Phenquestions
Bevezetés
Az Ubuntu egy Linux operációs rendszer, amely az alapértelmezés szerint biztosított fejlett funkciók miatt meglehetősen népszerű a szerveradminisztrátorok körében. Az egyik ilyen szolgáltatás a tűzfal, amely egy olyan biztonsági rendszer, amely figyeli mind a bejövő, mind a kimenő hálózati kapcsolatokat, hogy az előre meghatározott biztonsági szabályoktól függően döntsön. Az ilyen szabályok definiálásához a tűzfalat használat előtt konfigurálni kell, és ez az útmutató bemutatja, hogyan lehet könnyedén engedélyezni és konfigurálni a tűzfalat az Ubuntu-ban, valamint a tűzfal beállításának egyéb hasznos tippjeivel együtt.
A tűzfal engedélyezése
Alapértelmezés szerint az Ubuntu egy UFW (bonyolult tűzfal) néven ismert tűzfalat tartalmaz, amely elegendő néhány más külső csomaggal együtt, hogy megvédje a szervert a külső fenyegetésektől. Mivel azonban a tűzfal nincs engedélyezve, azt bármi előtt engedélyezni kell. A következő paranccsal engedélyezheti az alapértelmezett UFW-t az Ubuntuban.
- Először ellenőrizze a tűzfal aktuális állapotát, hogy megbizonyosodjon arról, hogy valóban le van tiltva. A részletes állapot eléréséhez használja a bőbeszédű paranccsal.
sudo ufw állapot
sudo ufw állapot bőbeszédű
- Ha le van tiltva, a következő parancs engedélyezi
sudo ufw engedélyezése
- Miután engedélyezte a tűzfalat, indítsa újra a rendszert, hogy a változtatások életbe lépjenek. Az r paraméterrel megadhatjuk, hogy a parancs az újraindításra szolgál, a most paraméter az újraindítás kijelzésére szolgál, azonnal, késedelem nélkül.
sudo shutdown -r most
Tűzfal segítségével blokkolja az összes forgalmat
UFW, alapértelmezés szerint blokkolja / engedélyezi az összes forgalmat, hacsak nem írják felül bizonyos portokkal. Amint az a fenti képernyőképeken látható, az ufw blokkolja az összes bejövő forgalmat és lehetővé teszi az összes kimenő forgalmat. A következő parancsokkal azonban az összes forgalmat kivétel nélkül letilthatjuk. Ez kitisztítja az összes UFW-konfigurációt, és megtagadja a hozzáférést bármilyen kapcsolattól.
sudo ufw reset
sudo ufw alapértelmezés szerint megtagadja a bejövőt
sudo ufw alapértelmezetten tagadja a kimenőt
A port engedélyezése a HTTP-hez?
A HTTP a hipertext átviteli protokollt jelenti, amely meghatározza az üzenet formátumát, amikor bármilyen hálózaton, például a világhálón, más néven Interneten továbbítja. Mivel egy webböngésző alapértelmezés szerint HTTP protokollon keresztül csatlakozik a webszerverhez a tartalom interakciójához, a HTTP-hez tartozó portot engedélyezni kell. Továbbá, ha a webszerver SSL / TLS-t (biztonságos socket réteg / szállítási réteg biztonságát) használ, akkor engedélyezni kell a HTTPS-t is.
sudo ufw engedélyezi a http-t
sudo ufw engedélyezi a https-t
Hogyan engedélyezhetem a portot az SSH számára?
Az SSH a biztonságos héjat jelenti, amelyet hálózaton, általában az interneten keresztül lehet rendszerhez csatlakozni; ennélfogva széles körben használják a szerverhez való csatlakozáshoz az interneten keresztül a helyi gépről. Mivel az Ubuntu alapértelmezés szerint blokkolja az összes bejövő kapcsolatot, beleértve az SSH-t is, engedélyezni kell azt, hogy az interneten keresztül hozzáférhessen a szerverhez.
sudo ufw ssh engedélyezése
Ha az SSH egy másik port használatára van konfigurálva, akkor a portszámot kifejezetten meg kell adni a profil neve helyett.
sudo ufw allow 1024
A port engedélyezése a TCP / UDP számára
A TCP, más néven átviteli vezérlő protokoll meghatározza, hogyan lehet hálózati beszélgetést létrehozni és fenntartani annak érdekében, hogy az alkalmazás adatcserét folytasson. Alapértelmezés szerint a webszerver TCP protokollt használ; ezért engedélyezni kell, de szerencsére a port engedélyezése egyszerre engedélyezi a portot mind a TCP / UDP számára. Ha azonban az adott port csak TCP vagy UDP engedélyezésére szolgál, akkor a protokollt meg kell adni a portszámmal / profilnévvel együtt.
sudo ufw allow | deny portnumber | profilnév / tcp / udp
sudo ufw 21 / tcp engedélyezése
sudo ufw deny 21 / udp
A tűzfal teljes kikapcsolása?
