Uvod
Ubuntu je Linux operativni sustav koji je prilično popularan među administratorima poslužitelja zbog naprednih značajki koje su mu zadane prema zadanim postavkama. Jedna od takvih značajki je vatrozid, koji je sigurnosni sustav koji nadzire dolazne i odlazne mrežne veze kako bi donosio odluke ovisno o unaprijed definiranim sigurnosnim pravilima. Da bi se definirala takva pravila, vatrozid mora biti konfiguriran prije njegove upotrebe, a ovaj vodič prikazuje kako s lakoćom omogućiti i konfigurirati vatrozid u Ubuntuu, zajedno s ostalim korisnim savjetima za konfiguriranje vatrozida.
Kako omogućiti vatrozid
Prema zadanim postavkama, Ubuntu dolazi s vatrozidom, poznatim pod nazivom UFW (nekomplicirani vatrozid), što je dovoljno, zajedno s nekim drugim paketima trećih strana da poslužitelj zaštiti od vanjskih prijetnji. Međutim, budući da vatrozid nije omogućen, on mora biti omogućen prije svega. Upotrijebite sljedeću naredbu da omogućite zadani UFW u Ubuntuu.
- Prije svega provjerite trenutni status vatrozida kako biste se uvjerili da je stvarno onemogućen. Da biste dobili detaljan status, upotrijebite ga zajedno s detaljnom naredbom.
sudo ufw status
sudo ufw status detaljan
- Ako je onemogućen, sljedeća naredba to omogućuje
sudo ufw omogućiti
- Nakon što je vatrozid omogućen, ponovno pokrenite sustav da bi promjene stupile na snagu. Parametar r koristi se za izjavu da je naredba za ponovno pokretanje, a parametar now za izjavu da se ponovno pokretanje mora izvršiti odmah bez odgode.
sudo shutdown -r sad
Blokirajte sve trafike vatrozidom
UFW, prema zadanim postavkama blokira / dopušta sve prometnice, osim ako je nadjačana određenim priključcima. Kao što se vidi na gornjim snimkama zaslona, ufw blokira sve dolazne prometnice i omogućuje sav odlazni promet. Međutim, sljedećim naredbama sav promet može se onemogućiti bez ikakvih izuzetaka. Čime se ovo briše sve UFW konfiguracije i zabranjuje pristup s bilo koje veze.
sudo ufw resetirati
sudo ufw default demanti dolazno
sudo ufw default demanti odlazni
Kako omogućiti port za HTTP?
HTTP je skraćenica od protokola za prijenos hiperteksta, koji definira način oblikovanja poruke prilikom prijenosa putem bilo koje mreže, poput svjetske mreže, zvane Internet. Budući da se web-preglednik prema zadanim postavkama povezuje s web-poslužiteljem putem HTTP protokola radi interakcije sa sadržajem, port koji pripada HTTP-u mora biti omogućen. Osim toga, ako web poslužitelj koristi SSL / TLS (osigurani sloj utičnice / sigurnost transportnog sloja), tada mora biti dopušten i HTTPS.
sudo ufw dopustiti http
sudo ufw dopustiti https
Kako omogućiti priključak za SSH?
SSH označava sigurnu ljusku, koja se koristi za povezivanje na sustav preko mreže, obično putem Interneta; stoga se široko koristi za povezivanje s poslužiteljima putem Interneta s lokalnog računala. Budući da Ubuntu prema zadanim postavkama blokira sve dolazne veze, uključujući SSH, mora biti omogućen da bi se poslužitelju pristupio putem Interneta.
sudo ufw dopustiti ssh
Ako je SSH konfiguriran za upotrebu drugog porta, tada se umjesto imena profila mora izričito navesti broj porta.
sudo ufw dopustiti 1024
Kako omogućiti port za TCP / UDP
TCP, odnosno protokol za kontrolu prijenosa, definira kako uspostaviti i održavati mrežni razgovor kako bi aplikacija razmjenjivala podatke. Prema zadanim postavkama, web poslužitelj koristi TCP protokol; stoga ga treba omogućiti, ali na sreću omogućavanje porta omogućuje i port za oba TCP / UDP-a odjednom. Međutim, ako je određeni port namijenjen samo za TCP ili UDP, tada mora biti naveden protokol zajedno s brojem porta / nazivom profila.
sudo ufw dopustiti | zabraniti broj porta | ime profila / tcp / udp
sudo ufw dopustiti 21 / tcp
sudo ufw poricati 21 / udp
Kako u potpunosti onemogućiti vatrozid?
