Лучшие 25 команд брандмауэра UFW, которые должен знать каждый администратор Linux
Innholdsfortegnelse:
- Forutsetninger
- Installer UFW
- Sjekk UFW-status
- UFW-standardpolicyer
- Søknadsprofiler
- Tillat SSH-tilkoblinger
- Aktiver UFW
- Tillat tilkoblinger på andre porter
- Åpen port 80 - HTTP
- Åpen port 443 - HTTPS
- Åpen port 8080
- Tillat portområder
- Tillat spesifikke IP-adresser
- Tillat spesifikke IP-adresser på den spesifikke porten
- Tillat undernett
- Tillat tilkoblinger til et spesifikt nettverksgrensesnitt
- Nekt forbindelser
- Slett UFW-regler
- Deaktiver UFW
- Tilbakestill UFW
- Konklusjon
Debian inkluderer flere pakker som gir verktøy for å administrere en brannmur med iptables installert som en del av basesystemet. Det kan være komplisert for nybegynnere å lære hvordan du bruker iptables-verktøyet til å konfigurere og administrere en brannmur på riktig måte, men UFW forenkler det.
UFW (Uncomplicated Firewall) er en brukervennlig front-end for å administrere iptables brannmurregler, og hovedmålet er å gjøre det lettere å administrere iptables eller som navnet sier ukomplisert.
I denne opplæringen vil vi vise deg hvordan du konfigurerer en brannmur med UFW på Debian 9.
Forutsetninger
Før du fortsetter med denne opplæringen, må du forsikre deg om at brukeren du er logget inn som har sudo-rettigheter.
Installer UFW
UFW er ikke installert som standard i Debian 9. Du kan installere
ufw
pakken ved å skrive:
Sjekk UFW-status
Når installasjonsprosessen er fullført, kan du sjekke statusen til UFW med følgende kommando:
sudo ufw status verbose
Utgangen vil se slik ut:
Status: inactive
UFW er deaktivert som standard. Installasjonen aktiverer ikke brannmuren automatisk for å unngå sperring fra serveren.
Hvis UFW er aktivert, vil utdataene se ut som følgende:
UFW-standardpolicyer
Som standard vil UFW blokkere alle innkommende tilkoblinger og tillate alle utgående tilkoblinger. Dette betyr at alle som prøver å få tilgang til serveren din ikke vil kunne koble til med mindre du spesifikt åpner porten, mens alle applikasjoner og tjenester som kjører på serveren din vil kunne få tilgang til omverdenen.
Standardpolicyene er definert i filen
/etc/default/ufw
og kan endres ved å bruke
sudo ufw default
Brannmurretningslinjer er grunnlaget for å bygge mer detaljerte og brukerdefinerte regler. I de fleste tilfeller er de opprinnelige UFW-standardpolicyene et godt utgangspunkt.
Søknadsprofiler
Når du installerer en pakke med
apt
, vil den legge til en applikasjonsprofil i
/etc/ufw/applications.d
som beskriver tjenesten og inneholder UFW-innstillinger.
Slik viser du alle applikasjonsprofiler som er tilgjengelige på systemtypen:
sudo ufw app list
Avhengig av pakkene som er installert på systemet ditt, ser utdataene ut på følgende måte:
Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…
For å finne mer informasjon om en spesifikk profil og inkluderte regler, bruk følgende kommando:
sudo ufw app info OpenSSH
Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp
AT utgangen over forteller oss at OpenSSH-profilen åpner port
22
.
Tillat SSH-tilkoblinger
Før du aktiverer UFW-brannmuren først, må vi tillate innkommende SSH-tilkoblinger.
Hvis du kobler til serveren din fra et eksternt sted, noe som nesten alltid er tilfelle, og du aktiverer UFW-brannmuren før du eksplisitt tillater innkommende SSH-tilkoblinger, vil du ikke lenger kunne koble deg til Debian-serveren.
Kjør følgende kommando for å konfigurere UFW-brannmuren slik at den tillater innkommende SSH-tilkoblinger:
sudo ufw allow OpenSSH
Rules updated Rules updated (v6)
Hvis SSH-serveren lytter på en annen port enn standardport 22, må du åpne porten.
For eksempel lytter ssh-serveren din på port
8822
, så kan du bruke følgende kommando for å tillate tilkoblinger på den porten:
Aktiver UFW
Nå som UFW-brannmuren din er konfigurert til å tillate innkommende SSH-tilkoblinger, kan du aktivere den ved å kjøre:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Du vil bli advart om at aktivering av brannmuren kan forstyrre eksisterende ssh-tilkoblinger, bare skriv
y
og trykk
Enter
.
Tillat tilkoblinger på andre porter
Avhengig av applikasjonene som kjører på serveren din og dine spesifikke behov, må du også gi innkommende tilgang til noen andre porter.
Nedenfor er flere eksempler på hvordan du tillater innkommende forbindelser til noen av de vanligste tjenestene:
Åpen port 80 - HTTP
HTTP-tilkoblinger kan tillates med følgende kommando:
sudo ufw allow
I stedet for
http
profilen, kan du bruke portnummeret,
80
:
Åpen port 443 - HTTPS
HTTP-tilkoblinger kan tillates med følgende kommando:
sudo ufw allow
For å oppnå det samme i stedet for
https
kan du bruke portnummeret,
443
:
Åpen port 8080
Tillat portområder
Med UFW kan du også gi tilgang til portområder. Når du tillater portområder med UFW, må du spesifisere protokollen, enten
tcp
eller
udp
.
