Ubuntu 14.04에서 복잡하지 않은 방화벽 (UFW) 구성

• UFW 설치
• 연결 허용
• 연결 거부
• 신뢰할 수있는 IP 주소에서 액세스 허용
• UFW 활성화
• UFW 상태 확인
• UFW 비활성화 / 재로드 / 다시 시작
• 규칙 제거
• IPv6 지원 활성화
• 기본 설정으로 돌아 가기
• 결론

자체 서버를 실행할 때는 보안이 중요합니다. 인증 된 사용자 만 서버, 구성 및 서비스에 액세스 할 수 있도록하려고합니다.

우분투에는 방화벽이 미리 설치되어 있습니다. 이를 UFW (Uncomplicated Firewall)라고합니다. UFW는 매우 기본적인 방화벽이지만 사용하기 쉽고 트래픽 필터링에 탁월하며 훌륭한 문서를 가지고 있습니다. 이 기본적인 방화벽 지식은이 방화벽을 스스로 구성하기에 충분해야합니다.

UFW 설치

UFW는 일반적으로 Ubuntu에 기본적으로 설치됩니다. 그러나 무엇이든 직접 설치할 수 있습니다. UFW를 설치하려면 다음 명령을 실행하십시오.

sudo apt-get install ufw

연결 허용

당신이 웹 서버를 운영하고 있다면, 당신은 분명히 세상이 당신의 웹 사이트에 접근 할 수 있기를 원합니다. 따라서 웹의 기본 TCP 포트가 열려 있는지 확인해야합니다.

sudo ufw allow 80/tcp

일반적으로 다음 형식을 사용하여 필요한 포트를 허용 할 수 있습니다.

sudo ufw allow <port>/<optional: protocol>

연결 거부

특정 포트에 대한 액세스를 거부해야하는 경우 다음을 사용하십시오.

sudo ufw deny <port>/<optional: protocol>

예를 들어 기본 MySQL 포트에 대한 액세스를 거부합시다.

sudo ufw deny 3306

UFW는 또한 가장 일반적인 서비스 포트에 대한 간단한 구문을 지원합니다.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

신뢰할 수있는 IP 주소 (예 : 사무실 또는 집)를 제외한 모든 곳에서 SSH 포트 (기본적으로 포트 22)에 대한 액세스를 제한하는 것이 좋습니다.

신뢰할 수있는 IP 주소에서 액세스 허용

일반적으로 포트 80과 같이 공개적으로 열린 포트에만 액세스를 허용해야합니다. 다른 모든 포트에 대한 액세스는 제한되거나 제한되어야합니다. SSH 또는 FTP를 통해 서버에 액세스 할 수 있도록 집 / 사무실 IP 주소 (권장 IP는 고정 IP 여야 함)를 허용 목록에 추가 할 수 있습니다.

sudo ufw allow from 192.168.0.1 to any port 22

MySQL 포트에 대한 액세스도 허용하겠습니다.

sudo ufw allow from 192.168.0.1 to any port 3306

이제 더 좋아 보인다. 계속 갑시다.

UFW 활성화

UFW를 활성화 (또는 복원)하기 전에 SSH 포트가 IP 주소에서 연결을 수신 할 수 있는지 확인해야합니다. UFW 방화벽을 시작 / 활성화하려면 다음 명령을 사용하십시오.

sudo ufw enable

당신은 이것을 볼 것입니다 :

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

유형 Y는 , 다음을 눌러 입력 방화벽을 활성화합니다.

Firewall is active and enabled on system startup

UFW 상태 확인

모든 규칙을 살펴보십시오.

sudo ufw status

다음과 유사한 출력이 표시됩니다.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

더 자세한 상태 보고서를 보려면 "verbose"매개 변수를 사용하십시오.

sudo ufw status verbose

UFW 비활성화 / 재로드 / 다시 시작

UFW를 비활성화 (중지)하려면이 명령을 실행하십시오.

sudo ufw disable

UFW를 다시로드해야하는 경우 (다시로드 규칙) 다음을 실행하십시오.

sudo ufw reload

UFW를 다시 시작하려면 먼저 UFW를 비활성화 한 다음 다시 활성화해야합니다.

sudo ufw disable
sudo ufw enable

UFW를 활성화하기 전에 SSH 주소가 IP 주소에 허용되는지 확인하십시오.

규칙 제거

UFW 규칙을 관리하려면 규칙을 나열해야합니다. "numbered"파라미터로 UFW 상태를 확인하면됩니다. 다음과 유사한 출력이 표시됩니다.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

대괄호 안의 숫자는? 이제 이러한 규칙을 제거하려면이 숫자를 사용해야합니다.

sudo ufw delete [number]

IPv6 지원 활성화

VPS에서 IPv6을 사용하는 경우 UFW에서 IPv6 지원이 활성화되어 있는지 확인해야합니다. 그렇게하려면 텍스트 편집기에서 구성 파일을여십시오.

sudo nano /etc/default/ufw

열리면 IPV6"yes"로 설정되어 있는지 확인하십시오 .

IPV6=yes

이 변경을 한 후 파일을 저장하십시오. 그런 다음 UFW를 비활성화했다가 다시 활성화하여 다시 시작하십시오.

sudo ufw disable
sudo ufw enable

기본 설정으로 돌아 가기

기본 설정으로 돌아가려면 다음 명령을 입력하십시오. 변경 사항이 취소됩니다.

sudo ufw reset

결론

전반적으로 UFW는 가장 일반적인 해킹 시도로부터 VPS를 보호 할 수 있습니다. 물론 UFW를 사용하는 것보다 보안 조치가 더 자세해야합니다. 그러나, 그것은 좋은 (필요한) 시작입니다.

UFW 사용에 대한 추가 예가 필요한 경우 UFW- 커뮤니티 도움말 위키를 참조하십시오 .