Kako postaviti UFW vatrozid na Ubuntu i Debian
Ispravno funkcionirajući vatrozid najvažniji je dio kompletne sigurnosti Linux sustava. Prema zadanim postavkama, distribucija Debiana i Ubuntu dolazi s alatom za konfiguriranje vatrozida nazvanim UFW (Nekomplicirani vatrozid), najpopularniji i najjednostavniji alat naredbenog retka za konfiguriranje i upravljanje vatrozidom na distribucijama Ubuntu i Debian.
U ovom ćemo članku objasniti kako instalirati i postaviti UFW vatrozid na Ubuntu i Debian distribucije.
Prije nego započnete s ovim člankom, provjerite jeste li se prijavili na svoj Ubuntu ili Debian poslužitelj sa sudo korisnikom ili s root računom. Ako nemate sudo korisnika, možete ga stvoriti pomoću sljedećih uputa kao root korisnik.
# adduser username # usermod -aG sudo username # su - username $ sudo whoami
Instalirajte UFW vatrozid na Ubuntu i Debian
UFW (Nekomplicirani vatrozid) trebao bi se po defaultu instalirati u Ubuntu i Debian, ako ne, instalirajte ga pomoću upravitelja paketa APT pomoću sljedeće naredbe.
$ sudo apt install ufw
Nakon završetka instalacije možete provjeriti status UFW-a tipkanjem.
$ sudo ufw status verbose
Pri prvoj instalaciji, UFW vatrozid je onemogućen prema zadanim postavkama, izlaz će biti sličan donjem.
Status: inactive
Možete aktivirati ili omogućiti UFW vatrozid pomoću sljedeće naredbe, koja bi trebala učitati vatrozid i omogućiti mu pokretanje prilikom pokretanja.
$ sudo ufw enable
Da biste onemogućili UFW vatrozid, upotrijebite sljedeću naredbu koja istovara vatrozid i onemogućuje njegovo pokretanje pri pokretanju.
$ sudo ufw disable
Prema zadanim postavkama, UFW vatrozid odbija sve dolazne veze i dopušta samo sve izlazne veze s poslužiteljem. To znači da nitko ne može pristupiti vašem poslužitelju, osim ako vi posebno ne otvorite port, dok sve pokrenute usluge ili aplikacije na vašem poslužitelju mogu pristupiti vanjskoj mreži.
Zadane UFW politike vatrozida smještene su u datoteku /etc/default/ufw i mogu se mijenjati pomoću sljedeće naredbe.
$ sudo ufw default deny incoming $ sudo ufw default allow outgoing
Prilikom instaliranja softverskog paketa pomoću upravitelja paketa APT, on će sadržavati profil aplikacije u direktoriju /etc/ufw/applications.d koji definira uslugu i zadržava UFW postavke.
Pomoću sljedeće naredbe možete navesti sve dostupne profile aplikacija na poslužitelju.
$ sudo ufw app list
Ovisno o instalacijama softverskog paketa na vašem sustavu, izlaz će izgledati slično sljedećem:
Available applications: APACHE APACHE Full APACHE SECURE CUPS OpenSSH Postfix Postfix SMTPS Postfix Submission
Ako želite dobiti više informacija o određenom profilu i definiranim pravilima, možete upotrijebiti sljedeću naredbu.
$ sudo ufw app info 'Apache'
Profile: Apache Title: Web Server Description: Apache V2 is the next generation f the omnipresent Apache web server. Ports: 80/tcp
Ako je vaš poslužitelj konfiguriran s IPv6, pobrinite se da je vaš UFW konfiguriran s podrškom za IPv6 i IPv4. Da biste je provjerili, otvorite UFW konfiguracijsku datoteku pomoću omiljenog uređivača.
$ sudo vi /etc/default/ufw
Zatim provjerite je li "IPV6" postavljeno na "yes" u konfiguracijskoj datoteci kao što je prikazano.
IPV6=yes
Spremi i zatvori. Zatim ponovo pokrenite vatrozid pomoću sljedećih naredbi:
$ sudo ufw disable $ sudo ufw enable
Ako ste do sada omogućili UFW vatrozid, on će blokirati sve dolazne veze, a ako ste na SSH povezani s udaljenog mjesta, više ga nećete moći povezati.
Omogućimo SSH veze s našim poslužiteljem da spriječimo to pomoću sljedeće naredbe:
$ sudo ufw allow ssh
Ako koristite prilagođeni SSH port (na primjer port 2222), tada morate otvoriti taj port na UFW vatrozidu pomoću sljedeće naredbe.
$ sudo ufw allow 2222/tcp
Da biste blokirali sve SSH veze, upišite sljedeću naredbu.