For å tillate porter fra
7100
til
7200
på både
tcp
og
udp
, kjører du følgende kommando:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Tillat spesifikke IP-adresser
sudo ufw allow from 64.63.62.61
Tillat spesifikke IP-adresser på den spesifikke porten
For å gi tilgang til en spesifikk port, la oss si at port 22 fra arbeidsmaskinen din med IP-adresse 64.63.62.61, bruk følgende kommando:
sudo ufw allow from 64.63.62.61 to any port 22
Tillat undernett
Kommandoen for å tillate tilkobling til et subnett av IP-adresser er den samme som når du bruker en enkel IP-adresse, den eneste forskjellen er at du trenger å spesifisere nettmasken. Hvis du for eksempel vil tillate tilgang for IP-adresser fra 192.168.1.1 til 192.168.1.254 til port 3360 (MySQL), kan du bruke denne kommandoen:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Tillat tilkoblinger til et spesifikt nettverksgrensesnitt
For å tillate tilgang på en spesifikk port, la oss si port 3360 bare til spesifikk nettverksgrensesnitt
eth2
, bruk
allow in on
og navnet på nettverksgrensesnittet:
sudo ufw allow in on eth2 to any port 3306
Nekt forbindelser
Standardpolicyen for alle innkommende tilkoblinger er satt til å
deny
noe som betyr at UFW vil sperre all innkommende tilkobling med mindre du spesifikt åpner forbindelsen.
La oss si at du åpnet portene
80
og
443
og serveren din er under angrep fra
23.24.25.0/24
. For å nekte alle tilkoblinger fra
23.24.25.0/24
, bruk følgende kommando:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Å skrive fornektningsregler er det samme som å skrive tillatelsesregler, du trenger bare å bytte ut
allow
med
deny
.
Slett UFW-regler
Det er to forskjellige måter å slette UFW-regler, etter regelnummer og ved å spesifisere den faktiske regelen.
Det er enklere å slette UFW-regler etter regelnummer, spesielt hvis du er ny på UFW.
For å slette en regel etter et regelnummer først, må du finne nummeret på regelen du vil slette. For å gjøre det kjører følgende kommando:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
For å slette regel nummer 3, regelen som tillater tilkoblinger til port 8080, kan du bruke følgende kommando:
sudo ufw delete 2
Den andre metoden er å slette en regel ved å spesifisere den faktiske regelen. Hvis du for eksempel la til en regel for å åpne port
8069
kan du slette den med:
Deaktiver UFW
Hvis du av en eller annen grunn vil stoppe UFW og deaktivere kjører alle regler:
sudo ufw disable
Senere hvis du vil aktivere UTF på nytt og aktivere alle regler, skriver du bare:
Tilbakestill UFW
Å tilbakestille UFW vil deaktivere UFW og slette alle aktive regler. Dette er nyttig hvis du vil tilbakestille alle endringene dine og begynne på nytt.
For å tilbakestille UFW skriver du bare inn følgende kommando:
Konklusjon
Du har lært hvordan du installerer og konfigurerer UFW-brannmuren på Debian 9-maskinen din. Sørg for å tillate alle innkommende tilkoblinger som er nødvendige for at systemet ditt skal fungere ordentlig, mens du begrenser alle unødvendige tilkoblinger.
ufw brannmur iptables debian sikkerhetResearch in Motion (RIM) og Saudi-Arabia har kommet fram til en foreløpig avtale som innebærer at selskapet skal sette opp serveren der og gi regjeringen tilgang til dataene, ifølge mediarapporter på lørdag fra Saudi-Arabia. En avtale fra RIM med Saudi-Arabia kan sette presedens for lignende avtaler med andre land, inkludert India, Libanon, De forente arabiske emirater (UAE) og Indonesia, som krever at RIM finner servere i deres land, og gir tilgang til data til sine sikkerhetsstyrker, sa analyt
Saudi Arabias telekomregulator, Kommunikasjons- og informasjonsstyringskommisjonen (CITC) og lokale telefontoperatører har inngått en foreløpig avtale med RIM om håndtering av BlackBerry-data Det vil innebære å sette opp en server i landet, rapporterte The Wall Street Journal, og citerte en person kjent med samtalene.
Slik setter du opp en brannmur med brannmur på centos 7
FirewallD er en komplett brannmurløsning som administrerer systemets iptables-regler og gir et D-Bus-grensesnitt for å operere på dem. I denne opplæringen viser vi deg hvordan du konfigurerer en brannmur med FirewallD på CentOS 7-systemet ditt og forklarer de grunnleggende FirewallD-konseptene.
Hvordan sette opp en brannmur med ufw på ubuntu 18.04
Ubuntu kommer som standard med et brannmurkonfigurasjonsverktøy kalt UFW (Ukomplisert brannmur). UFW er en brukervennlig front-end for å håndtere brannmurregler for iptables og hovedmålet er å gjøre det lettere å administrere iptables eller som navnet sier ukomplisert.