Πώς να ρυθμίσετε ένα τείχος προστασίας με το ufw στο debian 9

Το Debian περιλαμβάνει αρκετά πακέτα που παρέχουν εργαλεία για τη διαχείριση ενός τείχους προστασίας με το iptables που είναι εγκατεστημένο ως μέρος του βασικού συστήματος. Μπορεί να είναι περίπλοκο για τους αρχαρίους να μάθουν πώς να χρησιμοποιούν το εργαλείο iptables για τη σωστή διαμόρφωση και διαχείριση ενός τείχους προστασίας, αλλά το UFW το απλοποιεί.

Το UFW (Uncomplicated Firewall) είναι ένα φιλικό προς το χρήστη μέτωπο για τη διαχείριση των κανόνων του iptables τείχους προστασίας και ο κύριος στόχος του είναι να διευκολύνει τη διαχείριση του iptables ή όπως λέει το όνομα απλό.

Σε αυτό το σεμινάριο, θα σας δείξουμε πώς να ρυθμίσετε ένα τείχος προστασίας με το UFW στο Debian 9.

Προϋποθέσεις

Πριν συνεχίσετε με αυτό το σεμινάριο, βεβαιωθείτε ότι ο χρήστης που έχετε συνδεθεί έχει δικαιώματα sudo.

Εγκαταστήστε το UFW

Το UFW δεν είναι εγκατεστημένο από προεπιλογή στο Debian 9. Μπορείτε να εγκαταστήσετε το πακέτο ufw πληκτρολογώντας:

sudo apt install ufw

Ελέγξτε την κατάσταση UFW

Αφού ολοκληρωθεί η διαδικασία εγκατάστασης, μπορείτε να ελέγξετε την κατάσταση του UFW με την ακόλουθη εντολή:

sudo ufw status verbose

Η έξοδος θα μοιάζει με αυτό:

Status: inactive

Το UFW είναι απενεργοποιημένο από προεπιλογή. Η εγκατάσταση δεν θα ενεργοποιήσει αυτόματα το τείχος προστασίας για να αποφύγει ένα κλείδωμα από το διακομιστή.

Εάν είναι ενεργοποιημένο το UFW, η έξοδος θα μοιάζει με την ακόλουθη:

Πολιτικές προεπιλογής UFW

Από προεπιλογή, το UFW θα αποκλείσει όλες τις εισερχόμενες συνδέσεις και θα επιτρέψει όλες τις εξερχόμενες συνδέσεις. Αυτό σημαίνει ότι οποιοσδήποτε προσπαθεί να αποκτήσει πρόσβαση στον διακομιστή σας δεν θα μπορεί να συνδεθεί εκτός αν ανοίξετε ειδικά τη θύρα, ενώ όλες οι εφαρμογές και οι υπηρεσίες που εκτελούνται στον διακομιστή σας θα έχουν πρόσβαση στον εξωτερικό κόσμο.

Οι προεπιλεγμένες πολιτικές ορίζονται στο αρχείο /etc/default/ufw και μπορούν να τροποποιηθούν με την sudo ufw default εντολή.

Οι πολιτικές του τείχους προστασίας αποτελούν το θεμέλιο για τη δημιουργία λεπτομερέστερων και λεπτομερέστερων κανόνων. Στις περισσότερες περιπτώσεις, οι αρχικές πολιτικές προεπιλογής UFW είναι ένα καλό σημείο εκκίνησης.

Προφίλ εφαρμογών

Κατά την εγκατάσταση ενός πακέτου με apt , θα προσθέσει ένα προφίλ εφαρμογής στον κατάλογο /etc/ufw/applications.d που περιγράφει την υπηρεσία και περιέχει τις ρυθμίσεις UFW.

Για να ορίσετε όλα τα προφίλ εφαρμογών που είναι διαθέσιμα στον τύπο του συστήματός σας:

sudo ufw app list

Ανάλογα με τα πακέτα που είναι εγκατεστημένα στο σύστημά σας, η έξοδος θα μοιάζει με τα ακόλουθα:

Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…

Για να βρείτε περισσότερες πληροφορίες σχετικά με ένα συγκεκριμένο προφίλ και συμπεριλαμβανόμενους κανόνες, χρησιμοποιήστε την ακόλουθη εντολή:

sudo ufw app info OpenSSH

Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp

Η έξοδος παραπάνω μας λέει ότι το προφίλ OpenSSH ανοίγει τη θύρα 22 .

