Phenquestions
Acest articol vă arată cum să instalați și să utilizați UFW pe Ubuntu 20.Sistem 04 LTS.
Instalare
UFW vine preinstalat pe majoritatea sistemelor Ubuntu. Dacă versiunea dvs. nu are deja instalat acest program, îl puteți instala folosind fie snap-ul, fie managerii de pachete apt.$ sudo snap instalează ufw
$ sudo apt instalează ufwPersonal prefer să folosesc managerul de pachete apt pentru a face acest lucru, deoarece snap-ul este mai puțin popular și nu vreau să am această complexitate suplimentară. În momentul redactării acestui articol, versiunea publicată pentru UFW este 0.36 pentru cei 20.04 lansare.
Primite vs. Trafic de ieșire
Dacă sunteți un începător în lumea rețelelor, primul lucru pe care trebuie să îl clarificați este diferența dintre traficul de intrare și cel de ieșire.
Când instalați actualizări folosind apt-get, navigați pe internet sau vă verificați e-mailul, ceea ce faceți este să trimiteți cereri „de ieșire” către servere, cum ar fi Ubuntu, Google etc. Pentru a accesa aceste servicii, nici măcar nu aveți nevoie de un IP public. De obicei, o singură adresă IP publică este alocată pentru, să zicem, o conexiune de bandă largă la domiciliu și fiecare dispozitiv primește propriul său IP privat. Ruterul gestionează apoi traficul utilizând ceva cunoscut sub numele de NAT sau Network Address Translation.
Detaliile adreselor IP NAT și private sunt dincolo de scopul acestui articol, dar videoclipul legat mai sus este un punct de plecare excelent. Revenind la UFW, în mod implicit, UFW va permite tot traficul web de ieșire regulat. Browserele, managerii de pachete și alte programe aleg un număr de port aleatoriu - de obicei un număr peste 3000 - și astfel fiecare aplicație poate ține evidența conexiunilor sale.
Când rulați servere în cloud, acestea vin de obicei cu o adresă IP publică, iar regulile de mai sus pentru a permite traficul de ieșire sunt încă valabile. Deoarece veți folosi în continuare utilități, cum ar fi managerii de pachete, care vorbesc cu restul lumii ca „client”, UFW permite acest lucru în mod implicit.
Distracția începe cu traficul primit. Aplicațiile, cum ar fi serverul OpenSSH pe care îl utilizați pentru a vă conecta la VM, ascultă în anumite porturi (cum ar fi 22) de intrare solicitări, la fel ca și alte aplicații. Serverele web au nevoie de acces la porturile 80 și 443.
Face parte din sarcina unui firewall de a permite anumitor aplicații să asculte anumite traficuri de intrare în timp ce blochează toate cele inutile. Este posibil să aveți un server de baze de date instalat pe VM, dar de obicei nu trebuie să asculte cererile primite pe interfața cu un IP public. De obicei, ascultă doar interfața loopback pentru solicitări.
Există mulți roboți pe Web, care bombardează în mod constant servere cu solicitări false pentru a intra forțat sau pentru a face un simplu atac Denial of Service. Un firewall bine configurat ar trebui să poată bloca majoritatea acestor shenanigans cu ajutorul unor pluginuri de la terți, cum ar fi Fail2ban.
Dar, deocamdată, ne vom concentra pe o configurație de bază.
Utilizare de bază
Acum că aveți UFW instalat pe sistemul dvs., vom analiza câteva utilizări de bază pentru acest program. Deoarece regulile firewall-ului sunt aplicate la nivel de sistem, comenzile de mai jos sunt executate ca utilizator root. Dacă preferați, puteți utiliza sudo cu privilegii adecvate pentru această procedură.
starea # ufwStare: inactiv
În mod implicit, UFW se află într-o stare inactivă, ceea ce este un lucru bun. Nu doriți să blocați tot traficul de intrare pe portul 22, care este portul SSH implicit. Dacă sunteți conectat la un server la distanță prin SSH și blocați portul 22, veți fi blocat din server.
UFW ne face ușor să introducem o gaură doar pentru OpenSSH. Rulați comanda de mai jos:
[e-mail protejat]: lista de aplicații ~ # ufwAplicații disponibile:
OpenSSH
Observați că încă nu am activat paravanul de protecție. Acum vom adăuga OpenSSH la lista noastră de aplicații permise și apoi vom activa firewall-ul. Pentru aceasta, introduceți următoarele comenzi:
# ufw permite OpenSSHRegulile actualizate
Reguli actualizate (v6)
# ufw activate
Comanda poate perturba conexiunile SSH existente. Continuați cu operația (y | n)? y.
Paravanul de protecție este acum activ și activat la pornirea sistemului.
Felicitări, UFW este acum activ și rulează. UFW permite acum doar OpenSSH să asculte cererile primite în portul 22. Pentru a verifica starea firewall-ului în orice moment, rulați următorul cod:
starea # ufwStare: activ
Pentru acțiune de la
-- ------ ----
OpenSSH ALLOW Oriunde
OpenSSH (v6) ALLOW Anywhere (v6)
După cum puteți vedea, OpenSSH poate primi acum cereri de oriunde de pe Internet, cu condiția să ajungă la acesta în portul 22. Linia v6 indică faptul că regulile sunt aplicate și pentru IPv6.
Puteți, desigur, să interzice anumite intervale de IP sau să permiteți doar o anumită gamă de IP-uri, în funcție de constrângerile de securitate în care lucrați.
Adăugarea de aplicații
Pentru cele mai populare aplicații, comanda ufw app list își actualizează automat lista de politici la instalare. De exemplu, la instalarea serverului web Nginx, veți vedea următoarele opțiuni noi:
# apt install nginx# listă de aplicații ufw
Aplicații disponibile:
Nginx Full
HTTP Nginx
Nginx HTTPS
OpenSSH
Continuați și încercați să experimentați aceste reguli. Rețineți că puteți permite pur și simplu numerele de port, mai degrabă decât să așteptați să apară profilul unei aplicații. De exemplu, pentru a permite portul 443 pentru trafic HTTPS, pur și simplu utilizați următoarea comandă:
# ufw permite 443starea # ufw
Stare: activ
Pentru acțiune de la
-- ------ ----
OpenSSH ALLOW Oriunde
443 PERMITE Oriunde
OpenSSH (v6) ALLOW Anywhere (v6)
443 (v6) PERMITE Oriunde (v6)
Concluzie
Acum, că aveți elementele de bază pentru UFW sortate, puteți explora alte capabilități firewall puternice, începând de la permiterea și blocarea intervalelor de IP. Dacă aveți politici firewall clare și sigure, veți păstra sistemele dvs. în siguranță și protejate.
