Sukonfigūruokite Ubuntu ugniasienę (UFW) Ubuntu 18.04 versijoje

Įdiekite UFW

UFW yra įdiegtas pagal numatytuosius nustatymus Ubuntu 18.04 versijoje, tačiau galite tai patikrinti:

which ufw

Turėtumėte gauti šią išvestį:

/usr/sbin/ufw

Jei negaunate išvesties, tai reiškia, kad UFW neįdiegtas. Jei taip yra, galite jį įdiegti patys:

sudo apt-get install ufw

Leisti jungtis

Jei naudojate žiniatinklio serverį, norite, kad pasaulis galėtų pasiekti jūsų svetainę (-es). Todėl turite įsitikinti, kad numatytieji žiniatinklio TCP prievadai yra atidaryti.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Apskritai galite leisti bet kurį reikalingą prievadą naudodami šį formatą:

sudo ufw allow <port>/<optional: protocol>

Neigti ryšius

Jei jums reikia uždrausti prieigą prie tam tikro prievado, naudokite denykomandą:

sudo ufw deny <port>/<optional: protocol>

Pavyzdžiui, galite uždrausti prieigą prie numatytojo MySQL prievado:

sudo ufw deny 3306

UFW taip pat palaiko supaprastintą sintaksę dažniausiai naudojamiems paslaugų prievadams:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Labai rekomenduojama apriboti prieigą prie SSH prievado (pagal numatytuosius nustatymus tai yra prievadas 22) iš bet kurios vietos, išskyrus patikimus IP adresus.

Leisti pasiekti iš patikimo IP adreso

Paprastai jums reikės leisti prieigą tik prie viešai atidarytų prievadų, pvz., prievado 80. Prieiga prie visų kitų prievadų turėtų būti apribota arba apribota. Galite įtraukti savo namų ar biuro IP adresą į baltąjį sąrašą (geriausia statinį IP), kad galėtumėte pasiekti serverį per SSH arba FTP:

sudo ufw allow from 192.168.0.1 to any port 22

Taip pat galite leisti prieigą prie MySQL prievado:

sudo ufw allow from 192.168.0.1 to any port 3306

Įgalinti UFW

Prieš įjungdami (arba iš naujo paleisdami) UFW, turite įsitikinti, kad SSH prievadui leidžiama priimti ryšius iš jūsų IP adreso. Norėdami paleisti / įjungti UFW užkardą, naudokite šią komandą:

sudo ufw enable

Pamatysite šią išvestį:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Paspauskite Y, tada paspauskite , ENTERkad įjungtumėte ugniasienę:

Firewall is active and enabled on system startup

Patikrinkite UFW būseną

Atspausdinkite UFW taisyklių sąrašą:

sudo ufw status

Pamatysite išvestį, panašią į toliau pateiktą:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Norėdami verbosepamatyti išsamesnę būsenos ataskaitą, naudokite parametrą:

sudo ufw status verbose

Ši išvestis bus panaši į:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Išjungti / iš naujo įkelti / iš naujo paleisti UFW

Jei reikia iš naujo įkelti ugniasienės taisykles, atlikite šiuos veiksmus:

sudo ufw reload

Norėdami išjungti arba sustabdyti UFW:

sudo ufw disable

Norėdami iš naujo paleisti UFW, pirmiausia turėsite jį išjungti, o tada vėl įjungti:

sudo ufw disable
sudo ufw enable

Pastaba: prieš įjungdami UFW įsitikinkite, kad SSH prievadas leidžiamas jūsų IP adresui.

Taisyklių pašalinimas

Norėdami tvarkyti savo UFW taisykles, turite jas išvardyti. Tai galite padaryti patikrinę UFW būseną naudodami parametrą numbered:

sudo ufw status numbered

Pamatysite išvestį, panašią į toliau pateiktą:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Dabar, norėdami pašalinti bet kurią iš šių taisyklių, laužtiniuose skliaustuose turėsite naudoti šiuos skaičius:

sudo ufw delete [number]

Norėdami pašalinti HTTPtaisyklę, ( 80), naudokite šią komandą:

sudo ufw delete 1

Įgalinamas IPv6 palaikymas

Jei savo VPS naudojate IPv6, turite užtikrinti, kad UFW įjungtas IPv6 palaikymas. Norėdami tai padaryti, atidarykite konfigūracijos failą teksto rengyklėje:

sudo vi /etc/default/ufw

Atidarę įsitikinkite, kad IPV6nustatyta „taip“:

IPV6=yes

Atlikę šį pakeitimą išsaugokite failą. Tada iš naujo paleiskite UFW išjungdami ir vėl įjungdami:

sudo ufw disable
sudo ufw enable

Grįžti į numatytuosius nustatymus

Jei reikia grįžti į numatytuosius nustatymus, tiesiog įveskite šią komandą. Tai atšauks visus jūsų pakeitimus:

sudo ufw reset

Sveikiname, ką tik nustatėte keletą pagrindinių ugniasienės taisyklių. Norėdami sužinoti daugiau pavyzdžių, peržiūrėkite UFW bendruomenės pagalbos Wiki .