Instaliranje i postavljanje UFW-a u Ubuntu 20.04 LTS

UFW, ili Nekomplicirani vatrozid, je user-friendly sučelje za Linux iptables. UFW je napisan na Pythonu (podržava Python 3.5 i više) i trenutni je de facto uslužni program za upravljanje vatrozidom u Ubuntu sustavima. Ovaj je uslužni program vrlo koristan i djeluje kao izvrstan vatrozid zasnovan na hostu.

Ovaj vam članak pokazuje kako instalirati i koristiti UFW na vašem Ubuntu 20.04 LTS sustav.

Montaža

UFW dolazi predinstaliran na većinu Ubuntu sustava. Ako u vašoj verziji ovaj program već nije instaliran, možete ga instalirati pomoću upravitelja snap ili apt paketa.$ sudo snap instaliraj ufw

$ sudo apt instalirati ufw

Osobno više volim koristiti upravitelj paketa apt za to jer je snap manje popularan i ne želim imati tu dodatnu složenost. U vrijeme pisanja ovog članka, verzija objavljena za UFW je 0.36 za 20.04 puštanje.

Dolazni vs. Odlazni promet

Ako ste početnik u svijetu umrežavanja, prvo što trebate pojasniti je razlika između dolaznog i odlaznog prometa.

Kada instalirate ažuriranja pomoću apt-get, pregledavate internet ili provjeravate svoju e-poštu, ono što radite je slanje "odlaznih" zahtjeva poslužiteljima, kao što su Ubuntu, Google itd. Da biste pristupili tim uslugama, ne treba vam čak ni javna IP adresa. Obično se za javnu širokopojasnu vezu dodjeljuje jedna javna IP adresa, a svaki uređaj dobiva svoju privatnu IP. Usmjerivač zatim obrađuje promet koristeći nešto što se naziva NAT ili Prijevod mrežne adrese.

Pojedinosti o NAT-u i privatnim IP adresama izvan su dosega ovog članka, ali videozapis gore naveden izvrsno je polazište. Vraćajući se na UFW, UFW će prema zadanim postavkama omogućiti sav redoviti odlazni web promet. Vaši preglednici, upravitelji paketa i drugi programi odabiru slučajni broj porta - obično broj veći od 3000 - i na taj način svaka aplikacija može pratiti svoje veze.

Kada pokrećete poslužitelje u oblaku, oni obično dolaze s javnom IP adresom i gore navedena pravila dopuštanja odlaznog prometa i dalje vrijede. Budući da ćete i dalje koristiti uslužne programe, poput upravitelja paketa, koji sa ostatkom svijeta razgovaraju kao 'klijent', UFW to prema zadanim postavkama dopušta.

Zabava započinje dolaznim prometom. Aplikacije, poput OpenSSH poslužitelja koji koristite za prijavu na VM, preslušavaju na određenim priključcima (poput 22) za dolazni zahtjevi, kao i druge aplikacije. Web poslužitelji trebaju pristup lukama 80 i 443.

Dio je posla vatrozida da omogući određenim programima da preslušavaju određeni dolazni promet, dok istovremeno blokira sve nepotrebne. Možda je na vašem VM-u instaliran poslužitelj baze podataka, ali obično ne treba slušati dolazne zahtjeve na sučelju s javnom IP adresom. Obično samo preslušava na povratnom sučelju za zahtjeve.

Na Internetu postoji mnogo botova koji neprestano bombardiraju poslužitelje lažnim zahtjevima da silom uđu ili izvrše jednostavan napad uskraćivanja usluge. Dobro konfigurirani vatrozid trebao bi moći blokirati većinu ovih smicalica uz pomoć dodataka treće strane poput Fail2ban.

Ali, zasad ćemo se usredotočiti na vrlo osnovnu postavku.

Osnovna upotreba

Sad kad ste na sustav instalirali UFW, razmotrit ćemo neke osnovne namjene ovog programa. Budući da se pravila vatrozida primjenjuju na cijelom sustavu, naredbe u nastavku izvode se kao korijenski korisnik. Ako želite, za ovaj postupak možete koristiti sudo s odgovarajućim privilegijama.

# ufw status
Status: neaktivan

Prema zadanim postavkama, UFW je u neaktivnom stanju, što je dobra stvar. Ne želite blokirati sav dolazni promet na priključku 22, koji je zadani SSH priključak. Ako ste prijavljeni na udaljeni poslužitelj putem SSH-a i blokirate port 22, bit ćete zaključani s poslužitelja.

UFW nam olakšava probijanje rupe samo za OpenSSH. Pokrenite donju naredbu:

[zaštićen e-poštom]: ~ # ufw popis aplikacija
Dostupne aplikacije:
OpenSSH

Primijetite da još uvijek nisam omogućio vatrozid. Sada ćemo dodati OpenSSH na naš popis dopuštenih aplikacija, a zatim omogućiti vatrozid. Da biste to učinili, unesite sljedeće naredbe:

# ufw dopustiti OpenSSH
Pravila ažurirana
Ažurirana pravila (v6)
# ufw omogućiti

Naredba može poremetiti postojeće SSH veze. Nastavite s operacijom (y | n)? g.

Vatrozid je sada aktivan i omogućen pri pokretanju sustava.

Čestitamo, UFW je sada aktivan i pokrenut. UFW sada omogućuje samo OpenSSH-u da sluša dolazne zahtjeve na priključku 22. Da biste u bilo kojem trenutku provjerili status vatrozida, pokrenite sljedeći kôd:

# ufw status
Status: aktivan
Za akciju iz
-- ------ ----
OpenSSH DOZVOLI bilo gdje
OpenSSH (v6) DOZVOLI bilo gdje (v6)

Kao što vidite, OpenSSH sada može primati zahtjeve s bilo kojeg mjesta na Internetu, pod uvjetom da ga stigne na port 22. Redak v6 označava da se pravila primjenjuju i na IPv6.

Možete, naravno, zabraniti određeni raspon IP-a ili dopustiti samo određeni raspon IP-ova, ovisno o sigurnosnim ograničenjima u kojima radite.

Dodavanje aplikacija

Za najpopularnije aplikacije, naredba popisa aplikacija ufw automatski ažurira svoj popis pravila nakon instalacije. Na primjer, nakon instalacije Nginx web poslužitelja vidjet ćete da se pojavljuju sljedeće nove opcije:

# apt instalirati nginx
# ufw popis aplikacija
Dostupne aplikacije:
Nginx pun
Nginx HTTP
Nginx HTTPS
OpenSSH

Samo naprijed i pokušajte eksperimentirati s tim pravilima. Imajte na umu da možete jednostavno dopustiti brojeve priključaka, umjesto da čekate da se prikaže profil aplikacije. Na primjer, da dopustite port 443 za HTTPS promet, jednostavno upotrijebite sljedeću naredbu:

# ufw dopustiti 443
# ufw status
Status: aktivan
Za akciju iz
-- ------ ----
OpenSSH DOZVOLI bilo gdje
443 DOZVOLI bilo gdje
OpenSSH (v6) DOZVOLI bilo gdje (v6)
443 (v6) DOZVOLI bilo gdje (v6)

Zaključak

Sada kada ste razvrstali osnove UFW-a, možete istražiti druge moćne mogućnosti vatrozida, počevši od dopuštanja i blokiranja raspona IP-a. Imajući jasna i sigurna pravila o vatrozidu, vaši će sustavi biti sigurni i zaštićeni.