Ponekad zadani vatrozid mora biti onemogućen da bi se testirala mreža ili kada se namjerava instalirati drugi vatrozid. Sljedeća naredba potpuno onemogućuje vatrozid i bezuvjetno omogućuje sve dolazne i odlazne veze. To nije preporučljivo osim ako gore spomenute namjere nisu razlozi za onemogućavanje. Onemogućavanje vatrozida ne resetira ili briše njegove konfiguracije; stoga se ponovno može omogućiti s prethodnim postavkama.
sudo ufw onesposobiti
Omogućite zadana pravila
Zadane politike navode kako vatrozid reagira na vezu kada se nijedno pravilo ne podudara s njom, na primjer ako vatrozid prema zadanim postavkama dopušta sve dolazne veze, ali ako je port broj 25 blokiran za dolazne veze, ostatak porta i dalje radi za dolazne veze osim priključka broj 25, jer nadjačava zadanu vezu. Sljedeće naredbe odbijaju dolazne veze i prema zadanim postavkama dopuštaju odlazne veze.
sudo ufw default demanti dolazno
sudo ufw default dopusti odlazne
Omogući određeni domet priključka
Raspon priključaka specificira na koje priključke se primjenjuje pravilo vatrozida. Raspon je naveden u startPort: endPort formatu, zatim slijedi protokol povezivanja koji je ovlašten navoditi u ovom slučaju.
sudo ufw dopustiti 6000: 6010 / tcp
sudo ufw dopustiti 6000: 6010 / udp
Dopusti / odbij određene IP adrese / adrese
Ne može se dopustiti ili odbiti samo određeni priključak bilo za odlaznu ili dolaznu, već i za IP adresu. Kada je IP adresa navedena u pravilu, bilo koji zahtjev s te određene IP podliježe upravo navedenom pravilu, na primjer u sljedećoj naredbi dopušta sve zahtjeve od 67.205.171.204 IP adresa, tada dopušta sve zahtjeve od 67.205.171.204 na priključke 80 i 443, što znači da bilo koji uređaj s ovom IP-om može poslati uspješne zahtjeve poslužitelju bez odbijanja u slučaju kada zadano pravilo blokira sve dolazne veze. Ovo je vrlo korisno za privatne poslužitelje koje koristi jedna osoba ili određena mreža.
sudo ufw dopustiti od 67.205.171.204
sudo ufw dopustiti od 67.205.171.204 u bilo koju luku 80
sudo ufw dopustiti od 67.205.171.204 u bilo koju luku 443
Omogući zapisivanje
Funkcija bilježenja bilježi tehničke detalje svakog zahtjeva na i s poslužitelja. Ovo je korisno u svrhu uklanjanja pogrešaka; stoga se preporučuje uključivanje.
sudo ufw prijava
Dopusti / zabrani određenu podmrežu
Kada je uključen niz IP adresa, teško je ručno dodati svaki zapis IP adrese u pravilo vatrozida da bi se to odbilo ili dopustilo, pa se rasponi IP adresa mogu navesti u CIDR notaciji, koja se obično sastoji od IP adrese i količine domaćina koje sadrži i IP svakog domaćina.
U sljedećem primjeru koristi sljedeće dvije naredbe. U prvom primjeru koristi / 24 mrežnu masku, a time i pravilo koje vrijedi od 192.168.1.1 do 192.168.1.254 IP adrese. U drugom primjeru isto pravilo vrijedi samo za priključak broj 25. Dakle, ako su dolazni zahtjevi prema zadanim postavkama blokirani, sada je spomenutim IP adresama dopušteno slanje zahtjeva na priključak broj 25 poslužitelja.
sudo ufw dopustiti od 192.168.1.1/24
sudo ufw dopustiti od 192.168.1.1/24 u bilo koji priključak 25
Izbrišite pravilo iz vatrozida
Pravila se mogu ukloniti s vatrozida. Sljedeća prva naredba poredava svako pravilo u vatrozidu brojem, a zatim se drugom naredbom pravilo može izbrisati određivanjem broja koji pripada pravilu.
sudo ufw status numeriran
sudo ufw izbriši 2
Poništite konfiguraciju vatrozida
Konačno, da biste započeli s konfiguracijom vatrozida, upotrijebite sljedeću naredbu. Ovo je vrlo korisno ako vatrozid počne raditi neobično ili se vatrozid ponaša na neočekivan način.
sudo ufw resetirati