אנדרואיד

כיצד להגדיר חומת אש עם ufw באובונטו 18.04

Ubuntu Server 18.04.1. Настройка файрвола UFW

Ubuntu Server 18.04.1. Настройка файрвола UFW

תוכן עניינים:

Anonim

חומת אש המוגדרת כהלכה היא אחד ההיבטים החשובים ביותר של אבטחת המערכת הכללית. כברירת מחדל, אובונטו מגיעה עם כלי תצורת חומת אש בשם UFW (חומת אש לא מסובכת). UFW הוא חזית ידידותית למשתמש לניהול כללי חומת האש של ה- iptables והמטרה העיקרית שלה היא להקל על ניהול ה- iptables או כפי שהשם אומר לא מסובך.

תנאים מוקדמים

לפני שתתחיל עם מדריך זה, וודא שאתה מחובר לשרת שלך עם חשבון משתמש עם הרשאות sudo או עם משתמש השורש. השיטה הטובה ביותר היא להריץ פקודות ניהוליות כמשתמש sudo במקום כשורש. אם אין לך משתמש sudo במערכת אובונטו שלך אתה יכול ליצור אחד על ידי ביצוע ההוראות הבאות.

התקן UFW

חומת אש לא מסובכת צריכה להיות מותקנת כברירת מחדל באובונטו 18.04, אך אם היא לא מותקנת במערכת שלך, באפשרותך להתקין את החבילה על ידי הקלדה:

sudo apt install ufw

בדוק את מצב UFW

לאחר סיום ההתקנה תוכלו לבדוק את מצב UFW באמצעות הפקודה הבאה:

sudo ufw status verbose

UFW מושבת כברירת מחדל. אם מעולם לא הפעלת UFW, הפלט ייראה כך:

Status: inactive

אם UFW מופעל, הפלט ייראה דומה לזה:

מדיניות ברירת מחדל של UFW

כברירת מחדל, UFW יחסום את כל החיבורים הנכנסים ויאפשר את כל החיבורים היוצאים. המשמעות היא שמי שמנסה לגשת לשרת לא יוכל להתחבר אלא אם כן אתה פותח את היציאה באופן ספציפי, בעוד שכל היישומים והשירותים הפועלים בשרת שלך יוכלו לגשת לעולם החיצון.

מדיניות ברירת המחדל מוגדרת בקובץ /etc/default/ufw וניתן לשנותם באמצעות sudo ufw default פקודה.

מדיניות חומת אש הינה הבסיס לבניית כללים מפורטים ומוגדרים יותר על ידי המשתמש. ברוב המקרים, מדיניות ברירת המחדל הראשונית של UFW היא נקודת פתיחה טובה.

פרופילי יישומים

בעת התקנת חבילה עם הפקודה apt היא תוסיף פרופיל יישום לספרייה /etc/ufw/applications.d . הפרופיל מתאר את השירות ומכיל הגדרות UFW.

אתה יכול לרשום את כל פרופילי היישומים הזמינים בשרת שלך על ידי הקלדה:

sudo ufw app list

בהתאם לחבילות המותקנות במערכת שלך הפלט ייראה דומה לזה:

Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission

כדי למצוא מידע נוסף על פרופיל ספציפי וכללים כלולים, השתמש בפקודה הבאה:

sudo ufw app info 'Nginx Full'

Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp

כפי שאתה יכול לראות מהפלט שמעל לפרופיל 'Nginx Full' פותח את יציאה 80 ו 443 .

אפשר חיבורי SSH

לפני הפעלת חומת האש UFW עלינו להוסיף כלל המאפשר חיבורי SSH נכנסים. אם אתה מתחבר לשרת ממיקום מרוחק, וזה כמעט תמיד המקרה ואתה מאפשר את חומת האש UFW לפני שתאפשר במפורש חיבורי SSH נכנסים, לא תוכל עוד להתחבר לשרת אובונטו.

כדי להגדיר את תצורת חומת האש UFW שלך כך שתאפשר חיבורי SSH נכנסים, הקלד את הפקודה הבאה:

sudo ufw allow ssh

Rules updated Rules updated (v6)

אם שינית את יציאת SSH ליציאה מותאמת אישית במקום יציאה 22, תצטרך לפתוח יציאה זו.

לדוגמה, אם הדמון של ssh שלך מקשיב ביציאה 4422 , אתה יכול להשתמש בפקודה הבאה כדי לאפשר חיבורים ביציאה זו:

sudo ufw allow 4422/tcp

אפשר UFW

כעת, לאחר חומת האש UFW שלך מוגדרת לאפשר חיבורי SSH נכנסים, אנו יכולים לאפשר זאת על ידי הקלדה:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

תוזהר כי הפעלת חומת האש עלולה לשבש את חיבורי ה- ssh הקיימים, פשוט הקלד y והקש על Enter .

אפשר חיבורים ביציאות אחרות

בהתאם ליישומים הפועלים על השרת שלך ולצרכים הספציפיים שלך, עליך גם לאפשר גישה נכנסת לכמה יציאות אחרות.

