Конфигуришите једноставни заштитни зид (УФВ) на Убунту 14.04

Сигурност је кључна када покрећете сопствени сервер. Желите да будете сигурни да само овлашћени корисници могу да приступе вашем серверу, конфигурацији и услугама.

У Убунту-у постоји заштитни зид који долази унапред инсталиран. Зове се УФВ (некомпликовани заштитни зид). Иако је УФВ прилично основни заштитни зид, једноставан је за употребу, истиче се у филтрирању саобраћаја и има добру документацију. Нека основна знања о Линук-у би требало да буду довољна да сами конфигуришете овај заштитни зид.

Инсталирајте УФВ

Обратите пажњу да се УФВ обично подразумевано инсталира у Убунту. Али ако ништа друго, можете га сами инсталирати. Да бисте инсталирали УФВ, покрените следећу команду.

sudo apt-get install ufw

Дозволи везе

Ако користите веб сервер, очигледно желите да свет може да приступи вашим веб локацијама. Због тога морате да се уверите да је подразумевани ТЦП порт за веб отворен.

sudo ufw allow 80/tcp

Генерално, можете дозволити било који порт који вам је потребан коришћењем следећег формата:

sudo ufw allow <port>/<optional: protocol>

Одбијте везе

Ако треба да забраните приступ одређеном порту, користите ово:

sudo ufw deny <port>/<optional: protocol>

На пример, забранимо приступ нашем подразумеваном МиСКЛ порту.

sudo ufw deny 3306

УФВ такође подржава поједностављену синтаксу за најчешће сервисне портове.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Веома се препоручује да ограничите приступ свом ССХ порту (подразумевано је то порт 22) са било ког места осим са поузданих ИП адреса (на пример: канцеларија или кућа).

Дозволите приступ са поуздане ИП адресе

Обично бисте морали да дозволите приступ само јавно отвореним портовима као што је порт 80. Приступ свим осталим портовима треба да буде ограничен или ограничен. Можете да ставите своју кућну/канцеларијску ИП адресу на белу листу (пожељно је да то буде статичка ИП адреса) да бисте могли да приступите свом серверу преко ССХ или ФТП-а.

sudo ufw allow from 192.168.0.1 to any port 22

Такође дозволимо приступ МиСКЛ порту.

sudo ufw allow from 192.168.0.1 to any port 3306

Сада изгледа боље. Идемо даље.

Омогући УФВ

Пре него што омогућите (или поново покренете) УФВ, морате да се уверите да је ССХ порту дозвољено да прима везе са ваше ИП адресе. Да бисте покренули/омогућили свој УФВ заштитни зид, користите следећу команду:

sudo ufw enable

видећете ово:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Откуцајте И , а затим притисните Ентер да бисте омогућили заштитни зид.

Firewall is active and enabled on system startup

Проверите статус УФВ

Погледајте сва своја правила.

sudo ufw status

Видећете излаз сличан следећем.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Користите параметар „вербосе“ да бисте видели детаљнији извештај о статусу.

sudo ufw status verbose

Онемогућите/поновно учитајте/рестартујте УФВ

Да бисте онемогућили (зауставили) УФВ, покрените ову команду.

sudo ufw disable

Ако треба да поново учитате УФВ (правила поновног учитавања), покрените следеће.

sudo ufw reload

Да бисте поново покренули УФВ, мораћете прво да га онемогућите, а затим поново омогућите.

sudo ufw disable
sudo ufw enable

Опет, пре него што омогућите УФВ, уверите се да је ССХ порт дозвољен за вашу ИП адресу.

Уклањање правила

Да бисте управљали својим УФВ правилима, морате их навести. То можете учинити тако што ћете проверити статус УФВ са параметром "нумеред". Видећете излаз сличан следећем.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Приметили сте бројеве у угластим заградама? Сада, да бисте уклонили било које од ових правила, мораћете да користите ове бројеве.

sudo ufw delete [number]

Омогућавање подршке за ИПв6

Ако користите ИПв6 на свом ВПС-у, морате осигурати да је подршка за ИПв6 омогућена у УФВ-у. Да бисте то урадили, отворите конфигурациону датотеку у уређивачу текста.

sudo nano /etc/default/ufw

Када отворите, уверите се да IPV6је постављено на "да":

IPV6=yes

Након што извршите ову промену, сачувајте датотеку. Затим поново покрените УФВ тако што ћете га онемогућити и поново омогућити.

sudo ufw disable
sudo ufw enable

Назад на подразумевана подешавања

Ако желите да се вратите на подразумевана подешавања, једноставно унесите следећу команду. Ово ће поништити све ваше промене.

sudo ufw reset

Закључак

Све у свему, УФВ је у стању да заштити ваш ВПС од најчешћих покушаја хаковања. Наравно, ваше мере безбедности треба да буду детаљније него само коришћење УФВ. Међутим, то је добар (и неопходан) почетак.

Ако вам треба више примера коришћења УФВ-а, можете погледати УФВ - Вики Хелп Цоммунити .