Конфигурирайте защитната стена на Ubuntu (UFW) на Ubuntu 18.04

Инсталирайте UFW

UFW е инсталиран по подразбиране в Ubuntu 18.04, но можете да проверите това:

which ufw

Трябва да получите следния изход:

/usr/sbin/ufw

Ако не получите изход, това означава, че UFW не е инсталиран. Можете да го инсталирате сами, ако това е така:

sudo apt-get install ufw

Разрешаване на връзки

Ако използвате уеб сървър, искате светът да има достъп до вашия уебсайт(и). Следователно трябва да се уверите, че TCP портовете по подразбиране за уеб са отворени.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Като цяло можете да разрешите всеки порт, от който се нуждаете, като използвате следния формат:

sudo ufw allow <port>/<optional: protocol>

Отказване на връзки

Ако трябва да откажете достъп до определен порт, използвайте denyкомандата:

sudo ufw deny <port>/<optional: protocol>

Например, можете да откажете достъп до вашия MySQL порт по подразбиране:

sudo ufw deny 3306

UFW също така поддържа опростен синтаксис за най-често срещаните портове за услуги:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Силно препоръчително е да ограничите достъпа до вашия SSH порт (по подразбиране това е порт 22) отвсякъде, освен вашите доверени IP адреси.

Разрешете достъп от доверен IP адрес

Обикновено ще трябва да разрешите достъп само до публично отворени портове, като порт 80. Достъпът до всички други портове трябва да бъде ограничен или ограничен. Можете да включите в белия списък вашия домашен или офис IP адрес (за предпочитане статичен IP), за да имате достъп до сървъра си чрез SSH или FTP:

sudo ufw allow from 192.168.0.1 to any port 22

Можете също да разрешите достъп до порта MySQL:

sudo ufw allow from 192.168.0.1 to any port 3306

Активирайте UFW

Преди да активирате (или рестартирате) UFW, трябва да се уверите, че SSH портът е разрешен да получава връзки от вашия IP адрес. За да стартирате/активирате вашата UFW защитна стена, използвайте следната команда:

sudo ufw enable

Ще видите следния изход:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Натиснете Y, след което натиснете, за ENTERда активирате защитната стена:

Firewall is active and enabled on system startup

Проверете състоянието на UFW

Отпечатайте списъка с правила за UFW:

sudo ufw status

Ще видите изход, подобен на следния:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Използвайте verboseпараметъра, за да видите по-подробен отчет за състоянието:

sudo ufw status verbose

Този изход ще прилича на следното:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Деактивирайте/презаредете/рестартирайте UFW

Ако трябва да презаредите правилата на защитната стена, изпълнете следното:

sudo ufw reload

За да деактивирате или спрете UFW:

sudo ufw disable

За да рестартирате UFW, първо ще трябва да го деактивирате и след това да го активирате отново:

sudo ufw disable
sudo ufw enable

Забележка: Преди да активирате UFW, уверете се, че SSH портът е разрешен за вашия IP адрес.

Премахване на правила

За да управлявате вашите UFW правила, трябва да ги изброите. Можете да направите това, като проверите състоянието на UFW с параметъра numbered:

sudo ufw status numbered

Ще видите изход, подобен на следния:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Сега, за да премахнете някое от тези правила, ще трябва да използвате тези числа в квадратните скоби:

sudo ufw delete [number]

За да премахнете HTTPправилото ( 80), използвайте следната команда:

sudo ufw delete 1

Активиране на поддръжка на IPv6

Ако използвате IPv6 на вашия VPS, трябва да се уверите, че поддръжката на IPv6 е активирана в UFW. За да направите това, отворете конфигурационния файл в текстов редактор:

sudo vi /etc/default/ufw

След като отворите, уверете се, че IPV6е зададено на "да":

IPV6=yes

След като направите тази промяна, запазете файла. След това рестартирайте UFW, като го деактивирате и активирате отново:

sudo ufw disable
sudo ufw enable

Обратно към настройките по подразбиране

Ако трябва да се върнете към настройките по подразбиране, просто въведете следната команда. Това ще върне всяка от вашите промени:

sudo ufw reset

Поздравления, току-що настроихте някои основни правила за защитната стена. За да научите още няколко примера, вижте UFW - Community Help Wiki .