Poznámka: pro tento výukový program síťové rozhraní enp2s0 a IP adresa 192.168.0.Jako příklad byly použity 2/7, nahraďte je správnými.
Instalace ufw:
Postup instalace ufw na běh Debianu:
apt nainstalovat ufw
Povolení běhu UFW:
ufw povolit
Zakázání běhu UFW:
ufw deaktivovat
Chcete-li provést rychlou kontrolu stavu brány firewall, postupujte takto:
stav ufw
Kde:
Postavení: informuje, zda je firewall aktivní.
Na: zobrazuje port nebo službu
Akce: ukazuje zásady
Z: zobrazuje možné zdroje provozu.
Stav brány firewall také můžeme podrobně zkontrolovat spuštěním:
ufw stav podrobně
Tento druhý příkaz pro zobrazení stavu brány firewall také zobrazí výchozí zásady a směr provozu.
Kromě informačních obrazovek se stavem „ufw“ nebo „ufw status verbose“ můžeme vytisknout všechna pravidla očíslovaná, pokud to pomůže spravovat, jak uvidíte později. Postup spuštění číslovaného seznamu pravidel brány firewall:
stav ufw očíslován
V kterékoli fázi můžeme obnovit nastavení UFW na výchozí konfiguraci spuštěním:
ufw reset
Při resetování pravidel ufw bude vyžadovat potvrzení. lis Y potvrdit.
Stručný úvod do zásad brány firewall:
S každou bránou firewall, kterou můžeme určit výchozí zásadu, mohou citlivé sítě použít omezující zásadu, což znamená odepření nebo blokování veškerého provozu kromě výslovně povoleného. Na rozdíl od restriktivních zásad bude tolerantní brána firewall přijímat veškerý provoz kromě konkrétně blokovaných.
Například pokud máme webový server a nechceme, aby tento server sloužil více než jednoduché webové stránce, můžeme použít omezující zásadu blokující všechny porty kromě portů 80 (http) a 443 (https), což by byla omezující zásada protože ve výchozím nastavení jsou všechny porty blokovány, pokud neodblokujete konkrétní port. Příkladem povoleného firewallu by byl nechráněný server, ve kterém blokujeme pouze přihlašovací port, například 443 a 22 pro servery Plesk jako pouze blokované porty. Dále můžeme použít ufw k povolení nebo zakázání přeposílání.
Uplatňování omezujících a tolerantních zásad ufw:
Chcete-li ve výchozím nastavení omezit veškerý příchozí provoz pomocí ufw run:
ufw default odepřít příchozí
Chcete-li povolit běh veškerého příchozího provozu, postupujte takto:
ufw výchozí povolit příchozí
Chcete-li blokovat veškerý odchozí provoz z naší sítě, je syntaxe podobná, a to spustit:
Abychom povolili veškerý odchozí provoz, stačí nahradit „odmítnout" pro "dovolit”, Aby bylo možné bezpodmínečně spustit odchozí provoz:
Můžeme také povolit nebo zakázat provoz pro konkrétní síťová rozhraní, při zachování různých pravidel pro každé rozhraní, blokovat veškerý příchozí provoz z mé ethernetové karty, kterou bych spustil:
ufw odepřít na enp2s0
Kde:
ufw= volá program
odmítnout= definuje politiku
v= příchozí provoz
enp2s0= moje ethernetové rozhraní
Nyní použiji výchozí omezující zásadu pro příchozí provoz a poté povolím pouze porty 80 a 22:
ufw default odepřít příchozíufw povolit 22
ufw povolit http
Kde:
První příkaz blokuje veškerý příchozí provoz, zatímco druhý umožňuje příchozí připojení k portu 22 a třetí příkaz umožňuje příchozí připojení k portu 80. Všimněte si, že ufw nám umožňuje volat službu podle jejího výchozího portu nebo názvu služby. Můžeme přijmout nebo odmítnout připojení k portu 22 nebo ssh, portu 80 nebo http.
Příkaz "stav ufw podrobně”Zobrazí výsledek:
Veškerý příchozí provoz je odepřen, zatímco dvě služby (22 a http), které jsme povolili, jsou k dispozici.
Pokud chceme odstranit konkrétní pravidlo, můžeme to udělat pomocí parametru „vymazat“. Odebrání našeho posledního pravidla umožňujícího příchozí provoz na port http:
ufw smazat povolit http
Zkontrolujme, zda jsou služby http nadále dostupné nebo blokované spuštěním ufw stav podrobně:
Port 80 se již neobjevuje jako výjimka, protože je port 22 jediný.
Pravidlo můžete také smazat pouhým vyvoláním jeho číselného ID poskytnutého příkazem „stav ufw očíslován”Zmíněno dříve, v tomto případě odstraním ODMÍTNOUT zásady pro příchozí provoz na ethernetovou kartu enp2s0:
ufw smazat 1
Požádá o potvrzení a bude pokračovat, pokud bude potvrzeno.
Navíc k ODMÍTNOUT můžeme použít parametr ODMÍTNOUT který bude informovat druhou stranu, že spojení bylo odmítnuto, ODMÍTNOUT připojení k ssh můžeme spustit:
ufw odmítnout 22
Poté, pokud se někdo pokusí získat přístup k našemu portu 22, bude upozorněn, že připojení bylo odmítnuto, jak je znázorněno na obrázku níže.
V kterékoli fázi můžeme zkontrolovat přidaná pravidla nad výchozí konfiguraci spuštěním:
přidána ufw show
Můžeme odmítnout všechna připojení a zároveň povolit konkrétní adresy IP, v následujícím příkladu odmítnu všechna připojení k portu 22 kromě IP 192.168.0.2, které se jako jediný budou moci připojit:
ufw popřít 22ufw povolit od 192.168.0.2
Pokud nyní zkontrolujeme stav ufw, uvidíte, že veškerý příchozí provoz na port 22 je odepřen (pravidlo 1), zatímco je povolen pro zadanou IP (pravidlo 2)
Můžeme omezit pokusy o přihlášení, abychom zabránili útokům hrubou silou, nastavením limitu běhu:
ufw limit ssh
Chcete-li ukončit tento tutoriál a naučit se ocenit velkorysost ufw, nezapomeňme na způsob, jakým bychom mohli pomocí iptables odepřít veškerý provoz kromě jediné IP:
iptables -A VÝSTUP -d 192.168.0.2 -j PŘIJMOUT
iptables -P INPUT DROP
iptables -P VÝSTUPNÍ VÝPAD
Totéž lze udělat pouze se 3 kratšími a nejjednoduššími řádky pomocí ufw:
ufw default odepřít příchozíufw default odepřít odchozí
ufw povolit od 192.168.0.2
Doufám, že vám tento úvod do ufw připadal užitečný. Před jakýmkoli dotazem na UFW nebo jakoukoli otázku týkající se Linuxu nás neváhejte kontaktovat prostřednictvím našeho kanálu podpory na adrese https: // support.linuxhint.com.
Související články
Iptables pro začátečníky
Nakonfigurujte ID Snort a vytvořte pravidla