ישנן שתי דרכים שונות למחוק כללי UFW, לפי מספר הכלל ועל ידי ציון הכלל בפועל.
קל יותר למחוק כללי UFW לפי מספר כללי, במיוחד אם אתה חדש ב- UFW.
כדי למחוק כלל לפי מספר כלל תחילה עליך למצוא את מספר הכלל שברצונך למחוק. כדי לבצע פעולה זו, הפעלה הבאה:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
למחיקת כלל מספר 3, הכלל המאפשר חיבורים ליציאה 8080, באפשרותך להשתמש בפקודה הבאה:
sudo ufw delete 2
השיטה השנייה היא למחוק כלל על ידי ציון הכלל בפועל. לדוגמה, אם הוספת כלל לפתיחת יציאה
8069
אתה יכול למחוק אותה באמצעות:
השבת UFW
אם מסיבה כלשהי ברצונך להפסיק את UFW ולהשבית את כל הכללים הרצים:
sudo ufw disable
מאוחר יותר אם ברצונך להפעיל מחדש את UTF ולהפעיל את כל הכללים, פשוט הקלד:
אפס UFW
איפוס UFW יבטל את UFW, וימחק את כל הכללים הפעילים. זה מועיל אם ברצונך להחזיר את כל השינויים שלך ולהתחיל לרענן.
כדי לאפס UFW פשוט הקלד את הפקודה הבאה:
סיכום
למדת כיצד להתקין ולהגדיר את חומת האש של UFW במחשב ה- Debian 9 שלך. הקפד לאפשר את כל החיבורים הנכנסים הנחוצים לתפקוד תקין של המערכת שלך, תוך הגבלת כל החיבורים המיותרים.
אבטחה של חומת אשכיצד לרשום ולמחוק כללי חומת אש של ufw
UFW מייצג חומת אש לא מסובכת, והוא חזית ידידותית למשתמש לניהול iptables (netfilter) כללי חומת האש. במדריך זה, נסקור כיצד לרשום ולמחוק כללי חומת אש של UFW.
כיצד להגדיר חומת אש עם חומת אש ב- centos 7
FirewallD הוא פיתרון חומת אש מלא שמנהל את כללי ה- iptables של המערכת ומספק ממשק D-Bus להפעלה עליהם. במדריך זה אנו מראים לך כיצד להגדיר חומת אש עם FirewallD במערכת CentOS 7 שלך ולהסביר לך את המושגים הבסיסיים של FirewallD.
כיצד להגדיר חומת אש עם ufw באובונטו 18.04
כברירת מחדל, אובונטו מגיעה עם כלי תצורת חומת אש בשם UFW (חומת אש לא מסובכת). UFW הוא חזית ידידותית למשתמש לניהול כללי חומת האש של ה- iptables והמטרה העיקרית שלה היא להקל על ניהול ה- iptables או כפי שהשם אומר לא מסובך.