Kuinka luoda palomuuri ufw: llä debian 9: llä

Debian sisältää useita paketteja, jotka tarjoavat työkaluja palomuurin hallintaan, jossa iptables on asennettu osaksi perusjärjestelmää. Aloittelijoille voi olla monimutkaista oppia käyttämään iptables-työkalua palomuurin määrittämiseen ja hallintaan oikein, mutta UFW yksinkertaistaa sitä.

UFW (Komplimentiton palomuuri) on käyttäjäystävällinen käyttöliittymä iptable-palomuurisääntöjen hallintaan ja sen päätavoitteena on helpottaa iptable-ohjelmien hallintaa tai kuten nimessä sanotaan olevan mutkaton.

Tässä opetusohjelmassa näytämme, kuinka palomuuri voidaan määrittää UFW: n avulla Debian 9: llä.

edellytykset

Ennen kuin jatkat tätä opetusohjelmaa, varmista, että kirjautuneella käyttäjällä on sudo-oikeudet.

Asenna UFW

UFW: tä ei ole asennettu oletuksena Debian 9: een. Voit asentaa ufw paketin kirjoittamalla:

sudo apt install ufw

Tarkista UFW-tila

Kun asennus on valmis, voit tarkistaa UFW: n tilan seuraavalla komennolla:

sudo ufw status verbose

Tulos näyttää tältä:

Status: inactive

UFW on oletuksena poissa käytöstä. Asennus ei aktivoi palomuuria automaattisesti estääksesi palvelimen sulkeutumisen.

Jos UFW on aktivoitu, lähtö näyttää samanlaiselta seuraavalta:

UFW-oletuskäytännöt

Oletuksena UFW estää kaikki saapuvat yhteydet ja sallii kaikki lähtevät yhteydet. Tämä tarkoittaa, että kuka tahansa yrittää päästä palvelimellesi ei voi muodostaa yhteyttä, ellet avaa erityistä porttia, kun taas kaikki palvelimellasi olevat sovellukset ja palvelut pääsevät ulkopuolelle.

Oletuspolitiikat määritetään tiedostossa /etc/default/ufw ja niitä voidaan muuttaa käyttämällä sudo ufw default komento.

Palomuurisäännöt ovat perusta yksityiskohtaisempien ja käyttäjän määrittelemien sääntöjen rakentamiselle. Useimmissa tapauksissa alkuperäiset UFW-oletuskäytännöt ovat hyvä lähtökohta.

Sovellusprofiilit

Kun asennat apt paketin, se lisää sovellusprofiilin hakemistoon /etc/ufw/applications.d joka kuvaa palvelua ja sisältää UFW-asetukset.

Voit luetella kaikki järjestelmätyypilläsi olevat sovellusprofiilit:

sudo ufw app list

Järjestelmään asennetuista paketeista riippuen lähtö näyttää samanlaiselta kuin seuraava:

Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…

Jos haluat lisätietoja tietystä profiilista ja mukana olevista säännöistä, käytä seuraavaa komentoa:

sudo ufw app info OpenSSH

Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp

Yllä oleva tulostus kertoo meille, että OpenSSH-profiili avaa portin 22 .

Salli SSH-yhteydet

Ennen kuin otat UFW-palomuurin käyttöön, meidän on sallittava saapuvat SSH-yhteydet.

Jos muodostat yhteyden palvelimeesi etäpaikasta, mikä on melkein aina tapaus, ja otat UFW-palomuurin käyttöön ennen kuin sallit tulevat SSH-yhteydet, et enää voi muodostaa yhteyttä Debian-palvelimeesi.

Määritä UFW-palomuuri sallimaan tulevat SSH-yhteydet suorittamalla seuraava komento:

sudo ufw allow OpenSSH

Rules updated Rules updated (v6)

Jos SSH-palvelin kuuntelee muuta porttia kuin oletusporttia 22, sinun on avattava kyseinen portti.

Esimerkiksi, ssh-palvelimesi kuuntelee porttia 8822 , sitten voit käyttää seuraavaa komentoa salliaksesi yhteydet kyseiseen porttiin:

sudo ufw allow 8822/tcp

Ota UFW käyttöön

Nyt kun UFW-palomuuri on määritetty sallimaan tulevat SSH-yhteydet, voit ottaa sen käyttöön suorittamalla:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

Sinua varoitetaan, että palomuurin ottaminen käyttöön voi häiritä olemassa olevia ssh-yhteyksiä. Enter vain y ja paina Enter .

Salli yhteydet muihin portteihin

Palvelimellasi toimivista sovelluksista ja erityistarpeista riippuen sinun on myös sallittava saapuva pääsy joihinkin muihin portteihin.