להלן נראה לכם כמה דוגמאות כיצד לאפשר חיבורים נכנסים לכמה מהשירותים הנפוצים ביותר:

יציאה פתוחה 80 - HTTP

ניתן לאפשר חיבורי HTTP באמצעות הפקודה הבאה:

sudo ufw allow

במקום http תוכלו להשתמש במספר היציאה, 80:

sudo ufw allow 80/tcp

או שתוכל להשתמש בפרופיל היישום, במקרה זה, 'Nginx

sudo ufw allow 'Nginx

יציאה פתוחה 443 - HTTPS

ניתן לאפשר חיבורי HTTP באמצעות הפקודה הבאה:

sudo ufw allow

כדי להשיג אותו במקום בפרופיל https תוכלו להשתמש במספר היציאה, 443 :

sudo ufw allow 443/tcp

או שאתה יכול להשתמש בפרופיל היישום 'Nginx

sudo ufw allow 'Nginx

יציאה פתוחה 8080

sudo ufw allow 8080/tcp

אפשר טווחי פורט

במקום לאפשר גישה ליציאות בודדות UFW מאפשר לנו לאפשר גישה לטווחי נמל. כאשר מאפשרים טווחי יציאה עם UFW, עליך לציין את הפרוטוקול, tcp או udp . לדוגמה, אם ברצונך לאפשר יציאות בין 7100 ל- 7200 הן ב- tcp והן ב- tcp , הפעל את הפקודה הבאה:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

אפשר כתובות IP ספציפיות

כדי לאפשר גישה בכל היציאות מהמחשב הביתי שלך עם כתובת IP של 64.63.62.61, ציין מאחריו את כתובת ה- IP שברצונך להוסיף לרשימה הלבנה:

sudo ufw allow from 64.63.62.61

אפשר כתובות IP ספציפיות ביציאה ספציפית

כדי לאפשר גישה ביציאה ספציפית נניח יציאה 22 ממכונת העבודה שלך עם כתובת IP של 64.63.62.61, השתמש to any port ואחריה מספר היציאה:

sudo ufw allow from 64.63.62.61 to any port 22

אפשר תת-רשתות

הפקודה לאפשר חיבור לרשת משנה של כתובות IP זהה בעת השימוש בכתובת IP יחידה, ההבדל היחיד הוא שאתה צריך לציין את מסכת הרשת. לדוגמה, אם ברצונך לאפשר גישה לכתובות IP שנעות בין 192.168.1.1 ל- 192.168.1.254 ליציאה 3360 (MySQL), תוכל להשתמש בפקודה זו:

sudo ufw allow from 192.168.1.0/24 to any port 3306

אפשר חיבורים לממשק רשת ספציפי

כדי לאפשר גישה ביציאה ספציפית נניח נמל 3360 רק למערכת ממשק רשת ספציפית eth2 , עליכם לציין allow in on ושם ממשק הרשת:

sudo ufw allow in on eth2 to any port 3306

דחו קשרים

מדיניות ברירת המחדל עבור כל החיבורים הנכנסים מוגדרת ככחולה ואם לא שינית אותה, UFW יחסום את כל החיבורים הנכנסים אלא אם כן תפתח את החיבור ספציפית.

נניח שפתחת את היציאות 80 ו 443 והשרת שלך מותקף מרשת 23.24.25.0/24 . כדי לשלול את כל החיבורים מיום 23.24.25.0/24 תוכלו להשתמש בפקודה הבאה:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

כתיבת כללי הכחשה זהה לכללים לאפשר כתיבה, אתה צריך רק להחליף allow deny .

מחק את כללי UFW

ישנן שתי דרכים שונות למחוק כללי UFW, לפי מספר הכלל ועל ידי ציון הכלל בפועל.

קל יותר למחוק כללי UFW לפי מספר כללי, במיוחד אם אתה חדש ב- UFW. כדי למחוק כלל לפי מספר כלל תחילה עליך למצוא את מספר הכלל שברצונך למחוק, אתה יכול לעשות זאת באמצעות הפקודה הבאה:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

כדי למחוק כלל מספר 3, הכלל המאפשר חיבורים ליציאה 8080, השתמש בפקודה הבאה:

sudo ufw delete 3

השיטה השנייה היא למחוק כלל על ידי ציון הכלל בפועל, למשל אם הוספת כלל לפתיחת יציאה 8069 תוכל למחוק אותה באמצעות:

sudo ufw delete allow 8069

השבת UFW

אם מסיבה כלשהי אתה רוצה להפסיק את UFW ולהשבית את כל הכללים שבהם אתה יכול להשתמש:

sudo ufw disable

מאוחר יותר אם ברצונך להפעיל מחדש את UTF ולהפעיל את כל הכללים, פשוט הקלד:

sudo ufw enable

אפס UFW

איפוס UFW יבטל את UFW, וימחק את כל הכללים הפעילים. זה מועיל אם ברצונך להחזיר את כל השינויים שלך ולהתחיל לרענן.

כדי לאפס UFW פשוט הקלד את הפקודה הבאה:

sudo ufw reset

סיכום

למדת כיצד להתקין ולהגדיר את חומת האש UFW בשרת Ubuntu 18.04 שלך. הקפד לאפשר את כל החיבורים הנכנסים הנחוצים לתפקוד תקין של המערכת שלך, תוך הגבלת כל החיבורים המיותרים.

iptables אבטחה של חומת האש של אבטחת אובונטו - -