Αφήστε τις συνδέσεις SSH

Προτού ενεργοποιήσετε πρώτα το τείχος προστασίας UFW, πρέπει να επιτρέψουμε εισερχόμενες συνδέσεις SSH.

Εάν συνδέεστε στο διακομιστή σας από μια απομακρυσμένη τοποθεσία, η οποία σχεδόν πάντα συμβαίνει και ενεργοποιείτε το τείχος προστασίας UFW πριν επιτρέψετε ρητά τις εισερχόμενες συνδέσεις SSH, δεν θα είστε πλέον σε θέση να συνδεθείτε στο διακομιστή Debian.

Για να ρυθμίσετε το τείχος προστασίας UFW ώστε να επιτρέπονται εισερχόμενες συνδέσεις SSH, εκτελέστε την ακόλουθη εντολή:

sudo ufw allow OpenSSH

Rules updated Rules updated (v6)

Εάν ο διακομιστής SSH ακούει σε θύρα διαφορετική από την προεπιλεγμένη θύρα 22, θα πρέπει να ανοίξετε τη θύρα.

Για παράδειγμα, ο διακομιστής ssh σας ακούει στη θύρα 8822 , τότε μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή για να επιτρέψετε συνδέσεις σε αυτή τη θύρα:

sudo ufw allow 8822/tcp

Ενεργοποίηση UFW

Τώρα που το τείχος προστασίας UFW έχει ρυθμιστεί ώστε να επιτρέπει εισερχόμενες συνδέσεις SSH, μπορείτε να το ενεργοποιήσετε εκτελώντας:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

Θα ειδοποιηθείτε ότι η ενεργοποίηση του τείχους προστασίας μπορεί να διακόψει τις υπάρχουσες συνδέσεις ssh, απλώς πληκτρολογήστε y και πατήστε Enter .

Επιτρέψτε τις συνδέσεις σε άλλες θύρες

Ανάλογα με τις εφαρμογές που εκτελούνται στον διακομιστή σας και τις συγκεκριμένες ανάγκες σας, θα χρειαστεί επίσης να επιτρέψετε την εισερχόμενη πρόσβαση σε ορισμένες άλλες θύρες.

Παρακάτω παρατίθενται αρκετά παραδείγματα για τον τρόπο με τον οποίο επιτρέπονται οι εισερχόμενες συνδέσεις σε ορισμένες από τις πιο κοινές υπηρεσίες:

Άνοιγμα θύρας 80 - HTTP

Οι συνδέσεις HTTP μπορούν να επιτραπούν με την ακόλουθη εντολή:

sudo ufw allow

Αντί του προφίλ http , μπορείτε να χρησιμοποιήσετε τον αριθμό θύρας 80 :

sudo ufw allow 80/tcp

Άνοιγμα θύρας 443 - HTTPS

Οι συνδέσεις HTTP μπορούν να επιτραπούν με την ακόλουθη εντολή:

sudo ufw allow

Για να επιτευχθεί το ίδιο αντί για https μπορείτε να χρησιμοποιήσετε τον αριθμό θύρας, 443 :

sudo ufw allow 443/tcp

Ανοίξτε τη θύρα 8080

sudo ufw allow 8080/tcp

Να επιτρέπονται οι καταστάσεις των θυρών

Με το UFW μπορείτε επίσης να επιτρέψετε την πρόσβαση σε εύρος θυρών. Όταν επιτρέπετε τη χρήση σειρών θύρας με UFW, πρέπει να καθορίσετε το πρωτόκολλο είτε tcp είτε udp .

Για παράδειγμα, για να επιτρέψετε τις θύρες από 7100 έως 7200 στις δύο tcp και udp , εκτελέστε την ακόλουθη εντολή:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

Επιτρέψτε συγκεκριμένες διευθύνσεις IP

sudo ufw allow from 64.63.62.61

Επιτρέψτε συγκεκριμένες διευθύνσεις IP σε συγκεκριμένη θύρα

Για να επιτρέψετε την πρόσβαση σε μια συγκεκριμένη θύρα, ας υποθέσουμε ότι η θύρα 22 από το μηχάνημα εργασίας σας με τη διεύθυνση IP του 64.63.62.61 χρησιμοποιεί την ακόλουθη εντολή:

sudo ufw allow from 64.63.62.61 to any port 22

Επιτρέψτε τα υποδίκτυα

Η εντολή για να επιτρέπεται η σύνδεση σε ένα υποδίκτυο των διευθύνσεων IP είναι ίδια με τη χρήση μιας ενιαίας διεύθυνσης IP, η μόνη διαφορά είναι ότι πρέπει να καθορίσετε τη μάσκα δικτύου. Για παράδειγμα, εάν θέλετε να επιτρέψετε την πρόσβαση για διευθύνσεις IP που κυμαίνονται από 192.168.1.1 έως 192.168.1.254 στη θύρα 3360 (MySQL), μπορείτε να χρησιμοποιήσετε αυτήν την εντολή:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Επιτρέψτε τις συνδέσεις σε μια συγκεκριμένη διεπαφή δικτύου

