Úvod
Ubuntu je operační systém Linux, který je mezi správci serverů velmi populární díky pokročilým funkcím, které jsou ve výchozím nastavení k dispozici. Jednou z takových funkcí je brána firewall, což je bezpečnostní systém, který monitoruje příchozí i odchozí síťová připojení a rozhoduje v závislosti na předem definovaných bezpečnostních pravidlech. Chcete-li definovat taková pravidla, musí být brána firewall nakonfigurována před jejím použitím a tato příručka ukazuje, jak snadno povolit a nakonfigurovat bránu firewall v Ubuntu spolu s dalšími užitečnými tipy při konfiguraci brány firewall.
Jak povolit bránu firewall
Ve výchozím nastavení je Ubuntu dodáván s bránou firewall známou jako UFW (nekomplikovaná brána firewall), která je dostatečná, spolu s některými dalšími balíčky třetích stran k zabezpečení serveru před vnějšími hrozbami. Protože však brána firewall není povolena, musí být před čímkoli povolena. Pomocí následujícího příkazu povolíte výchozí UFW v Ubuntu.
- Nejprve zkontrolujte aktuální stav brány firewall a ujistěte se, že je skutečně deaktivována. Chcete-li získat podrobný stav, použijte jej spolu s podrobným příkazem.
sudo ufw status
sudo ufw stav podrobný
- Pokud je zakázáno, povolí to následující příkaz
sudo ufw povolit
- Jakmile je brána firewall povolena, restartujte systém, aby se změny projevily. Parametr r se používá k určení, že příkaz je určen k restartování, parametr now slouží k určení, že restart musí být proveden okamžitě bez jakéhokoli zpoždění.
sudo shutdown -r now
Blokujte veškerou komunikaci pomocí brány firewall
UFW, ve výchozím nastavení blokovat / povolit všechny přenosy, pokud není přepsáno konkrétními porty. Jak je vidět na výše uvedených screenshotech, ufw blokuje veškerý příchozí provoz a umožňuje veškerý odchozí provoz. S následujícími příkazy však lze veškerý provoz zakázat bez jakýchkoli výjimek. To, co dělá, vymaže všechny konfigurace UFW a odepře přístup z jakéhokoli připojení.
sudo ufw reset
sudo ufw default odepřít příchozí
sudo ufw default odepřít odchozí
Jak povolit port pro HTTP?
HTTP je zkratka pro hypertextový přenosový protokol, který definuje, jak je zpráva formátována při přenosu v jakékoli síti, například v celosvětové síti aka Internetu. Protože se webový prohlížeč ve výchozím nastavení připojuje k webovému serveru přes protokol HTTP, aby mohl komunikovat s obsahem, musí být povolen port, který patří k HTTP. Pokud navíc webový server používá SSL / TLS (zabezpečená vrstva soketu / zabezpečení transportní vrstvy), musí být povolen také protokol HTTPS.
sudo ufw povolit http
sudo ufw povolit https
Jak povolit port pro SSH?
SSH je zkratka pro zabezpečený shell, který se používá pro připojení k systému přes síť, obvykle přes internet; proto je široce používán pro připojení k serverům přes internet z místního počítače. Protože ve výchozím nastavení Ubuntu blokuje všechna příchozí připojení, včetně SSH, musí být pro přístup k serveru přes internet povolen.
sudo ufw povolit ssh
Pokud je SSH nakonfigurován tak, aby používal jiný port, musí být místo názvu profilu výslovně uvedeno číslo portu.
sudo ufw povolit 1024
Jak povolit port pro TCP / UDP
Protokol TCP, neboli řízení přenosu, definuje, jak navázat a udržovat síťovou konverzaci, aby si aplikace mohla vyměňovat data. Ve výchozím nastavení používá webový server protokol TCP; proto musí být povoleno, ale naštěstí povolení portu také povolí port pro oba TCP / UDP najednou. Pokud je však konkrétní port určen k povolení pouze pro TCP nebo UDP, je třeba zadat protokol spolu s číslem portu / názvem profilu.
sudo ufw allow | deny portnumber | profilename / tcp / udp
sudo ufw povolit 21 / tcp
sudo ufw popřít 21 / udp
Jak úplně zakázat bránu firewall?