Alla on useita esimerkkejä siitä, kuinka saapuvat yhteydet voidaan sallia yleisimpiin palveluihin:

Avaa portti 80 - HTTP

HTTP-yhteydet voidaan sallia seuraavalla komennolla:

sudo ufw allow

http profiilin sijasta voit käyttää porttinumeroa 80 :

sudo ufw allow 80/tcp

Avaa portti 443 - HTTPS

HTTP-yhteydet voidaan sallia seuraavalla komennolla:

sudo ufw allow

Voit saavuttaa saman https sijasta käyttämällä porttinumeroa 443 :

sudo ufw allow 443/tcp

Avaa portti 8080

sudo ufw allow 8080/tcp

Salli porttivälit

UFW: n avulla voit myös sallia pääsyn porttialueille. Kun sallit porttiväliä UFW: n kanssa, sinun on määritettävä protokolla, joko tcp tai udp .

Jos haluat esimerkiksi sallia portit välillä 7100 - 7200 sekä tcp että udp , suorita seuraava komento:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

Salli tietyt IP-osoitteet

sudo ufw allow from 64.63.62.61

Salli tietyt IP-osoitteet tietyssä portissa

Jos haluat sallia pääsyn tietylle portille, sanotaan esimerkiksi, että koneesi portti 22, jonka IP-osoite on 64.63.62.61, käytä seuraavaa komentoa:

sudo ufw allow from 64.63.62.61 to any port 22

Salli aliverkot

Komento IP-osoitteiden aliverkkoon yhteyden sallimiseksi on sama kuin käytettäessä yhtä IP-osoitetta, ainoa ero on, että sinun on määritettävä verkkomaski. Esimerkiksi, jos haluat sallia pääsyn IP-osoitteille välillä 192.168.1.1 - 192.168.1.254 porttiin 3360 (MySQL), voit käyttää tätä komentoa:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Salli yhteydet tiettyyn verkkorajapintaan

Jotta pääsy tietylle portille, sanotaan esimerkiksi portti 3360 vain tietylle verkkoliittymälle eth2 , käytä allow in on ja verkkoliittymän nimeä:

sudo ufw allow in on eth2 to any port 3306

Estä yhteydet

Kaikkien saapuvien yhteyksien oletuskäytäntö on asetettu deny mikä tarkoittaa, että UFW estää kaikki saapuvat yhteydet, ellet avaa erityistä yhteyttä.

Oletetaan, että olet avannut portit 80 ja 443 ja palvelimesi on uhattuna 23.24.25.0/24 -verkosta. Jos haluat estää kaikki yhteydet 23.24.25.0/24 , käytä seuraavaa komentoa:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

Estämissääntöjen kirjoittaminen on sama kuin sallimissääntöjen kirjoittaminen, sinun on korvattava allow vain deny .

Poista UFW-säännöt

UFW-sääntöjä voidaan poistaa kahdella eri tavalla, sääntönumeron mukaan ja määrittämällä todellinen sääntö.

UFW-sääntöjen poistaminen sääntönumeron perusteella on helpompaa, varsinkin jos olet uusi UFW-järjestelmä.

Jos haluat poistaa säännön säännön perusteella, sinun on ensin löydettävä poistettavan säännön numero. Suorita seuraava komento:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

Voit poistaa säännön 3, sääntö, joka sallii yhteydet porttiin 8080, käyttämällä seuraavaa komentoa:

sudo ufw delete 2

Toinen tapa on poistaa sääntö määrittelemällä todellinen sääntö. Jos esimerkiksi lisäsit säännön portin 8069 voit poistaa sen:

sudo ufw delete allow 8069

Poista UFW käytöstä

Jos jostain syystä haluat pysäyttää UFW: n ja poistaa käytöstä kaikki suoritetut säännöt:

sudo ufw disable

Kirjoita myöhemmin, jos haluat ottaa UTF: n uudelleen käyttöön ja aktivoida kaikki säännöt:

sudo ufw enable

Nollaa UFW

UFW: n nollaaminen poistaa UFW: n käytöstä ja poistaa kaikki aktiiviset säännöt. Tästä on apua, jos haluat palauttaa kaikki muutokset ja aloittaa uudet.

Nollaa UFW kirjoittamalla seuraava komento:

sudo ufw reset

johtopäätös

Olet oppinut asentamaan ja määrittämään UFW-palomuurin Debian 9 -laitteeseesi. Muista sallia kaikki tulevat yhteydet, jotka ovat tarpeen järjestelmän moitteettoman toiminnan kannalta, rajoittamatta samalla kaikkia tarpeettomia yhteyksiä.

ufw palomuuri iptables debian security