Postavljanje UFW-a u Ubuntuu

Gotovo svi napredni korisnici Ubuntu-a zainteresirani su za osiguranje sigurnosti svoje mreže. Također, mnogi koriste određene mrežne uslužne programe koji će ispravno raditi tek nakon postavljanja određenih pravila na vatrozidu. Danas želimo razgovarati o konfiguraciji vatrozida koristeći UFW (Nekomplicirani vatrozid) kao primjer. Ovo je najjednostavniji alat za provedbu pravila vatrozida, pa se preporučuje početnicima i onima koji nisu zadovoljni pretjerano kompliciranom funkcionalnošću iptablea. Krenimo korak po korak kroz cijeli postupak postavljanja, raščlanjujući svaki korak što detaljnije.

Postavljanje UFW-a u Ubuntuu

Nije potrebno instalirati UFW u operativni sustav, jer je standardno prisutan. Međutim, u svom zadanom obliku neaktivan je i nema pravila. Prvo obavimo aktivaciju, a zatim ćemo prijeći na osnovne korake. Međutim, prvo morate naučiti sintaksu, a to se posebno odnosi na one korisnike koji planiraju trajno koristiti ovaj vatrozid.

Korak 1: Naučite sintaksu

Kao što već znate, UFW je uslužni program konzole, što znači da se njime kontrolira kroz standard "Terminal". ili bilo koji drugi korisnički definiran. Interakcija ove vrste vrši se pomoću posebno konfiguriranih naredbi. Svi su oni uvijek dostupni u dokumentaciji, ali nema smisla čitati golemu hrpu materijala, posebno u slučaju trenutnog alata. Princip unosa je sljedeći: sudo ufw опции действие параметры. sudo odgovoran je za pokretanje kao root, ufw - standardni je argument koji označava program koji se poziva, a preostale fraze definiraju pravila koja treba postaviti. Upravo na njih želimo se detaljnije usredotočiti.

  • enable - standardni je parametar odgovoran za omogućavanje vatrozida. Automatski će se dodati u automatsko pokretanje.
  • disable - onemogućava UFW i uklanja ga iz automatskog učitavača.
  • reload - Koristi se za ponovno pokretanje vatrozida. To je osobito važno nakon instalacije novih pravila.
  • default - označava da će se sljedeća opcija postaviti prema zadanim postavkama.
  • logging - aktivira stvaranje datoteka dnevnika koji će pohraniti sve osnovne informacije o djelovanju vatrozida.
  • reset - Vraća sve postavke na zadane vrijednosti.
  • status - koristi se za prikaz trenutnog statusa.
  • show - Izvještaji o brzom pregledu rada vatrozida. Postoje dodatne mogućnosti koje se primjenjuju na ovaj parametar, ali o njima ćemo razgovarati u zasebnom koraku.
  • allow - aktivira se prilikom dodavanja pravila o dopuštenju.
  • deny - isto, ali primijenjeno na poricanje.
  • reject - Dodajte pravilo odbacivanja.
  • limit - Uspostavite pravila ograničenja.
  • delete - uklanja navedeno pravilo.
  • insert - Umetni ravnalo.

Kao što vidite, nema mnogo naredbi. Dostupno je manje od ostalih vatrozida, a sintaksu možete zapamtiti nakon nekoliko pokušaja s UFW-om. Preostaje samo voditi računa o konfiguraciji primjera, na što će se usredotočiti sljedeći koraci današnjeg članka.

Korak 2: Omogući / onemogući / ponovno pokreni

Odlučili smo razdvojiti više konfiguracijskih točaka u jednom koraku, jer su one djelomično povezane i slične u primjeni. Kao što već znate, UFW je u početku u onemogućenom stanju, pa ga omogućimo primjenom jedne naredbe.

