Ubuntu Server 18.04.1. Настройка файрвола UFW
תוכן עניינים:
- תנאים מוקדמים
- התקן UFW
- בדוק את מצב UFW
- מדיניות ברירת מחדל של UFW
- פרופילי יישומים
- אפשר חיבורי SSH
- אפשר UFW
- אפשר חיבורים ביציאות אחרות
- יציאה פתוחה 80 - HTTP
- יציאה פתוחה 443 - HTTPS
- יציאה פתוחה 8080
- אפשר טווחי פורט
- אפשר כתובות IP ספציפיות
- אפשר כתובות IP ספציפיות ביציאה ספציפית
- אפשר תת-רשתות
- אפשר חיבורים לממשק רשת ספציפי
- דחו קשרים
- מחק את כללי UFW
- השבת UFW
- אפס UFW
- סיכום
חומת אש המוגדרת כהלכה היא אחד ההיבטים החשובים ביותר של אבטחת המערכת הכללית. כברירת מחדל, אובונטו מגיעה עם כלי תצורת חומת אש בשם UFW (חומת אש לא מסובכת). UFW הוא חזית ידידותית למשתמש לניהול כללי חומת האש של ה- iptables והמטרה העיקרית שלה היא להקל על ניהול ה- iptables או כפי שהשם אומר לא מסובך.
תנאים מוקדמים
לפני שתתחיל עם מדריך זה, וודא שאתה מחובר לשרת שלך עם חשבון משתמש עם הרשאות sudo או עם משתמש השורש. השיטה הטובה ביותר היא להריץ פקודות ניהוליות כמשתמש sudo במקום כשורש. אם אין לך משתמש sudo במערכת אובונטו שלך אתה יכול ליצור אחד על ידי ביצוע ההוראות הבאות.
התקן UFW
חומת אש לא מסובכת צריכה להיות מותקנת כברירת מחדל באובונטו 18.04, אך אם היא לא מותקנת במערכת שלך, באפשרותך להתקין את החבילה על ידי הקלדה:
בדוק את מצב UFW
לאחר סיום ההתקנה תוכלו לבדוק את מצב UFW באמצעות הפקודה הבאה:
sudo ufw status verbose
UFW מושבת כברירת מחדל. אם מעולם לא הפעלת UFW, הפלט ייראה כך:
Status: inactive
אם UFW מופעל, הפלט ייראה דומה לזה:
מדיניות ברירת מחדל של UFW
כברירת מחדל, UFW יחסום את כל החיבורים הנכנסים ויאפשר את כל החיבורים היוצאים. המשמעות היא שמי שמנסה לגשת לשרת לא יוכל להתחבר אלא אם כן אתה פותח את היציאה באופן ספציפי, בעוד שכל היישומים והשירותים הפועלים בשרת שלך יוכלו לגשת לעולם החיצון.
מדיניות ברירת המחדל מוגדרת בקובץ
/etc/default/ufw
וניתן לשנותם באמצעות
sudo ufw default
מדיניות חומת אש הינה הבסיס לבניית כללים מפורטים ומוגדרים יותר על ידי המשתמש. ברוב המקרים, מדיניות ברירת המחדל הראשונית של UFW היא נקודת פתיחה טובה.
פרופילי יישומים
בעת התקנת חבילה עם הפקודה
apt
היא תוסיף פרופיל יישום לספרייה
/etc/ufw/applications.d
. הפרופיל מתאר את השירות ומכיל הגדרות UFW.
אתה יכול לרשום את כל פרופילי היישומים הזמינים בשרת שלך על ידי הקלדה:
sudo ufw app list
בהתאם לחבילות המותקנות במערכת שלך הפלט ייראה דומה לזה:
Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission
כדי למצוא מידע נוסף על פרופיל ספציפי וכללים כלולים, השתמש בפקודה הבאה:
sudo ufw app info 'Nginx Full'
Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp
כפי שאתה יכול לראות מהפלט שמעל לפרופיל 'Nginx Full' פותח את יציאה
80
ו
443
.
