Konfigurirajte Ubuntu Firewall (UFW) na Ubuntu 18.04

Instalirajte UFW

UFW je instaliran prema zadanim postavkama u Ubuntu 18.04, ali ovo možete provjeriti:

which ufw

Trebali biste dobiti sljedeći izlaz:

/usr/sbin/ufw

Ako ne primite izlaz, to znači da UFW nije instaliran. Možete ga sami instalirati ako je to slučaj:

sudo apt-get install ufw

Dopusti veze

Ako koristite web poslužitelj, želite da svijet može pristupiti vašim web stranicama. Stoga morate biti sigurni da su zadani TCP portovi za web otvoreni.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Općenito, možete dopustiti bilo koji priključak koji vam je potreban korištenjem sljedećeg formata:

sudo ufw allow <port>/<optional: protocol>

Zabranite veze

Ako trebate zabraniti pristup određenom portu, koristite denynaredbu:

sudo ufw deny <port>/<optional: protocol>

Na primjer, možete odbiti pristup svom zadanom MySQL portu:

sudo ufw deny 3306

UFW također podržava pojednostavljenu sintaksu za najčešće uslužne portove:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Preporučljivo je da ograničite pristup svom SSH portu (prema zadanim postavkama, ovo je port 22) s bilo kojeg mjesta osim s pouzdanih IP adresa.

Dopustite pristup s pouzdane IP adrese

Obično biste trebali dopustiti pristup samo javno otvorenim portovima, kao što je port 80. Pristup svim ostalim priključcima trebao bi biti ograničen ili ograničen. Možete staviti svoju kućnu ili uredsku IP adresu na bijelu listu (po mogućnosti statičnu IP adresu) da biste mogli pristupiti svom poslužitelju putem SSH ili FTP-a:

sudo ufw allow from 192.168.0.1 to any port 22

Također možete dopustiti pristup MySQL portu:

sudo ufw allow from 192.168.0.1 to any port 3306

Omogućite UFW

Prije nego što omogućite (ili ponovno pokrenete) UFW, morate biti sigurni da je SSH portu dopušteno primanje veza s vaše IP adrese. Da biste pokrenuli/omogućili svoj UFW vatrozid, koristite sljedeću naredbu:

sudo ufw enable

Vidjet ćete sljedeći izlaz:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Pritisnite Y, a zatim pritisnite ENTERda biste omogućili vatrozid:

Firewall is active and enabled on system startup

Provjerite status UFW

Ispišite popis UFW pravila:

sudo ufw status

Vidjet ćete izlaz sličan sljedećem:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Upotrijebite verboseparametar da vidite detaljnije izvješće o statusu:

sudo ufw status verbose

Taj će izlaz izgledati sljedeće:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Onemogućite/ponovno učitajte/ponovno pokrenite UFW

Ako trebate ponovno učitati pravila vatrozida, pokrenite sljedeće:

sudo ufw reload

Da biste onemogućili ili zaustavili UFW:

sudo ufw disable

Da biste ponovno pokrenuli UFW, morat ćete ga prvo onemogućiti, a zatim ponovno omogućiti:

sudo ufw disable
sudo ufw enable

Napomena: Prije nego što omogućite UFW, provjerite je li SSH port dopušten za vašu IP adresu.

Uklanjanje pravila

Da biste upravljali svojim UFW pravilima, morate ih navesti. To možete učiniti provjerom UFW statusa s parametrom numbered:

sudo ufw status numbered

Vidjet ćete izlaz sličan sljedećem:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Sada, da biste uklonili bilo koje od ovih pravila, morat ćete koristiti ove brojeve u uglatim zagradama:

sudo ufw delete [number]

Da biste uklonili HTTPpravilo, ( 80), upotrijebite sljedeću naredbu:

sudo ufw delete 1

Omogućavanje podrške za IPv6

Ako koristite IPv6 na svom VPS-u, morate osigurati da je podrška za IPv6 omogućena u UFW. Da biste to učinili, otvorite konfiguracijsku datoteku u uređivaču teksta:

sudo vi /etc/default/ufw

Nakon otvaranja, provjerite je li IPV6postavljeno na "da":

IPV6=yes

Nakon što izvršite ovu promjenu, spremite datoteku. Zatim ponovno pokrenite UFW tako da ga onemogućite i ponovno omogućite:

sudo ufw disable
sudo ufw enable

Povratak na zadane postavke

Ako se trebate vratiti na zadane postavke, jednostavno upišite sljedeću naredbu. Ovo će poništiti sve vaše promjene:

sudo ufw reset

Čestitamo, upravo ste postavili neka osnovna pravila vatrozida. Da biste saznali još nekoliko primjera, pogledajte UFW - Wiki za pomoć zajednici .