Někdy musí být výchozí brána firewall deaktivována, aby se otestovala síť nebo když se má nainstalovat jiná brána firewall. Následující příkaz zcela zakáže bránu firewall a bezpodmínečně povolí všechna příchozí a odchozí připojení. To se nedoporučuje, pokud nejsou výše uvedené záměry důvodem deaktivace. Zakázáním brány firewall se neobnoví ani neodstraní její konfigurace; proto jej lze znovu povolit s předchozím nastavením.
sudo ufw deaktivovat
Povolit výchozí zásady
Výchozí zásady uvádějí, jak brána firewall reaguje na připojení, když se mu žádné pravidlo neshoduje, například pokud brána firewall ve výchozím nastavení povoluje všechna příchozí připojení, ale pokud je pro příchozí připojení blokován port číslo 25, zbývající porty pro příchozí připojení stále fungují. kromě portu číslo 25, protože přepíše výchozí připojení. Následující příkazy odepírají příchozí připojení a ve výchozím nastavení povolují odchozí připojení.
sudo ufw default odepřít příchozí
sudo ufw default povolit odchozí
Povolit konkrétní rozsah portů
Rozsah portů určuje, na které porty se pravidlo brány firewall vztahuje. Rozsah je uveden v startPort: endPort formátu, následuje protokol připojení, který je v tomto případě nařízen uvést.
sudo ufw povolit 6000: 6010 / tcp
sudo ufw povolit 6000: 6010 / udp
Povolit / Odepřít konkrétní IP adresu / adresy
Pro odchozí nebo příchozí lze povolit nebo zakázat nejen konkrétní port, ale také také IP adresu. Když je v pravidle zadána IP adresa, podléhá jakýkoli požadavek z této konkrétní IP právě zadanému pravidlu, například v následujícím příkazu umožňuje všechny požadavky od 67.205.171.204 IP adresa, poté umožňuje všechny požadavky od 67.205.171.204 na oba porty 80 a 443, což znamená, že jakékoli zařízení s touto IP může odesílat úspěšné požadavky na server, aniž by byl odepřen v případě, že výchozí pravidlo blokuje všechna příchozí připojení. To je docela užitečné pro soukromé servery, které používá jedna osoba nebo konkrétní síť.
sudo ufw povolit od 67.205.171.204
sudo ufw povolit od 67.205.171.204 na libovolný port 80
sudo ufw povolit od 67.205.171.204 na libovolný port 443
Povolit protokolování
Funkce protokolování zaznamenává technické podrobnosti každého požadavku na server a ze serveru. To je užitečné pro účely ladění; proto se doporučuje jej zapnout.
sudo ufw přihlašování
Povolit / Odepřít konkrétní podsíť
Pokud se jedná o rozsah IP adres, je obtížné ručně přidat každý záznam IP adresy do pravidla brány firewall, a to buď zakázat nebo povolit, a proto lze rozsahy IP adres zadat v notaci CIDR, která se obvykle skládá z adresy IP a množství hostitelů, které obsahuje, a IP každého hostitele.
V následujícím příkladu používá následující dva příkazy. V prvním příkladu používá / 24 síťovou masku, a tedy pravidlo platné od 192.168.1.1 až 192.168.1.254 IP adres. Ve druhém příkladu platí stejné pravidlo pouze pro port číslo 25. Pokud jsou tedy příchozí požadavky ve výchozím nastavení blokovány, nyní mohou uvedené adresy IP odesílat požadavky na port číslo 25 serveru.
sudo ufw povolit od 192.168.1.1/24
sudo ufw povolit od 192.168.1.1/24 do libovolného portu 25
Odstranit pravidlo z brány firewall
Pravidla lze z brány firewall odebrat. Následující první příkaz nastaví každé pravidlo v bráně firewall číslem, poté pomocí druhého příkazu lze pravidlo odstranit zadáním čísla příslušného pravidlu.
sudo ufw stav očíslován
sudo ufw smazat 2
Obnovte konfiguraci brány firewall
Nakonec pro začátek konfigurace brány firewall použijte následující příkaz. To je docela užitečné, pokud brána firewall začne pracovat podivně nebo pokud se brána firewall chová neočekávaně.
sudo ufw reset