אפשר חיבורי SSH
לפני הפעלת חומת האש UFW עלינו להוסיף כלל המאפשר חיבורי SSH נכנסים. אם אתה מתחבר לשרת ממיקום מרוחק, וזה כמעט תמיד המקרה ואתה מאפשר את חומת האש UFW לפני שתאפשר במפורש חיבורי SSH נכנסים, לא תוכל עוד להתחבר לשרת אובונטו.
כדי להגדיר את תצורת חומת האש UFW שלך כך שתאפשר חיבורי SSH נכנסים, הקלד את הפקודה הבאה:
sudo ufw allow ssh
Rules updated Rules updated (v6)
אם שינית את יציאת SSH ליציאה מותאמת אישית במקום יציאה 22, תצטרך לפתוח יציאה זו.
לדוגמה, אם הדמון של ssh שלך מקשיב ביציאה
4422
, אתה יכול להשתמש בפקודה הבאה כדי לאפשר חיבורים ביציאה זו:
אפשר UFW
כעת, לאחר חומת האש UFW שלך מוגדרת לאפשר חיבורי SSH נכנסים, אנו יכולים לאפשר זאת על ידי הקלדה:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
תוזהר כי הפעלת חומת האש עלולה לשבש את חיבורי ה- ssh הקיימים, פשוט הקלד
y
והקש על
Enter
.
אפשר חיבורים ביציאות אחרות
בהתאם ליישומים הפועלים על השרת שלך ולצרכים הספציפיים שלך, עליך גם לאפשר גישה נכנסת לכמה יציאות אחרות.
להלן נראה לכם כמה דוגמאות כיצד לאפשר חיבורים נכנסים לכמה מהשירותים הנפוצים ביותר:
יציאה פתוחה 80 - HTTP
ניתן לאפשר חיבורי HTTP באמצעות הפקודה הבאה:
sudo ufw allow
במקום http תוכלו להשתמש במספר היציאה, 80:
sudo ufw allow 80/tcp
או שתוכל להשתמש בפרופיל היישום, במקרה זה, 'Nginx
יציאה פתוחה 443 - HTTPS
ניתן לאפשר חיבורי HTTP באמצעות הפקודה הבאה:
sudo ufw allow
כדי להשיג אותו במקום בפרופיל
https
תוכלו להשתמש במספר היציאה,
443
:
sudo ufw allow 443/tcp
או שאתה יכול להשתמש בפרופיל היישום 'Nginx
יציאה פתוחה 8080
אפשר טווחי פורט
במקום לאפשר גישה ליציאות בודדות UFW מאפשר לנו לאפשר גישה לטווחי נמל. כאשר מאפשרים טווחי יציאה עם UFW, עליך לציין את הפרוטוקול,
tcp
או
udp
. לדוגמה, אם ברצונך לאפשר יציאות בין
7100
ל-
7200
הן ב-
tcp
והן ב-
tcp
, הפעל את הפקודה הבאה:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
אפשר כתובות IP ספציפיות
כדי לאפשר גישה בכל היציאות מהמחשב הביתי שלך עם כתובת IP של 64.63.62.61, ציין מאחריו את כתובת ה- IP שברצונך להוסיף לרשימה הלבנה:
sudo ufw allow from 64.63.62.61
אפשר כתובות IP ספציפיות ביציאה ספציפית
כדי לאפשר גישה ביציאה ספציפית נניח יציאה 22 ממכונת העבודה שלך עם כתובת IP של 64.63.62.61, השתמש
to any port
ואחריה מספר היציאה:
sudo ufw allow from 64.63.62.61 to any port 22
אפשר תת-רשתות
הפקודה לאפשר חיבור לרשת משנה של כתובות IP זהה בעת השימוש בכתובת IP יחידה, ההבדל היחיד הוא שאתה צריך לציין את מסכת הרשת. לדוגמה, אם ברצונך לאפשר גישה לכתובות IP שנעות בין 192.168.1.1 ל- 192.168.1.254 ליציאה 3360 (MySQL), תוכל להשתמש בפקודה זו:
sudo ufw allow from 192.168.1.0/24 to any port 3306
אפשר חיבורים לממשק רשת ספציפי
כדי לאפשר גישה ביציאה ספציפית נניח נמל 3360 רק למערכת ממשק רשת ספציפית
eth2
, עליכם לציין
allow in on
ושם ממשק הרשת:
sudo ufw allow in on eth2 to any port 3306
דחו קשרים
מדיניות ברירת המחדל עבור כל החיבורים הנכנסים מוגדרת ככחולה ואם לא שינית אותה, UFW יחסום את כל החיבורים הנכנסים אלא אם כן תפתח את החיבור ספציפית.
