Määritä Ubuntu Firewall (UFW) Ubuntu 18.04:ssä

Asenna UFW

UFW on oletusarvoisesti asennettu Ubuntu 18.04:ään, mutta voit tarkistaa tämän:

which ufw

Sinun pitäisi saada seuraava tulos:

/usr/sbin/ufw

Jos et saa lähtöä, se tarkoittaa, että UFW:tä ei ole asennettu. Voit asentaa sen itse, jos näin on:

sudo apt-get install ufw

Salli yhteydet

Jos käytät verkkopalvelinta, haluat maailman pääsevän verkkosivustoillesi. Siksi sinun on varmistettava, että Webin oletus-TCP-portit ovat auki.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Yleensä voit sallia minkä tahansa tarvitsemasi portin käyttämällä seuraavaa muotoa:

sudo ufw allow <port>/<optional: protocol>

Estä yhteydet

Jos sinun on evättävä pääsy tiettyyn porttiin, käytä denykomentoa:

sudo ufw deny <port>/<optional: protocol>

Voit esimerkiksi estää pääsyn MySQL-oletusporttiin:

sudo ufw deny 3306

UFW tukee myös yksinkertaistettua syntaksia yleisimmille palveluporteille:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

On erittäin suositeltavaa rajoittaa pääsyä SSH-porttiin (oletuksena tämä on portti 22) mistä tahansa paitsi luotetuista IP-osoitteistasi.

Salli pääsy luotetusta IP-osoitteesta

Yleensä sinun on sallittava pääsy vain julkisesti avoimiin portteihin, kuten portti 80. Pääsyä kaikkiin muihin portteihin tulisi rajoittaa tai rajoittaa. Voit lisätä kotisi tai toimistosi IP-osoitteesi sallittujen luetteloon (mieluiten staattisen IP-osoitteen), jotta voit käyttää palvelintasi SSH:n tai FTP:n kautta:

sudo ufw allow from 192.168.0.1 to any port 22

Voit myös sallia pääsyn MySQL-porttiin:

sudo ufw allow from 192.168.0.1 to any port 3306

Ota UFW käyttöön

Ennen kuin otat UFW:n käyttöön (tai käynnistät sen uudelleen), sinun on varmistettava, että SSH-portti saa vastaanottaa yhteyksiä IP-osoitteestasi. Käynnistä/ota UFW-palomuurisi käyttöön käyttämällä seuraavaa komentoa:

sudo ufw enable

Näet seuraavan tulosteen:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Paina Yja ENTERota sitten palomuuri käyttöön painamalla :

Firewall is active and enabled on system startup

Tarkista UFW-tila

Tulosta UFW-sääntöluettelo:

sudo ufw status

Näet seuraavan kaltaisen tulosteen:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Käytä verboseparametria nähdäksesi yksityiskohtaisemman tilaraportin:

sudo ufw status verbose

Tuo tulos muistuttaa seuraavaa:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Poista UFW käytöstä / lataa uudelleen / käynnistä uudelleen

Jos sinun on ladattava palomuurisäännöt uudelleen, suorita seuraava:

sudo ufw reload

UFW:n poistaminen käytöstä tai pysäyttäminen:

sudo ufw disable

UFW:n käynnistämiseksi uudelleen sinun on ensin poistettava se käytöstä ja otettava se sitten uudelleen käyttöön:

sudo ufw disable
sudo ufw enable

Huomautus: Ennen kuin otat UFW :n käyttöön, varmista, että SSH-portti on sallittu IP-osoitteellesi.

Sääntöjen poistaminen

Jotta voit hallita UFW-sääntöjäsi, sinun on lueteltava ne. Voit tehdä sen tarkistamalla UFW-tilan parametrilla numbered:

sudo ufw status numbered

Näet seuraavan kaltaisen tulosteen:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Jos haluat poistaa jonkin näistä säännöistä, sinun on käytettävä näitä numeroita hakasulkeissa:

sudo ufw delete [number]

Voit poistaa HTTPsäännön ( 80) käyttämällä seuraavaa komentoa:

sudo ufw delete 1

IPv6-tuen käyttöönotto

Jos käytät IPv6:ta VPS:ssäsi, sinun on varmistettava, että IPv6-tuki on käytössä UFW:ssä. Voit tehdä tämän avaamalla asetustiedoston tekstieditorissa:

sudo vi /etc/default/ufw

Kun olet avannut, varmista, että se IPV6on "kyllä":

IPV6=yes

Kun olet tehnyt tämän muutoksen, tallenna tiedosto. Käynnistä sitten UFW uudelleen poistamalla se käytöstä ja ottamalla se uudelleen käyttöön:

sudo ufw disable
sudo ufw enable

Takaisin oletusasetuksiin

Jos sinun on palattava oletusasetuksiin, kirjoita vain seuraava komento. Tämä palauttaa kaikki tekemäsi muutokset:

sudo ufw reset

Onnittelut, olet juuri määrittänyt peruspalomuurisäännöt. Jos haluat oppia lisää esimerkkejä, katso UFW - Community Help Wiki .