Konfigurējiet Ubuntu ugunsmūri (UFW) Ubuntu 18.04

Instalējiet UFW

UFW ir instalēts pēc noklusējuma Ubuntu 18.04, taču varat to pārbaudīt:

which ufw

Jums vajadzētu saņemt šādu izvadi:

/usr/sbin/ufw

Ja nesaņemat izvadi, tas nozīmē, ka UFW nav instalēts. Ja tā ir, varat to instalēt pats:

sudo apt-get install ufw

Atļaut savienojumus

Ja izmantojat tīmekļa serveri, vēlaties, lai pasaule varētu piekļūt jūsu vietnei(-ēm). Tāpēc jums ir jāpārliecinās, vai ir atvērti noklusējuma TCP porti tīmeklim.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Kopumā varat atļaut jebkuru nepieciešamo portu, izmantojot šādu formātu:

sudo ufw allow <port>/<optional: protocol>

Noliegt savienojumus

Ja jums ir nepieciešams liegt piekļuvi noteiktam portam, izmantojiet denykomandu:

sudo ufw deny <port>/<optional: protocol>

Piemēram, varat liegt piekļuvi savam noklusējuma MySQL portam:

sudo ufw deny 3306

UFW atbalsta arī vienkāršotu sintaksi visizplatītākajiem pakalpojumu portiem:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Ir ļoti ieteicams ierobežot piekļuvi savam SSH portam (pēc noklusējuma tas ir ports 22) no jebkuras vietas, izņemot jūsu uzticamās IP adreses.

Atļaut piekļuvi no uzticamas IP adreses

Parasti jums ir jāatļauj piekļuve tikai publiski atvērtiem portiem, piemēram, portam 80. Piekļuve visām pārējām ostām ir jāierobežo vai jāierobežo. Varat iekļaut baltajā sarakstā savu mājas vai biroja IP adresi (vēlams statisku IP), lai varētu piekļūt savam serverim, izmantojot SSH vai FTP:

sudo ufw allow from 192.168.0.1 to any port 22

Varat arī atļaut piekļuvi MySQL portam:

sudo ufw allow from 192.168.0.1 to any port 3306

Iespējot UFW

Pirms UFW iespējošanas (vai restartēšanas), jums ir jāpārliecinās, vai SSH portam ir atļauts saņemt savienojumus no jūsu IP adreses. Lai palaistu/iespētu UFW ugunsmūri, izmantojiet šo komandu:

sudo ufw enable

Jūs redzēsit šādu izvadi:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Nospiediet Yun pēc tam nospiediet, ENTERlai iespējotu ugunsmūri:

Firewall is active and enabled on system startup

Pārbaudiet UFW statusu

Drukājiet UFW noteikumu sarakstu:

sudo ufw status

Jūs redzēsit līdzīgu izvadi:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Izmantojiet verboseparametru, lai skatītu detalizētāku statusa pārskatu:

sudo ufw status verbose

Šī izvade būs līdzīga šādai:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Atspējot/pārlādēt/restartēt UFW

Ja nepieciešams atkārtoti ielādēt ugunsmūra noteikumus, izpildiet tālāk norādītās darbības.

sudo ufw reload

Lai atspējotu vai apturētu UFW:

sudo ufw disable

Lai restartētu UFW, vispirms tas ir jāatspējo un pēc tam vēlreiz jāiespējo:

sudo ufw disable
sudo ufw enable

Piezīme. Pirms UFW iespējošanas pārliecinieties, vai jūsu IP adresei ir atļauts SSH ports.

Noteikumu noņemšana

Lai pārvaldītu savus UFW noteikumus, tie ir jāuzskaita. To var izdarīt, pārbaudot UFW statusu ar parametru numbered:

sudo ufw status numbered

Jūs redzēsit līdzīgu izvadi:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Tagad, lai noņemtu kādu no šiem noteikumiem, kvadrātiekavās būs jāizmanto šie skaitļi:

sudo ufw delete [number]

Lai noņemtu HTTPkārtulu, ( 80), izmantojiet šo komandu:

sudo ufw delete 1

IPv6 atbalsta iespējošana

Ja savā VPS izmantojat IPv6, jums ir jānodrošina, lai UFW būtu iespējots IPv6 atbalsts. Lai to izdarītu, teksta redaktorā atveriet konfigurācijas failu:

sudo vi /etc/default/ufw

Pēc atvēršanas pārliecinieties, vai tas IPV6ir iestatīts uz "jā":

IPV6=yes

Pēc šo izmaiņu veikšanas saglabājiet failu. Pēc tam restartējiet UFW, to atspējojot un atkārtoti iespējojot:

sudo ufw disable
sudo ufw enable

Atgriezties uz noklusējuma iestatījumiem

Ja jums ir jāatgriežas pie noklusējuma iestatījumiem, vienkārši ierakstiet šo komandu. Tādējādi tiks atsauktas visas jūsu izmaiņas:

sudo ufw reset

Apsveicam, jūs tikko esat iestatījis dažus ugunsmūra pamatnoteikumus. Lai uzzinātu vēl dažus piemērus, apskatiet UFW - Community Help Wiki .