Néha az alapértelmezett tűzfalat le kell tiltani a hálózat teszteléséhez, vagy amikor egy másik tűzfalat kívánnak telepíteni. A következő parancs teljesen letiltja a tűzfalat, és feltétel nélkül engedélyezi az összes bejövő és kimenő kapcsolatot. Ez nem tanácsos, hacsak a fent említett szándékok nem adják meg a fogyatékosságot. A tűzfal letiltása nem állítja vissza vagy törli a konfigurációit; így ismét engedélyezhető a korábbi beállításokkal.
sudo ufw letiltása
Engedélyezze az alapértelmezett házirendeket
Az alapértelmezett házirendek megadják, hogy a tűzfal hogyan reagál a kapcsolatra, ha egyetlen szabály sem felel meg annak, például ha a tűzfal alapértelmezés szerint engedélyezi az összes bejövő kapcsolatot, de ha a 25-ös portszám blokkolva van a bejövő kapcsolatok számára, akkor a többi port továbbra is működik a bejövő kapcsolatok esetén kivéve a 25-ös portszámot, mivel felülírja az alapértelmezett kapcsolatot. A következő parancsok megtagadják a bejövő kapcsolatokat, és alapértelmezés szerint engedélyezik a kimenő kapcsolatokat.
sudo ufw alapértelmezés szerint megtagadja a bejövőt
sudo ufw alapértelmezés szerint engedélyezi a kimenőt
Specifikus porttartomány engedélyezése
A porttartomány meghatározza, hogy a tűzfalszabály mely portokra vonatkozik. A tartomány a startPort: endPort formátumban, ezt követi a kapcsolatprotokoll, amelyet ebben az esetben meg kell adni.
sudo ufw 6000: 6010 / tcp
sudo ufw allow 6000: 6010 / udp
Specifikus IP-cím / címek engedélyezése / megtagadása
Nem csak egy adott port engedélyezhető vagy megtagadható kimenő vagy bejövő esetén, hanem egy IP-cím is. Amikor az IP-cím meg van adva a szabályban, az adott IP-től érkező minden kérés csak meghatározott szabálynak van alávetve, például a következő paranccsal engedélyezi az összes kérést a 67-től.205.171.204 IP-cím, akkor engedélyezi az összes kérést a 67-től.205.171.204 mind a 80, mind a 443 portra, ez azt jelenti, hogy bármely eszköz, amely rendelkezik ezzel az IP címmel, sikeres kéréseket küldhet a szerverre anélkül, hogy megtagadná őket abban az esetben, ha az alapértelmezett szabály blokkolja az összes bejövő kapcsolatot. Ez nagyon hasznos azoknak a magánszervereknek, amelyeket egyetlen személy vagy egy adott hálózat használ.
sudo ufw megengedi 67-től.205.171.204
sudo ufw megengedi 67-től.205.171.204 bármely 80-as portra
sudo ufw megengedi 67-től.205.171.204 bármelyik 443-as portra
Naplózás engedélyezése
A naplózási funkció naplózza a szerverre érkező és onnan érkező minden egyes kérelem technikai részleteit. Ez hasznos hibakeresés céljából; ezért ajánlott bekapcsolni.
sudo ufw bejelentkezés
Specifikus alhálózat engedélyezése / megtagadása
Ha egy IP-címtartományt érint, nehéz minden egyes IP-címrekordot manuálisan hozzáadni egy tűzfalszabályhoz, hogy vagy megtagadják, vagy engedélyezzék, így az IP-címtartományok megadhatók a CIDR jelölésekben, amelyek általában az IP-címből és az összegből gazdagépek és az egyes gazdagépek IP címe.
A következő példában a következő két parancsot használja. Az első példában a / 24 netmask-ot használja, tehát a 192-től érvényes szabályt.168.1.1–192.168.1.254 IP-cím. A második példában ugyanaz a szabály érvényes csak a 25-ös portszámra. Tehát, ha a bejövő kéréseket alapértelmezés szerint blokkoljuk, akkor az említett IP-címek engedélyezik a kérelmek elküldését a kiszolgáló 25-ös portjára.
sudo ufw allow 192-től.168.1.1/24
sudo ufw allow 192-től.168.1.1/24 bármely 25-ös portra
Szabály törlése a tűzfalból
A szabályok eltávolíthatók a tűzfalról. A következő első parancs sorban sorolja fel a tűzfal egyes szabályait, majd a második paranccsal a szabály törölhető a szabályhoz tartozó szám megadásával.
sudo ufw állapotszámozott
sudo ufw delete 2
A tűzfal konfigurációjának visszaállítása
Végül a tűzfal konfigurációjának újrakezdéséhez használja a következő parancsot. Ez nagyon hasznos, ha a tűzfal furcsán kezd működni, vagy ha a tűzfal váratlan módon viselkedik.
sudo ufw reset
