Állítsa be az Ubuntu tűzfalat (UFW) az Ubuntu 18.04-en

Telepítse az UFW-t

Az UFW alapértelmezés szerint telepítve van az Ubuntu 18.04-ben, de ezt ellenőrizheti:

which ufw

A következő kimenetet kell kapnia:

/usr/sbin/ufw

Ha nem kap kimenetet, az azt jelenti, hogy az UFW nincs telepítve. Ha ez a helyzet, akkor saját maga is telepítheti:

sudo apt-get install ufw

Kapcsolatok engedélyezése

Ha webszervert használ, azt szeretné, ha a világ hozzáférhetne a webhelye(i)hez. Ezért meg kell győződnie arról, hogy az alapértelmezett webes TCP-portok nyitva vannak.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Általában bármely szükséges portot engedélyezhet a következő formátum használatával:

sudo ufw allow <port>/<optional: protocol>

Kapcsolatok tagadása

Ha meg kell tagadnia egy bizonyos porthoz való hozzáférést, használja a következő denyparancsot:

sudo ufw deny <port>/<optional: protocol>

Például megtagadhatja az alapértelmezett MySQL-porthoz való hozzáférést:

sudo ufw deny 3306

Az UFW a leggyakoribb szolgáltatási portok egyszerűsített szintaxisát is támogatja:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Erősen ajánlott korlátozni az SSH-porthoz való hozzáférést (alapértelmezés szerint ez a port 22) bárhonnan, kivéve a megbízható IP-címeket.

Hozzáférés engedélyezése megbízható IP-címről

Általában csak a nyilvánosan nyitott portokhoz kell hozzáférést engedélyeznie, például a porthoz 80. Az összes többi porthoz való hozzáférést korlátozni vagy korlátozni kell. Otthoni vagy irodai IP-címét (lehetőleg statikus IP-címét) engedélyezőlistára helyezheti, hogy SSH-n vagy FTP-n keresztül hozzáférhessen a szerveréhez:

sudo ufw allow from 192.168.0.1 to any port 22

A MySQL porthoz való hozzáférést is engedélyezheti:

sudo ufw allow from 192.168.0.1 to any port 3306

Engedélyezze az UFW-t

Az UFW engedélyezése (vagy újraindítása) előtt meg kell győződnie arról, hogy az SSH-port fogadhat kapcsolatokat az Ön IP-címéről. Az UFW tűzfal elindításához/engedélyezéséhez használja a következő parancsot:

sudo ufw enable

A következő kimenetet fogja látni:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Nyomja Ymeg ENTERa gombot , majd a tűzfal engedélyezéséhez:

Firewall is active and enabled on system startup

Ellenőrizze az UFW állapotát

Nyomtassa ki az UFW-szabálylistát:

sudo ufw status

A következőhöz hasonló kimenetet fog látni:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

A verboseparaméter segítségével részletesebb állapotjelentést tekinthet meg:

sudo ufw status verbose

Ez a kimenet a következőhöz fog hasonlítani:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

UFW letiltása/újratöltése/újraindítása

Ha újra kell töltenie a tűzfalszabályokat, futtassa a következőket:

sudo ufw reload

Az UFW letiltásához vagy leállításához:

sudo ufw disable

Az UFW újraindításához először le kell tiltania, majd újra engedélyeznie kell:

sudo ufw disable
sudo ufw enable

Megjegyzés: Az UFW engedélyezése előtt győződjön meg arról, hogy az SSH-port engedélyezve van az IP-címéhez.

Szabályok eltávolítása

Az UFW-szabályok kezeléséhez listáznia kell azokat. Ezt az UFW állapotának ellenőrzésével teheti meg a következő paraméterrel numbered:

sudo ufw status numbered

A következőhöz hasonló kimenetet fog látni:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

A szabályok bármelyikének eltávolításához a következő számokat kell használnia a szögletes zárójelben:

sudo ufw delete [number]

A HTTPszabály ( 80) eltávolításához használja a következő parancsot:

sudo ufw delete 1

IPv6 támogatás engedélyezése

Ha IPv6-ot használ a VPS-en, gondoskodnia kell arról, hogy az IPv6-támogatás engedélyezve legyen az UFW-ben. Ehhez nyissa meg a konfigurációs fájlt egy szövegszerkesztőben:

sudo vi /etc/default/ufw

Megnyitás után győződjön meg arról, IPV6hogy „igen”-re van állítva:

IPV6=yes

A módosítás elvégzése után mentse el a fájlt. Ezután indítsa újra az UFW-t úgy, hogy letiltja, majd újra engedélyezi:

sudo ufw disable
sudo ufw enable

Vissza az alapértelmezett beállításokhoz

Ha vissza kell térnie az alapértelmezett beállításokhoz, egyszerűen írja be a következő parancsot. Ezzel visszaállítja az összes módosítást:

sudo ufw reset

Gratulálunk, most beállított néhány alapvető tűzfalszabályt. További példákért nézze meg az UFW - Community Help Wikit .