Πώς να ρυθμίσετε ένα τείχος προστασίας με το ufw στο ubuntu 18.04

Ένα σωστά ρυθμισμένο τείχος προστασίας είναι μία από τις πιο σημαντικές πτυχές της συνολικής ασφάλειας του συστήματος. Από προεπιλογή, το Ubuntu έρχεται με ένα εργαλείο διαμόρφωσης τείχους προστασίας που ονομάζεται UFW (Uncomplicated Firewall). Το UFW είναι ένα φιλικό προς το χρήστη μέτωπο για τη διαχείριση των κανόνων firewall του iptables και ο κύριος στόχος του είναι να διευκολύνει τη διαχείριση του iptables ή όπως λέει το όνομα απλό.

Προϋποθέσεις

Πριν ξεκινήσετε με αυτό το σεμινάριο, βεβαιωθείτε ότι είστε συνδεδεμένοι στο διακομιστή σας με ένα λογαριασμό χρήστη με δικαιώματα sudo ή με τον χρήστη root. Η καλύτερη πρακτική είναι να εκτελεστούν οι διοικητικές εντολές ως χρήστης sudo αντί για root. Αν δεν έχετε χρήστη του sudo στο σύστημα Ubuntu, μπορείτε να δημιουργήσετε ένα ακολουθώντας αυτές τις οδηγίες.

Εγκαταστήστε το UFW

Το απλό τείχος προστασίας θα πρέπει να εγκατασταθεί από προεπιλογή στο Ubuntu 18.04, αλλά εάν δεν είναι εγκατεστημένο στο σύστημά σας, μπορείτε να εγκαταστήσετε το πακέτο πληκτρολογώντας:

sudo apt install ufw

Ελέγξτε την κατάσταση UFW

Μόλις ολοκληρωθεί η εγκατάσταση, μπορείτε να ελέγξετε την κατάσταση του UFW με την ακόλουθη εντολή:

sudo ufw status verbose

Το UFW είναι απενεργοποιημένο από προεπιλογή. Εάν ποτέ δεν ενεργοποιήσατε το UFW πριν, η έξοδος θα φαίνεται ως εξής:

Status: inactive

Εάν είναι ενεργοποιημένο το UFW, η έξοδος θα μοιάζει με την ακόλουθη:

Πολιτικές προεπιλογής UFW

Από προεπιλογή, το UFW θα αποκλείσει όλες τις εισερχόμενες συνδέσεις και θα επιτρέψει όλες τις εξερχόμενες συνδέσεις. Αυτό σημαίνει ότι οποιοσδήποτε προσπαθεί να αποκτήσει πρόσβαση στον διακομιστή σας δεν θα μπορεί να συνδεθεί εκτός αν ανοίξετε ειδικά τη θύρα, ενώ όλες οι εφαρμογές και οι υπηρεσίες που εκτελούνται στον διακομιστή σας θα έχουν πρόσβαση στον εξωτερικό κόσμο.

Οι προεπιλεγμένες πολιτικές ορίζονται στο αρχείο /etc/default/ufw και μπορούν να τροποποιηθούν με την sudo ufw default εντολή.

Οι πολιτικές του τείχους προστασίας αποτελούν το θεμέλιο για τη δημιουργία λεπτομερέστερων και λεπτομερέστερων κανόνων. Στις περισσότερες περιπτώσεις, οι αρχικές πολιτικές προεπιλογής UFW είναι ένα καλό σημείο εκκίνησης.

Προφίλ εφαρμογών

Κατά την εγκατάσταση ενός πακέτου με την εντολή apt , θα προστεθεί ένα προφίλ εφαρμογής στον κατάλογο /etc/ufw/applications.d . Το προφίλ περιγράφει την υπηρεσία και περιέχει τις ρυθμίσεις UFW.

Μπορείτε να ορίσετε όλα τα προφίλ εφαρμογών που είναι διαθέσιμα στο διακομιστή σας πληκτρολογώντας:

sudo ufw app list

Ανάλογα με τα πακέτα που είναι εγκατεστημένα στο σύστημά σας, η έξοδος θα μοιάζει με τα ακόλουθα:

Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission

Για να βρείτε περισσότερες πληροφορίες σχετικά με ένα συγκεκριμένο προφίλ και συμπεριλαμβανόμενους κανόνες, χρησιμοποιήστε την ακόλουθη εντολή:

sudo ufw app info 'Nginx Full'

Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp

Όπως μπορείτε να δείτε από την έξοδο πάνω από το προφίλ 'Nginx Full', ανοίγει η θύρα 80 και 443 .