נניח שפתחת את היציאות
80
ו
443
והשרת שלך מותקף מרשת
23.24.25.0/24
. כדי לשלול את כל החיבורים מיום
23.24.25.0/24
תוכלו להשתמש בפקודה הבאה:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
כתיבת כללי הכחשה זהה לכללים לאפשר כתיבה, אתה צריך רק להחליף
allow
deny
.
מחק את כללי UFW
ישנן שתי דרכים שונות למחוק כללי UFW, לפי מספר הכלל ועל ידי ציון הכלל בפועל.
קל יותר למחוק כללי UFW לפי מספר כללי, במיוחד אם אתה חדש ב- UFW. כדי למחוק כלל לפי מספר כלל תחילה עליך למצוא את מספר הכלל שברצונך למחוק, אתה יכול לעשות זאת באמצעות הפקודה הבאה:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
כדי למחוק כלל מספר 3, הכלל המאפשר חיבורים ליציאה 8080, השתמש בפקודה הבאה:
sudo ufw delete 3
השיטה השנייה היא למחוק כלל על ידי ציון הכלל בפועל, למשל אם הוספת כלל לפתיחת יציאה
8069
תוכל למחוק אותה באמצעות:
השבת UFW
אם מסיבה כלשהי אתה רוצה להפסיק את UFW ולהשבית את כל הכללים שבהם אתה יכול להשתמש:
sudo ufw disable
מאוחר יותר אם ברצונך להפעיל מחדש את UTF ולהפעיל את כל הכללים, פשוט הקלד:
אפס UFW
איפוס UFW יבטל את UFW, וימחק את כל הכללים הפעילים. זה מועיל אם ברצונך להחזיר את כל השינויים שלך ולהתחיל לרענן.
כדי לאפס UFW פשוט הקלד את הפקודה הבאה:
סיכום
למדת כיצד להתקין ולהגדיר את חומת האש UFW בשרת Ubuntu 18.04 שלך. הקפד לאפשר את כל החיבורים הנכנסים הנחוצים לתפקוד תקין של המערכת שלך, תוך הגבלת כל החיבורים המיותרים.
iptables אבטחה של חומת האש של אבטחת אובונטו - -כיצד לרשום ולמחוק כללי חומת אש של ufw
UFW מייצג חומת אש לא מסובכת, והוא חזית ידידותית למשתמש לניהול iptables (netfilter) כללי חומת האש. במדריך זה, נסקור כיצד לרשום ולמחוק כללי חומת אש של UFW.
כיצד להגדיר חומת אש עם חומת אש ב- centos 7
FirewallD הוא פיתרון חומת אש מלא שמנהל את כללי ה- iptables של המערכת ומספק ממשק D-Bus להפעלה עליהם. במדריך זה אנו מראים לך כיצד להגדיר חומת אש עם FirewallD במערכת CentOS 7 שלך ולהסביר לך את המושגים הבסיסיים של FirewallD.
כיצד להגדיר חומת אש עם ufw ב- debian 9
UFW (Firewall Uncomplicated Firewall) הוא חזית ידידותית למשתמש לניהול כללי חומת האש של ה- iptables והמטרה העיקרית שלה היא להקל על ניהול ה- iptables או כפי שהשם אומר לא מסובך. במדריך זה נראה לך כיצד להתקין חומת אש עם UFW ב- Debian 9.