Για να επιτρέψουμε την πρόσβαση σε μια συγκεκριμένη θύρα, ας πούμε ότι η θύρα 3360 μόνο σε συγκεκριμένη διεπαφή δικτύου eth2 , χρησιμοποιήστε την allow in on και το όνομα της διασύνδεσης δικτύου:

sudo ufw allow in on eth2 to any port 3306

Άρνηση συνδέσεων

Η προεπιλεγμένη πολιτική για όλες τις εισερχόμενες συνδέσεις έχει οριστεί να deny πράγμα που σημαίνει ότι το UFW θα αποκλείσει όλες τις εισερχόμενες συνδέσεις, εκτός εάν ανοίξετε συγκεκριμένα τη σύνδεση.

Ας υποθέσουμε ότι ανοίξατε τις θύρες 80 και 443 και ο διακομιστής σας είναι υπό επίθεση από το δίκτυο 23.24.25.0/24 . Για να απορρίψετε όλες τις συνδέσεις από το 23.24.25.0/24 , χρησιμοποιήστε την ακόλουθη εντολή:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

Οι κανόνες άρνησης γραφής είναι οι ίδιοι με τους κανόνες επιτρεπτών εγγράφων, χρειάζεται μόνο να αντικαταστήσετε την allow με την deny .

Διαγραφή κανόνων UFW

Υπάρχουν δύο διαφορετικοί τρόποι διαγραφής των κανόνων UFW, με τον αριθμό κανόνα και τον καθορισμό του πραγματικού κανόνα.

Η διαγραφή των κανόνων UFW από τον αριθμό κανόνα είναι ευκολότερη, ειδικά αν είστε νέοι στο UFW.

Για να διαγράψετε έναν κανόνα από έναν αριθμό κανόνα, πρέπει πρώτα να βρείτε τον αριθμό του κανόνα που θέλετε να διαγράψετε. Για να το εκτελέσετε ακολουθήστε την εξής εντολή:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

Για να διαγράψετε τον κανόνα 3, τον κανόνα που επιτρέπει τις συνδέσεις στη θύρα 8080, μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή:

sudo ufw delete 2

Η δεύτερη μέθοδος είναι να διαγράψετε έναν κανόνα καθορίζοντας τον πραγματικό κανόνα. Για παράδειγμα, εάν προσθέσατε έναν κανόνα για να ανοίξετε τη θύρα 8069 μπορείτε να τη διαγράψετε με:

sudo ufw delete allow 8069

Απενεργοποιήστε το UFW

Αν για οποιοδήποτε λόγο θέλετε να σταματήσετε το UFW και να απενεργοποιήσετε όλους τους κανόνες που εκτελούνται:

sudo ufw disable

Αργότερα, αν θέλετε να ενεργοποιήσετε ξανά το UTF και να ενεργοποιήσετε όλους τους κανόνες, απλά πληκτρολογήστε:

sudo ufw enable

Επαναφορά UFW

Η επαναφορά του UFW θα απενεργοποιήσει το UFW και θα διαγράψει όλους τους ενεργούς κανόνες. Αυτό είναι χρήσιμο εάν θέλετε να επαναφέρετε όλες τις αλλαγές σας και να ξεκινήσετε ξανά.

Για να επαναφέρετε το UFW απλά πληκτρολογήστε την ακόλουθη εντολή:

sudo ufw reset

συμπέρασμα

Έχετε μάθει πώς να εγκαταστήσετε και να ρυθμίσετε τις παραμέτρους του τείχους προστασίας UFW στο μηχάνημά σας Debian 9. Φροντίστε να επιτρέψετε όλες τις εισερχόμενες συνδέσεις που είναι απαραίτητες για την σωστή λειτουργία του συστήματός σας, περιορίζοντας παράλληλα όλες τις άσκοπες συνδέσεις.

ufw τείχος προστασίας iptables debian ασφάλεια