Αφήστε τις συνδέσεις SSH

Πριν ενεργοποιήσουμε το τείχος προστασίας UFW, πρέπει να προσθέσουμε έναν κανόνα που θα επιτρέπει τις εισερχόμενες συνδέσεις SSH. Εάν συνδέεστε στο διακομιστή σας από μια απομακρυσμένη τοποθεσία, η οποία σχεδόν πάντα συμβαίνει και ενεργοποιείτε το τείχος προστασίας UFW πριν επιτρέψετε ρητά τις εισερχόμενες συνδέσεις SSH, δεν θα είστε πλέον σε θέση να συνδεθείτε με το διακομιστή Ubuntu.

Για να ρυθμίσετε το τείχος προστασίας UFW ώστε να επιτρέπονται εισερχόμενες συνδέσεις SSH, πληκτρολογήστε την ακόλουθη εντολή:

sudo ufw allow ssh

Rules updated Rules updated (v6)

Αν αλλάξατε τη θύρα SSH σε μια προσαρμοσμένη θύρα αντί της θύρας 22, θα πρέπει να ανοίξετε τη θύρα.

Για παράδειγμα, αν ο δαίμονας ssh ακούει στη θύρα 4422 , τότε μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή για να επιτρέψετε συνδέσεις σε αυτή τη θύρα:

sudo ufw allow 4422/tcp

Ενεργοποίηση UFW

Τώρα που το τείχος προστασίας UFW έχει ρυθμιστεί ώστε να επιτρέπει τις εισερχόμενες συνδέσεις SSH, μπορούμε να το ενεργοποιήσουμε πληκτρολογώντας:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

Θα ειδοποιηθείτε ότι η ενεργοποίηση του τείχους προστασίας μπορεί να διακόψει τις υπάρχουσες συνδέσεις ssh, απλώς πληκτρολογήστε y και πατήστε Enter .

Επιτρέψτε τις συνδέσεις σε άλλες θύρες

Ανάλογα με τις εφαρμογές που εκτελούνται στον διακομιστή σας και τις συγκεκριμένες ανάγκες σας, θα χρειαστεί επίσης να επιτρέψετε την εισερχόμενη πρόσβαση σε ορισμένες άλλες θύρες.

Παρακάτω θα σας δείξουμε μερικά παραδείγματα για το πώς θα επιτρέψετε τις εισερχόμενες συνδέσεις σε ορισμένες από τις πιο κοινές υπηρεσίες:

Άνοιγμα θύρας 80 - HTTP

Οι συνδέσεις HTTP μπορούν να επιτραπούν με την ακόλουθη εντολή:

sudo ufw allow

αντί για http μπορείτε να χρησιμοποιήσετε τον αριθμό θύρας, 80:

sudo ufw allow 80/tcp

ή μπορείτε να χρησιμοποιήσετε το προφίλ εφαρμογής, στην περίπτωση αυτή, το 'Nginx

sudo ufw allow 'Nginx

Άνοιγμα θύρας 443 - HTTPS

Οι συνδέσεις HTTP μπορούν να επιτραπούν με την ακόλουθη εντολή:

sudo ufw allow

Για να επιτευχθεί το ίδιο αντί για https προφίλ, μπορείτε να χρησιμοποιήσετε τον αριθμό θύρας, 443 :

sudo ufw allow 443/tcp

ή μπορείτε να χρησιμοποιήσετε το προφίλ εφαρμογής, 'Nginx

sudo ufw allow 'Nginx

Ανοίξτε τη θύρα 8080

sudo ufw allow 8080/tcp

Να επιτρέπονται οι καταστάσεις των θυρών

Αντί να επιτρέπουμε την πρόσβαση σε μοναδικές θύρες, το UFW μας επιτρέπει να επιτρέπουμε την πρόσβαση σε εύρος θυρών. Όταν επιτρέπετε τη χρήση σειρών θύρας με UFW, πρέπει να καθορίσετε το πρωτόκολλο είτε tcp είτε udp . Για παράδειγμα, εάν θέλετε να επιτρέψετε θύρες από 7100 έως 7200 στις δύο tcp και udp , εκτελέστε την ακόλουθη εντολή:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

Επιτρέψτε συγκεκριμένες διευθύνσεις IP

Για να επιτρέψετε την πρόσβαση σε όλες τις θύρες από το οικιακό σας μηχάνημα με τη διεύθυνση IP του 64.63.62.61, καθορίστε from ακολουθούμενη από τη διεύθυνση IP που θέλετε να καταχωρίσετε στο whitelist:

sudo ufw allow from 64.63.62.61

Επιτρέψτε συγκεκριμένες διευθύνσεις IP σε συγκεκριμένη θύρα

Για να επιτρέψουμε την πρόσβαση σε μια συγκεκριμένη θύρα, ας υποθέσουμε ότι η θύρα 22 από το μηχάνημα εργασίας σας με διεύθυνση IP 64.63.62.61, χρησιμοποιήστε to any port ακολουθεί ο αριθμός θύρας:

sudo ufw allow from 64.63.62.61 to any port 22

Επιτρέψτε τα υποδίκτυα

Η εντολή για να επιτρέπεται η σύνδεση σε ένα υποδίκτυο των διευθύνσεων IP είναι ίδια με τη χρήση μιας ενιαίας διεύθυνσης IP, η μόνη διαφορά είναι ότι πρέπει να καθορίσετε τη μάσκα δικτύου. Για παράδειγμα, εάν θέλετε να επιτρέψετε την πρόσβαση για διευθύνσεις IP που κυμαίνονται από 192.168.1.1 έως 192.168.1.254 στη θύρα 3360 (MySQL), μπορείτε να χρησιμοποιήσετε αυτήν την εντολή:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Επιτρέψτε τις συνδέσεις σε μια συγκεκριμένη διεπαφή δικτύου

Για να επιτρέψουμε την πρόσβαση σε μια συγκεκριμένη θύρα, ας πούμε ότι η θύρα 3360 μόνο σε συγκεκριμένη διεπαφή δικτύου eth2 , τότε θα πρέπει να καθορίσετε την allow in on και το όνομα της διασύνδεσης δικτύου:

sudo ufw allow in on eth2 to any port 3306

Άρνηση συνδέσεων

Η προεπιλεγμένη πολιτική για όλες τις εισερχόμενες συνδέσεις έχει οριστεί να deny και, εάν δεν την έχετε αλλάξει, το UFW θα αποκλείσει όλες τις εισερχόμενες συνδέσεις, εκτός εάν ανοίξετε συγκεκριμένα τη σύνδεση.

Ας υποθέσουμε ότι ανοίξατε τις θύρες 80 και 443 και ο διακομιστής σας είναι υπό επίθεση από το δίκτυο 23.24.25.0/24 . Για να απορρίψετε όλες τις συνδέσεις από το 23.24.25.0/24 μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

Οι κανόνες άρνησης γραφής είναι οι ίδιοι με τους κανόνες επιτρεπτών εγγράφων, χρειάζεται μόνο να αντικαταστήσετε την allow με την deny .

Διαγραφή κανόνων UFW

Υπάρχουν δύο διαφορετικοί τρόποι διαγραφής των κανόνων UFW, με τον αριθμό κανόνα και τον καθορισμό του πραγματικού κανόνα.

Η διαγραφή των κανόνων UFW από τον αριθμό κανόνα είναι ευκολότερη, ειδικά αν είστε νέοι στο UFW. Για να διαγράψετε έναν κανόνα από έναν αριθμό κανόνα πρώτα θα πρέπει να βρείτε τον αριθμό του κανόνα που θέλετε να διαγράψετε, μπορείτε να το κάνετε με την ακόλουθη εντολή:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

Για να διαγράψετε τον κανόνα 3, τον κανόνα που επιτρέπει τις συνδέσεις στη θύρα 8080, χρησιμοποιήστε την ακόλουθη εντολή:

sudo ufw delete 3

Η δεύτερη μέθοδος είναι να διαγράψετε έναν κανόνα καθορίζοντας τον πραγματικό κανόνα, για παράδειγμα αν έχετε προσθέσει έναν κανόνα για να ανοίξετε τη θύρα 8069 μπορείτε να τον διαγράψετε με:

sudo ufw delete allow 8069

Απενεργοποιήστε το UFW

Αν για οποιοδήποτε λόγο θέλετε να σταματήσετε το UFW και να απενεργοποιήσετε όλους τους κανόνες που μπορείτε να χρησιμοποιήσετε:

sudo ufw disable

Αργότερα, αν θέλετε να ενεργοποιήσετε ξανά το UTF και να ενεργοποιήσετε όλους τους κανόνες, απλά πληκτρολογήστε:

sudo ufw enable

Επαναφορά UFW

Η επαναφορά του UFW θα απενεργοποιήσει το UFW και θα διαγράψει όλους τους ενεργούς κανόνες. Αυτό είναι χρήσιμο εάν θέλετε να επαναφέρετε όλες τις αλλαγές σας και να ξεκινήσετε ξανά.

Για να επαναφέρετε το UFW απλά πληκτρολογήστε την ακόλουθη εντολή:

sudo ufw reset

συμπέρασμα

Έχετε μάθει πώς να εγκαταστήσετε και να ρυθμίσετε το τείχος προστασίας UFW στο διακομιστή Ubuntu 18.04. Φροντίστε να επιτρέψετε όλες τις εισερχόμενες συνδέσεις που είναι απαραίτητες για την σωστή λειτουργία του συστήματός σας, περιορίζοντας παράλληλα όλες τις άσκοπες συνδέσεις.

ufw τείχος προστασίας iptables ubuntu ασφάλεια