Configurați firewall-ul necomplicat (UFW) pe Ubuntu 14.04

• Instalați UFW
• Permiteți conexiunile
• Refuză conexiunile
• Permiteți accesul de la o adresă IP de încredere
• Activați UFW
• Verificați starea UFW
• Dezactivați / reîncărcați / reporniți UFW
• Eliminarea regulilor
• Activarea suportului IPv6
• Înapoi la setările implicite
• Concluzie

Securitatea este crucială atunci când rulați propriul server. Vrei să te asiguri că numai utilizatorii autorizați pot accesa serverul, configurația și serviciile.

În Ubuntu, există un firewall care vine preîncărcat. Se numește UFW (Firewall necomplicat). Deși UFW este un firewall destul de de bază, este ușor de utilizat, excelează la filtrarea traficului și are o documentare bună. Unele cunoștințe Linux de bază ar trebui să fie suficiente pentru a configura acest firewall pe cont propriu.

Instalați UFW

Observați că UFW este instalat în mod implicit în Ubuntu. Dar, dacă este ceva, îl puteți instala singur. Pentru a instala UFW, executați următoarea comandă.

sudo apt-get install ufw

Permiteți conexiunile

Dacă executați un server web, doriți, evident, ca lumea să poată accesa site-urile dvs. web. Prin urmare, trebuie să vă asigurați că portul TCP implicit pentru web este deschis.

sudo ufw allow 80/tcp

În general, puteți permite orice port de care aveți nevoie folosind următorul format:

sudo ufw allow <port>/<optional: protocol>

Refuză conexiunile

Dacă doriți să refuzați accesul la un anumit port, utilizați acest lucru:

sudo ufw deny <port>/<optional: protocol>

De exemplu, să refuzăm accesul la portul nostru implicit MySQL.

sudo ufw deny 3306

UFW acceptă, de asemenea, o sintaxă simplificată pentru cele mai comune porturi de servicii.

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Este foarte recomandat să restricționați accesul la portul SSH (implicit este portul 22) din orice loc, cu excepția adreselor IP de încredere (exemplu: birou sau acasă).

Permiteți accesul de la o adresă IP de încredere

În mod obișnuit, ar trebui să permiteți accesul numai la porturile deschise public, precum portul 80. Accesul la toate celelalte porturi trebuie să fie restricționat sau limitat. Puteți să listați adresa de domiciliu / birou (de preferință, se presupune că este un IP static) pentru a vă putea accesa serverul prin SSH sau FTP.

sudo ufw allow from 192.168.0.1 to any port 22

Să permitem și accesul la portul MySQL.

sudo ufw allow from 192.168.0.1 to any port 3306

Arată mai bine acum. Sa trecem peste.

Activați UFW

Înainte de a activa (sau reface) UFW, trebuie să vă asigurați că portul SSH are voie să primească conexiuni de la adresa dvs. IP. Pentru a porni / activa firewall-ul UFW, utilizați următoarea comandă:

sudo ufw enable

Vei vedea acest lucru:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Tastați Y , apoi apăsați Enter pentru a activa firewallul.

Firewall is active and enabled on system startup

Verificați starea UFW

Aruncați o privire la toate regulile voastre.

sudo ufw status

Veți vedea o ieșire similară cu cea următoare.

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

Utilizați parametrul „verbose” pentru a vedea un raport de stare mai detaliat.

sudo ufw status verbose

Dezactivați / reîncărcați / reporniți UFW

Pentru a dezactiva (opri) UFW, executați această comandă.

sudo ufw disable

Dacă trebuie să reîncărcați UFW (reguli de reîncărcare), executați următoarele.

sudo ufw reload

Pentru a reporni UFW, va trebui să îl dezactivați mai întâi, apoi să îl activați din nou.

sudo ufw disable
sudo ufw enable

Din nou, înainte de a activa UFW, asigurați-vă că portul SSH este permis pentru adresa dvs. IP.

Eliminarea regulilor

Pentru a gestiona regulile UFW, trebuie să le enumerați. Puteți face asta verificând starea UFW cu parametrul „numerotat”. Veți vedea o ieșire similară cu cea următoare.

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

Ați observat numerele între paranteze pătrate? Acum, pentru a elimina oricare dintre aceste reguli, va trebui să utilizați aceste numere.

sudo ufw delete [number]

Activarea suportului IPv6

Dacă utilizați IPv6 pe VPS, trebuie să vă asigurați că suportul IPv6 este activat în UFW. Pentru a face acest lucru, deschideți fișierul de configurare într-un editor de text.

sudo nano /etc/default/ufw

Odată deschis, asigurați-vă că IPV6este setat pe „da”:

IPV6=yes

După efectuarea acestei modificări, salvați fișierul. Apoi, reporniți UFW prin dezactivarea și reabilitarea acestuia.

sudo ufw disable
sudo ufw enable

Înapoi la setările implicite

Dacă trebuie să reveniți la setările implicite, pur și simplu introduceți comanda următoare. Aceasta va reveni la oricare dintre modificările dvs.

sudo ufw reset

Concluzie

În general, UFW este capabil să vă protejeze VPS împotriva celor mai comune încercări de hacking. Desigur, măsurile dvs. de securitate ar trebui să fie mai detaliate decât folosind doar UFW. Cu toate acestea, este un început bun (și necesar).

Dacă aveți nevoie de mai multe exemple de utilizare a UFW, vă puteți referi la UFW - Wiki de ajutor comunitar .