  1. Otvorite ploču s programima i pokrenite "Terminal".. Konzolu možete otvoriti i na druge prikladne načine.
  2. Prije aktiviranja provjerite jeste li možda vi ili neki drugi programi prethodno aktivirali vatrozid. To se postiže unosom naredbe sudo ufw status.
  3. Unesite lozinku za privilegije superkorisnika i kliknite Ušao sam u. Imajte na umu da se ovom metodom unosa znakovi ne prikazuju u nizu iz sigurnosnih razloga.
  4. Nova linija pruža vam informacije o trenutnom statusu UFW-a.
  5. Aktiviranje vatrozida vrši se pomoću gore spomenutog parametra, a cijela naredba izgleda ovako: sudo ufw enable.
  6. Dobit ćete obavijest da je vatrozid omogućen i da će se izvoditi s operativnim sustavom.
  7. Da biste ga onemogućili, upotrijebite sudo ufw disable.
  8. Deaktivacija će biti obaviještena s gotovo istom porukom.
  9. Ako u budućnosti trebate resetirati pravila ili to trebate učiniti sada, umetnite naredbu sudo ufw reset i pritisnite tipku Ušao sam u.
  10. Potvrdite ponovno pokretanje odabirom odgovarajuće opcije odgovora.
  11. Vidjet ćete šest različitih redaka s rezervnim adresama. Do ovog mjesta možete doći u bilo kojem trenutku kako biste vratili svoje postavke.

Sada znate određene naredbe odgovorne za upravljanje općenitim ponašanjem vatrozida koje danas razmatramo. Svi ostali koraci usredotočeni su isključivo na konfiguraciju, a same postavke su dane kao primjer, što znači da biste ih trebali izmijeniti na temelju svojih potreba.

Korak 3: Postavite zadana pravila

Obavezno je primijeniti zadana pravila koja će se primijeniti na sve dolazne i odlazne veze koje nisu posebno spomenute. To znači da će sve dolazne veze koje nisu ručno navedene biti blokirane, dok će odlazne veze biti uspješne. Cjelovita shema provodi se na sljedeći način:

  1. Pokrenite novu sesiju konzole i unesite naredbu sudo ufw default deny incoming. Aktivirajte ga pritiskom na tipku Ušao sam u. Ako ste već upoznati s gornjim pravilima sintakse, znate da to znači blokiranje svih dolaznih veza.
  2. Bit će obavezno unijeti lozinku super korisnika. Upisat ćete ga svaki put kad započnete novu sesiju konzole.
  3. Nakon primjene naredbe primit ćete obavijest da je zadano pravilo stupilo na snagu.
  4. Slijedom toga, morat ćete navesti drugu naredbu koja omogućuje odlazne veze. Izgleda ovako: sudo ufw default allow outgoing.
  5. Ponovno će se pojaviti poruka koja označava da je pravilo primijenjeno.

Sada se ne morate brinuti da će bilo koji nepoznati dolazni pokušaj veze biti uspješan i da će netko moći pristupiti vašoj mreži. Ako nećete blokirati sve dolazne pokušaje povezivanja, preskočite prethodno pravilo i stvorite vlastito detaljnim čitanjem sljedećeg koraka.

Korak 4: Dodajte vlastita pravila vatrozida

Pravila vatrozida glavna su podesiva opcija za pretplatu korisnika na UFW. Pogledajmo, na primjer, alat OpenSSH i blokiranje priključaka. Prvo što treba zapamtiti su dodatne sintaksne naredbe za dodavanje pravila:

  • ufw allow имя_службы
  • ufw allow порт
  • ufw allow порт/протокол

Nakon toga možete početi stvarati pravila o dopuštanju i odbijanju. Pogledajmo svaku vrstu politike redom.

  1. Koristiti sudo ufw allow OpenSSH za otvaranje pristupa uslužnim lukama.
  2. Dobit ćete obavijest da su pravila ažurirana.
  3. Pristup se također može otvoriti specificiranjem porta umjesto naziva usluge, koji izgleda ovako: sudo ufw allow 22.
  4. Isto vrijedi i za port / protokol - sudo ufw allow 22/tcp.
  5. Nakon postavljanja pravila provjerite popis dostupnih aplikacija unosom sudo ufw app list. Ako je sve primijenjeno ispravno, željena usluga pojavit će se u jednom od sljedećih redaka.
  6. Što se tiče dopuštanja i zabranjivanja lučkog prometa, to se postiže uvođenjem sintakse ufw allow направление порт. Na sljedećem snimku zaslona možete vidjeti primjer dopuštanja odlaznog prometa na luci (sudo ufw allow out 80/tcp), kao i politika poricanja u istom smjeru prema ulaznoj strani (sudo ufw deny in 80/tcp).
  7. Ako vas zanima primjer kako dodati politiku uvođenjem šire sintaktičke notacije, upotrijebite primjer ufw allow proto протокол from ip_источника to ip_назначения port порт_назначения.

