Одной из лучших мер безопасности, которую мы всегда должны помнить, является использование брандмауэра, через который доступ или передача сетевых пакетов могут или не могут быть разрешены, это полезно, поскольку существуют миллионы угроз, которые готовы проникнуть наша система и доступ к ценной информации.
Инструментом настройки брандмауэра по умолчанию для Ubuntu и Debian является UFW (Uncomplicated Firewall), который был разработан для упрощения управления конфигурацией брандмауэра iptables, поскольку UFW предоставляет простой метод использования для создания правил для Брандмауэр на основе хоста IPv4 или IPv6. По умолчанию UFW отключен.
Из этого руководства мы узнаем немного больше о UFW и о том, как выполнить процесс его настройки в Ubuntu или Debian.
Что такое UFW?
UFW дает нам гораздо более простую структуру действий для управления сетевым фильтром и имеет интерфейс командной строки для работы с брандмауэром Linux, отсюда и его название (Uncomplicated Firewall).
С помощью UFW можно будет выполнять различные действия по обеспечению безопасности для нескольких системных параметров и, таким образом, повышать уровень безопасности и конфиденциальности всей размещенной там информации и процессов. Чтобы эффективно использовать UFW в Ubuntu или Debian, у нас должен быть пользователь root или пользователь с разрешениями sudo. В случае его отсутствия мы можем создать его, выполнив следующие строки в их порядке:
adduser "пользователь" usermod -aG sudo "пользователь" su - "пользователь" sudo whoamiТеперь мы увидим весь процесс эффективного использования UFW в Ubuntu или Debian.
1. Как установить UFW на Debian и Ubuntu
Этот брандмауэр должен быть установлен по умолчанию в Ubuntu и Debian, но если нет, мы можем установить его с помощью менеджера пакетов APT следующим образом:
sudo apt установить ufw
После установки UFW мы можем запустить следующую строку, чтобы проверить текущее состояние брандмауэра.
подробный статус sudo ufw
Как мы указали, его состояние по умолчанию отключено.
2. Как включить UFW в Linux
Чтобы выполнить процесс активации UFW, мы выполним следующую команду, которая загружает брандмауэр и позволяет ему запускаться при загрузке системы.
sudo ufw enableМы снова запускаем подробный статус sudo ufw, чтобы проверить новый статус UFW:
Если вы хотите отключить UFW, мы выполним следующую команду, которая запрещает запуск из загрузки:
отключить sudo ufw
3. Политики по умолчанию в UFW Linux
Когда мы активируем UFW, используется предопределенный набор правил или профилей, которые подходят для домашнего пользователя, но не для серьезных проблем.
По умолчанию брандмауэр UFW имеет правила, запрещающие все входящие подключения, и разрешает только все исходящие подключения к серверу, поэтому никто не может получить доступ к серверу, а все службы или приложения, работающие в Ubuntu или Debian, могут получить доступ к сети. Внешний без проблем.
Эти правила UFW по умолчанию находятся в пути / etc / default / ufw, и мы можем отредактировать их с помощью следующей команды:
sudo ufw default запретить входящие sudo ufw default разрешить исходящие
4. Как просматривать профили для приложений в UFW Linux
При установке любого программного пакета через менеджер пакетов APT в каталог /etc/ufw/applications.d включается профиль приложения, который определяет службу и поддерживает активную конфигурацию UFW.
Можно будет перечислить все доступные профили приложений в Ubuntu или Debian, используя следующую команду:
Список приложений sudo ufw
Этот результат зависит от установки программного пакета в системе.
Если мы хотим получить больше информации о конкретном профиле и правилах, определенных для него, мы будем использовать следующую команду:
sudo ufw Информация о приложении 'Apache'
Там мы нашли всю информацию об этом конкретном приложении.
5. Как включить IPv6 в UFW Linux
Если Ubuntu или Debian настроены с IPv6, необходимо проверить, что UFW настроен с поддержкой IPv6 и IPv4. Чтобы убедиться в этом, мы откроем файл конфигурации UFW с таким редактором.
sudo nano / etc / default / ufw
Там мы должны убедиться, что строка IPV6 имеет значение yes следующим образом:
IPV6 = даВ случае внесения каких-либо изменений мы сохраняем их с помощью клавиш Ctrl + O и закрываем редактор с помощью Ctrl + X. Теперь мы перезапустим брандмауэр, выполнив:
sudo ufw отключить sudo ufw включить
6. Как разрешить SSH-соединения в UFW Linux
Помните, что активация брандмауэра UFW заблокирует все входящие соединения и, если он подключен к серверу через SSH из удаленного местоположения, установить соединение будет невозможно.
