Konfigurirajte požarni zid Ubuntu (UFW) na Ubuntu 18.04

Namestite UFW

UFW je privzeto nameščen v Ubuntu 18.04, vendar lahko to preverite:

which ufw

Prejeti bi morali naslednji izhod:

/usr/sbin/ufw

Če ne prejmete izhoda, to pomeni, da UFW ni nameščen. V tem primeru ga lahko namestite sami:

sudo apt-get install ufw

Dovoli povezave

Če uporabljate spletni strežnik, želite, da lahko svet dostopa do vaših spletnih mest. Zato se morate prepričati, da so privzeta vrata TCP za splet odprta.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Na splošno lahko dovolite katera koli vrata, ki jih potrebujete, z uporabo naslednje oblike:

sudo ufw allow <port>/<optional: protocol>

Zavrni povezave

Če morate zavrniti dostop do določenih vrat, uporabite denyukaz:

sudo ufw deny <port>/<optional: protocol>

Na primer, lahko zavrnete dostop do privzetih vrat MySQL:

sudo ufw deny 3306

UFW podpira tudi poenostavljeno sintakso za najpogostejša servisna vrata:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Zelo priporočljivo je, da omejite dostop do svojih vrat SSH (privzeto so to vrata 22) od koder koli razen vaših zaupanja vrednih naslovov IP.

Dovoli dostop z zaupanja vrednega naslova IP

Običajno bi morali dovoliti dostop samo do javno odprtih vrat, kot je port 80. Dostop do vseh drugih vrat bi moral biti omejen ali omejen. Svoj domači ali pisarniški naslov IP lahko uvrstite na seznam dovoljenih (po možnosti statični IP), da boste lahko dostopali do svojega strežnika prek SSH ali FTP:

sudo ufw allow from 192.168.0.1 to any port 22

Dovolite lahko tudi dostop do vrat MySQL:

sudo ufw allow from 192.168.0.1 to any port 3306

Omogoči UFW

Preden omogočite (ali znova zaženete) UFW, se morate prepričati, da lahko vrata SSH sprejemajo povezave z vašega naslova IP. Če želite zagnati/omogočiti požarni zid UFW, uporabite naslednji ukaz:

sudo ufw enable

Videli boste naslednji izhod:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Pritisnite Yin nato pritisnite, ENTERda omogočite požarni zid:

Firewall is active and enabled on system startup

Preverite stanje UFW

Natisnite seznam pravil UFW:

sudo ufw status

Videli boste izhod, podoben naslednjemu:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Uporabite verboseparameter za ogled podrobnejšega poročila o stanju:

sudo ufw status verbose

Ta izhod bo podoben naslednjemu:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Onemogočite/ponovno naložite/znova zaženite UFW

Če morate znova naložiti pravila požarnega zidu, zaženite naslednje:

sudo ufw reload

Če želite onemogočiti ali ustaviti UFW:

sudo ufw disable

Če želite znova zagnati UFW, ga boste morali najprej onemogočiti in nato znova omogočiti:

sudo ufw disable
sudo ufw enable

Opomba: Preden omogočite UFW, se prepričajte, da so vrata SSH dovoljena za vaš naslov IP.

Odstranjevanje pravil

Če želite upravljati svoja pravila UFW, jih morate navesti. To lahko storite tako, da preverite stanje UFW s parametrom numbered:

sudo ufw status numbered

Videli boste izhod, podoben naslednjemu:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Zdaj, če želite odstraniti katero koli od teh pravil, boste morali uporabiti te številke v oglatih oklepajih:

sudo ufw delete [number]

Če želite odstraniti HTTPpravilo ( 80), uporabite naslednji ukaz:

sudo ufw delete 1

Omogočanje podpore IPv6

Če uporabljate IPv6 na svojem VPS, morate zagotoviti, da je podpora IPv6 omogočena v UFW. Če želite to narediti, odprite konfiguracijsko datoteko v urejevalniku besedil:

sudo vi /etc/default/ufw

Ko ga odprete, se prepričajte, da IPV6je nastavljeno na "da":

IPV6=yes

Ko naredite to spremembo, shranite datoteko. Nato znova zaženite UFW tako, da ga onemogočite in znova omogočite:

sudo ufw disable
sudo ufw enable

Nazaj na privzete nastavitve

Če se morate vrniti na privzete nastavitve, preprosto vnesite naslednji ukaz. To bo razveljavilo vse vaše spremembe:

sudo ufw reset

Čestitamo, pravkar ste nastavili nekaj osnovnih pravil požarnega zidu. Če želite izvedeti še nekaj primerov, si oglejte Wiki za pomoč skupnosti UFW .