Phenquestions
Bilješka: za ovaj tutorial mrežno sučelje enp2s0 i IP adresa 192.168.0.Kao primjer korišteni su 2/7, zamijenite ih ispravnima.
Instaliranje ufw:
Da biste instalirali ufw na izvođenju Debiana:
apt instalirati ufw
Da biste omogućili pokretanje UFW-a:
ufw omogućiti
Da biste onemogućili pokretanje UFW-a:
ufw onemogućiti
Ako želite izvršiti brzu provjeru statusa vatrozida:
status ufw
Gdje:
Status: obavještava je li vatrozid aktivan.
Do: prikazuje luku ili uslugu
Akcijski: prikazuje politiku
Iz: prikazuje moguće izvore prometa.
Status vatrozida također možemo provjeriti detaljno pokretanjem:
ufw status detaljan
Ova druga naredba za prikaz statusa vatrozida također će prikazati zadane politike i smjer prometa.
Uz informativne zaslone sa „ufw status“ ili „ufw status verbose“, možemo ispisati sva pravila numerirana ako to pomaže u upravljanju njima, kao što ćete vidjeti kasnije. Da biste dobili numerirani popis pravila vatrozida, pokrenite:
ufw status numeriran
U bilo kojoj fazi možemo resetirati postavke UFW-a na zadanu konfiguraciju pokretanjem:
ufw reset
Pri resetiranju pravila ufw zatražit će potvrdu. Pritisnite Y potvrditi.
Kratki uvod u politike vatrozida:
Sa svakim vatrozidom možemo odrediti zadano pravilo, osjetljive mreže mogu primijeniti restriktivno pravilo što znači odbijanje ili blokiranje cjelokupnog prometa, osim posebno dopuštenog. Za razliku od restriktivne politike, dopušteni vatrozid prihvaća sav promet osim posebno blokiranog.
Na primjer, ako imamo web poslužitelj i ne želimo da taj poslužitelj poslužuje više od jednostavne web stranice, možemo primijeniti restriktivnu politiku koja blokira sve priključke osim priključaka 80 (http) i 443 (https), to bi bilo restriktivno pravilo jer su po defaultu sve luke blokirane, osim ako ne odblokirate određeni. Primjer dopuštenog vatrozida bio bi nezaštićeni poslužitelj u kojem blokiramo samo ulaz za prijavu, na primjer, 443 i 22 za Plesk poslužitelje kao samo blokirani priključci. Osim toga, možemo koristiti ufw za dopuštanje ili odbijanje prosljeđivanja.
Primjena restriktivnih i permisivnih politika s ufw:
Da biste prema zadanim postavkama ograničili sav dolazni promet pomoću ufw run:
ufw zadano zabraniti dolazno
Da biste učinili suprotno, dopuštajući sav dolazni promet:
ufw default dopustiti dolazne
Da biste blokirali sav odlazni promet s naše mreže, sintaksa je slična, da biste je izveli:
Da bismo omogućili sav odlazni promet, samo zamjenjujemo "poricati"Za"dopustiti”, Kako bi se bezuvjetno omogućio odlazni promet:
Također možemo dopustiti ili zabraniti promet za određena mrežna sučelja, držeći različita pravila za svako sučelje, kako bi blokirali sav dolazni promet s moje ethernet kartice koju bih pokrenuo:
ufw demantirati na enp2s0
Gdje:
ufw= poziva program
poricati= definira politiku
u= dolazni promet
enp2s0= moje ethernet sučelje
Sada ću primijeniti zadanu restriktivnu politiku za dolazni promet, a zatim dopustiti samo priključke 80 i 22:
ufw zadano zabraniti dolaznoufw dopustiti 22
ufw dopustiti http
Gdje:
Prva naredba blokira sav dolazni promet, dok druga omogućuje dolazne veze na port 22, a treća naredba omogućuje dolazne veze na port 80. Imajte na umu da ufw nam omogućuje pozivanje usluge prema zadanim vratima ili nazivu usluge. Možemo prihvatiti ili odbiti veze na port 22 ili ssh, port 80 ili http.
Naredba “status ufw glagolan”Prikazat će rezultat:
Sav dolazni promet odbijen je dok su dostupne dvije usluge (22 i http) koje smo dopustili.
Ako želimo ukloniti određeno pravilo, to možemo učiniti s parametrom "izbrisati". Da biste uklonili naše posljednje pravilo koje dopušta dolazni promet na izvođenju http porta:
ufw delete dopustiti http
Provjerimo jesu li http usluge i dalje dostupne ili blokirane pokretanjem ufw status detaljan:
Luka 80 više se ne pojavljuje kao iznimka, jer je jedina luka 22.
Pravilo možete izbrisati i pozivanjem njegovog numeričkog ID-a koji daje naredba “ufw status numeriran”Spomenuto prije, u ovom slučaju uklonit ću ODBIJATI pravila o dolaznom prometu na ethernet karticu enp2s0:
ufw izbriši 1
Zatražit će potvrdu i nastavit će ako se potvrdi.
Uz ODBIJATI možemo koristiti parametar ODBITI koji će obavijestiti drugu stranu da je veza odbijena ODBITI veze na ssh možemo pokrenuti:
ufw odbiti 22 
Zatim, ako netko pokuša pristupiti našem portu 22, bit će obaviješten da je veza odbijena kao na donjoj slici.
U bilo kojoj fazi možemo provjeriti dodana pravila preko zadane konfiguracije pokretanjem:
dodana emisija ufw
Možemo odbiti sve veze dok dopuštamo određene IP adrese, u sljedećem primjeru odbit ću sve veze na port 22, osim za IP 192.168.0.2 koji će se jedino moći povezati:
ufw poricati 22ufw dopustiti od 192.168.0.2
Ako provjerimo status ufw, vidjet ćete da je sav dolazni promet prema portu 22 odbijen (pravilo 1) dok je dopušten za navedenu IP (pravilo 2)
Pokušaje prijave možemo ograničiti kako bismo spriječili napade grubom silom postavljanjem ograničenja u radu:
ufw ograničenje ssh
Da bismo završili ovaj tutorial i naučili cijeniti velikodušnost ufw-a, sjetimo se načina na koji bismo mogli zabraniti sav promet, osim jedne IP adrese koristeći iptables:
iptables -A IZLAZ -d 192.168.0.2 -j PRIHVATI
iptables -P INPUT DROP
iptables -P IZLAZNI PAD
Isto se može učiniti sa samo 3 kraće i najjednostavnije linije koristeći ufw:
ufw zadano zabraniti dolaznoufw zadano odbij odlazne
ufw dopustiti od 192.168.0.2
Nadam se da vam je ovaj uvod u ufw bio koristan. Prije bilo kakvog upita o UFW-u ili bilo kojem pitanju vezanom uz Linux, ne ustručavajte se kontaktirati nas putem našeg kanala za podršku na https: // support.linuxhint.com.
Povezani članci
Iptable za početnike
Konfigurirajte Snort IDS i stvorite pravila