Для этого необходимо включить соединения SSH, чтобы избежать ошибок, и это достигается с помощью следующей команды:
sudo ufw разрешить ssh
Если вы используете пользовательский порт SSH, он должен быть открыт в брандмауэре UFW с помощью следующей команды:
sudo ufw allow 2220 / tcpЕсли мы хотим заблокировать соединение SSH, мы можем выполнить следующее:
Судо UFW отрицать SSH / TCP
7. Как включить определенные порты в UFW Linux
С UFW также будет возможно открыть определенный порт, чтобы разрешить подключения к определенной службе через него, например, если вам нужно настроить веб-сервер для прослушивания портов 80 (HTTP) и 443 (HTTPS) По умолчанию мы выполним следующее по мере необходимости:
Разрешить порт 80
sudo ufw разрешить http (по имени службы) sudo ufw разрешить 80 / tcp (по номеру порта) sudo ufw разрешить 'Apache' (по профилю приложения)
Разрешить порт 443
sudo ufw разрешить http sudo ufw разрешить 443 / tcp sudo ufw разрешить 'Apache Secure'
Разрешить диапазон портов в UFW
Иногда у нас могут быть приложения, которые будут использовать определенное танго портов, которое должно быть авторизовано в UFW, чтобы активировать диапазон портов, мы выполним следующее:
sudo ufw allow 6000: 6003 / tcp sudo ufw allow 6000: 6003 / udp
Разрешить IP-адрес
UFW дает нам возможность разрешить доступ одного IP-адреса к системе, для этого мы должны выполнить следующее:
sudo ufw разрешить с 192.168.0.19
Теперь, если мы хотим разрешить использование IP-адреса для определенного порта, мы выполним следующее:
sudo ufw позволяет с 192.168.0.19 на любой порт 22
Разрешить доступ к подсетям на конкретном порту
UFW дает нам возможность разрешать соединения для определенных IP-адресов в диапазоне от 192.168.0.1 до 192.168.0.254 до порта 22 (SSH), для этого мы выполняем следующую команду:
sudo ufw разрешить с 192.168.0.0/24 на любой порт 22
Укажите сетевой интерфейс
Как и предыдущие методы, UFW позволяет нам активировать использование определенного сетевого интерфейса, для этого мы выполняем следующее:
sudo ufw пропускает на eth3 любой порт 22
Запретить соединения в UFW
По умолчанию все входящие соединения в UFW блокируются, если только соединение не было специально открыто в UFW, в этом случае мы открыли порты 80 и 443.
Теперь, если на наш сервер влияет IP-адрес 11.12.13.0/24, мы можем выполнить следующее, чтобы запретить этой сети доступ к Ubuntu или Debian:
Отказ sudo ufw с 11.12.13.0/24 на любой порт 80 Отказ sudo ufw с 11.12.13.0/24 на любой порт 443
8. Как удалить правила в UFW Linux
У нас есть 2 варианта устранения правил UFW: по номеру правила и по фактическому правилу.
Шаг 1
Чтобы исключить правила UFW, используя номер правила, мы должны сначала перечислить правила по номерам с помощью следующей команды:
статус sudo ufw пронумерован
Теперь мы можем исключить правило, используя следующий синтаксис:
sudo ufw удалить #
Шаг 2
Второй вариант - удалить правило, используя реальное правило, например:
sudo ufw delete allow 22 / tcp
UFW Правила пробега
Будет возможно выполнить любую команду UFW без внесения каких-либо изменений в системный брандмауэр с использованием флага --dry-run, при этом будут отображены изменения, которые должны произойти:
sudo ufw - включить-выключить
9. Расширенные функции UFW
Некоторые из маршрутов, где UFW размещает свою конфигурацию с:
Там вы найдете основную конфигурацию для политик по умолчанию, поддержку IPv6 и модулей ядра
/ etc / default / ufw
Правила этих файлов рассчитываются перед правилами, которые добавляются с помощью команды UFW.
/etc/ufw/before[6].rules
Правила в этих файлах рассчитываются после правил, добавленных с помощью команды UFW.
/etc/ufw/after[6].rules
Относится к переменным, оптимизируемым в сети ядра.
/etc/ufw/sysctl.conf
Определите, включен ли UFW при запуске, и настройте LOGLEVEL
/etc/ufw/ufw.conf
UFW - это практичный и полный инструмент для управления сотнями значений безопасности в Ubuntu и Debian практичным и абсолютно простым способом.
СТАТЬИ