$ sudo ufw deny ssh/tcp $ sudo ufw deny 2222/tcp [If using custom SSH port]
Također možete otvoriti određeni port u vatrozidu kako biste omogućili veze putem njega s određenom uslugom. Na primjer, ako želite postaviti web poslužitelj koji prema zadanim postavkama sluša na priključcima 80 (HTTP) i 443 (HTTPS).
Ispod je nekoliko primjera kako dopustiti dolazne veze na usluge Apache.
$ sudo ufw allow http [By service name] $ sudo ufw allow 80/tcp [By port number] $ sudo ufw allow 'Apache' [By application profile]
$ sudo ufw allow https $ sudo ufw allow 443/tcp $ sudo ufw allow 'Apache Secure'
Pod pretpostavkom da imate neke programe koje želite pokretati na rasponu priključaka (5000-5003), možete dodati sve ove priključke pomoću sljedećih naredbi.
sudo ufw allow 5000:5003/tcp sudo ufw allow 5000:5003/udp
Ako želite dopustiti veze na svim priključcima s određene IP adrese 192.168.56.1, tada trebate navesti prije IP adrese.
$ sudo ufw allow from 192.168.56.1
Da biste omogućili vezu na određenom priključku (na primjer port 22) s vašeg kućnog računala s IP adresom 192.168.56.1, tada morate dodati bilo koji port i broj porta nakon IP adrese kao što je prikazano.
$ sudo ufw allow from 192.168.56.1 to any port 22
Da biste omogućili veze za određene IP adrese u rasponu od 192.168.1.1 do 192.168.1.254 do porta 22 (SSH), pokrenite sljedeću naredbu.
$ sudo ufw allow from 192.168.1.0/24 to any port 22
Da biste omogućili veze sa određenim mrežnim sučeljem eth2 za određeni port 22 (SSH), pokrenite sljedeću naredbu.
$ sudo ufw allow in on eth2 to any port 22
Prema zadanim postavkama sve su dolazne veze blokirane, osim ako vezu niste posebno otvorili na UFW-u. Na primjer, otvorili ste priključke 80 i 443 i vaš je web poslužitelj napadnut od nepoznate mreže 11.12.13.0/24.
Da biste blokirali sve veze iz ovog određenog raspona mreže 11.12.13.0/24, možete upotrijebiti sljedeću naredbu.
$ sudo ufw deny from 11.12.13.0/24
Ako želite blokirati veze samo na priključcima 80 i 443, možete koristiti sljedeće naredbe.
$ sudo ufw deny from 11.12.13.0/24 to any port 80 $ sudo ufw deny from 11.12.13.0/24 to any port 443
Postoje 2 načina za brisanje UFW pravila, prema broju pravila i prema stvarnom pravilu.
Da biste izbrisali UFW pravila pomoću broja pravila, prvo morate navesti pravila po brojevima pomoću sljedeće naredbe.
$ sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
Da biste izbrisali pravilo broj 1, upotrijebite sljedeću naredbu.
$ sudo ufw delete 1
Druga metoda je brisanje pravila korištenjem stvarnog pravila, na primjer za brisanje pravila, navedite broj porta s protokolom kao što je prikazano.
$ sudo ufw delete allow 22/tcp
Možete pokrenuti bilo koje naredbe ufw, a da zapravo ne napravite nikakve promjene na zaštitnom zidu sustava pomoću zastavice --dry-run , ovo jednostavno pokazuje promjene koje bi se trebale dogoditi.
$ sudo ufw --dry-run enable
Iz jednog ili drugog razloga, ako želite izbrisati/resetirati sva pravila vatrozida, upišite sljedeće naredbe, vratit će se sve vaše promjene i započeti iznova.
$ sudo ufw reset $ sudo ufw status
UFW vatrozid može uspjeti učiniti sve što iptables radi. To se može učiniti s različitim skupovima datoteka s pravilima, koji nisu ništa drugo, već jednostavne tekstualne datoteke iptables-Restore.
Podešavanje UFW zaštitnog zida ili dodavanje dodatnih naredbi iptables nije dopušteno putem naredbe ufw, samo je pitanje izmjene sljedećih tekstualnih datoteka
- /etc/default/ufw: Glavna konfiguracijska datoteka s unaprijed definiranim pravilima.
- /etc/ufw/before[6].rules: U ovoj se datoteci izračunavaju pravila prije dodavanja putem naredbe ufw.
- /etc/ufw/after[6].rules: U ovoj se datoteci pravila izračunavaju nakon dodavanja naredbom ufw.
- /etc/ufw/sysctl.conf: Ova se datoteka koristi za podešavanje mreže jezgre.
- /etc/ufw/ufw.conf: Ova datoteka omogućuje ufw prilikom pokretanja.
To je to! UFW je izvrstan front-end za iptables s korisničkim sučeljem za definiranje složenih pravila s jednom ufw naredbom.
Ako imate bilo kakvih pitanja ili razmišljanja o ovom članku ufw, koristite obrazac za komentar u nastavku da biste nas kontaktirali.