Korak 5: Uspostavite pravila

Tema postavljanja graničnih pravila premjestili smo u zaseban korak jer o tome moramo razgovarati detaljnije. Ovo pravilo ograničava broj IP adresa povezanih na jedan port. Najočitija upotreba ove opcije je zaštita od napada brzom silom lozinkom. Način postavljanja zadane politike je sljedeći:

  1. Na konzoli upišite sudo ufw limit ssh/tcp i kliknite na Ušao sam u.
  2. Unesite lozinku za svoj super korisnički račun.
  3. Dobit ćete obavijest da je ažuriranje pravila uspješno.

Politike ograničenja postavljaju se na isti način za ostale aplikacije. Da biste to učinili, upotrijebite naziv usluge, port ili port / protokol.

Korak 6: Pogledajte status UFW-a.

Ponekad korisnik mora vidjeti trenutno stanje vatrozida, ne samo u smislu aktivnosti, već i instaliranih pravila. Za to postoji zasebna naredba, o kojoj smo ranije govorili, ali sada ćemo je pogledati detaljnije.

  1. Sricati sudo ufw statusda biste dobili standardne informacije.
  2. Novi će redovi prikazivati ​​sve instalirane politike prema adresi, protokolu i nazivu usluge. Radnje i upute prikazane su s desne strane.
  3. Više detalja prikazuje se kada se koristi neobavezni argument, a naredba ima oblik sudo ufw status verbose.
  4. Prikazuje se popis svih pravila u obliku koji je nerazumljiv korisnicima početnicima sudo ufw show raw.

Postoje i druge opcije koje prikazuju neke informacije o pravilima i statusu postojećeg vatrozida. Napravimo kratki pregled svih njih:

  • raw - prikazuje sva aktivna pravila koristeći format prikaza iptables.
  • builtins - uključuje samo pravila dodana prema zadanim postavkama.
  • before-rules - prikazuje politike izvršene prije prihvaćanja paketa iz vanjskog izvora.
  • user-rules - odnosno prikazuje politike koje je dodao korisnik.
  • after-rules - isto je što i prethodna pravila, ali uključuje samo pravila koja se aktiviraju nakon prihvaćanja paketa.
  • logging-rules - prikazuje informacije o događajima koji su zabilježeni.
  • listening - koristi se za pregled aktivnih (slušajućih) priključaka.
  • added - koristi se za pregled nedavno dodanih pravila.

Možete koristiti bilo koju od ovih opcija da biste dobili željene podatke i stavili ih na uslugu.

Korak 7: Izbrišite postojeća pravila

Neki korisnici, nakon što dobiju ispravne informacije o postojećim pravilima, žele ukloniti neka od njih kako bi uspostavili povezanost ili uspostavili nova pravila. Dotični vatrozid omogućuje vam da to učinite u bilo koje dostupno vrijeme, što se radi na sljedeći način:

  1. Umetnite naredbu sudo ufw delete allow out 80/tcp. Pravilo koje dopušta odlazne veze putem porta / protokola 80 / tcp automatski će se ukloniti.
  2. Dobit ćete obavijest da su pravila uspješno uklonjena i za IPv4 i za IPv6.
  3. Isto vrijedi i za uskraćivanje veza, na primjer, sudo ufw delete deny in 80/tcp.

Upotrijebite opcije u prikazu statusa da biste kopirali potrebna pravila i izbrisali ih kao što je prikazano u primjeru.

Korak 8: Aktivirajte registraciju

Posljednji korak u današnjem članku je aktiviranje opcije koja će s vremena na vrijeme automatski spremati informacije o ponašanju UFW-a u zasebnu datoteku. Nije potrebno za sve korisnike, ali vrijedi ovako:

  1. pisar sudo ufw logging on i pritisnite Ušao sam u.
  2. Pričekajte obavijest da će zapis biti spremljen.
  3. Možete primijeniti i drugu opciju poput, sudo ufw logging medium, Tu je i bajo (sprema podatke samo o blokiranim paketima) i visok (sprema sve podatke). Srednja opcija bilježi blokirane i dopuštene pakete.

Iznad ste istražili do osam koraka koji se koriste za konfiguriranje UFW vatrozida u operativnom sustavu Ubuntu. Kao što vidite, riječ je o vrlo jednostavnom vatrozidu koji je prikladan čak i za početnike zbog jednostavnosti svladavanja sintakse. UFW je također dobra zamjena za standardne iptable-e ako niste zadovoljni njime.

Drago nam je da smo vam mogli pomoći u rješavanju vašeg problema.

Opišite što vam nije uspjelo.
Naši će stručnjaci pokušati odgovoriti što je brže moguće.

Je li vam ovaj članak pomogao?