Έχει το Ubuntu τείχος προστασίας?
Περίληψη
Ubuntu wiki
Αυτό το άρθρο εξετάζει τη χρήση ενός τείχους προστασίας στο Ubuntu, ειδικά εστιάζοντας στο εργαλείο UFW (απλό τείχος προστασίας). Το υποσύστημα NetFilter του Kernux Kernel είναι υπεύθυνο για το φιλτράρισμα πακέτων και το iPtables χρησιμοποιείται για τη διαχείριση των κανόνων τείχους προστασίας. Ωστόσο, το UFW παρέχει έναν φιλικό προς το χρήστη τρόπο για τη διαμόρφωση του τείχους προστασίας, απλοποιώντας τη διαδικασία δημιουργίας κανόνων. Το άρθρο εξηγεί επίσης πώς να ενεργοποιήσετε και να απενεργοποιήσετε το UFW, καθώς και πώς να το χρησιμοποιήσετε για να επιτρέψετε ή να αρνηθείτε συγκεκριμένες θύρες και διευθύνσεις IP. Επιπλέον, αναφέρει την ενσωμάτωση του UFW με τα προφίλ εφαρμογών και την έννοια της μεταμφίεσης IP.
Βασικά σημεία
1. Μηχανισμός τείχους προστασίας Linux: Ο πυρήνας Linux ενσωματώνει το υποσύστημα NetFilter για φιλτράρισμα πακέτων, το οποίο διαχειρίζεται το IPTables.
2. Σκοπός των iptables: Το iPtables χρησιμοποιείται για να χειριστεί ή να αποφασίσει τη μοίρα της κυκλοφορίας δικτύου με βάση τους κανόνες που παρέχονται από το χώρο χρήστη.
3. Χρήση UFW: Το UFW (απλό τείχος προστασίας) είναι το προεπιλεγμένο εργαλείο διαμόρφωσης τείχους προστασίας για το Ubuntu, σχεδιασμένο για να διευκολύνει τη διαχείριση των iPtables.
4. Ενεργοποίηση UFW: Το UFW είναι αρχικά απενεργοποιημένο, αλλά μπορεί να ενεργοποιηθεί χρησιμοποιώντας την εντολή “Sudo UFW Enable” στον τερματικό σταθμό.
5. Επιτρέποντας και αρνείται τις θύρες: Οι συγκεκριμένες θύρες μπορούν να επιτρέπονται ή να απορριφθούν χρησιμοποιώντας εντολές όπως “Sudo UFW, επιτρέπουν [Port]” ή “Sudo UFW Deny [Port]”.
6. Κανόνες βάσει IP: Το UFW υποστηρίζει τη δημιουργία κανόνων που βασίζονται σε διευθύνσεις IP, όπως η επιτρέποντας ή την άρνηση της κυκλοφορίας από ένα συγκεκριμένο IP.
7. Διαχείριση κανόνων UFW: Το UFW παρέχει εντολές για την εισαγωγή, διαγραφή ή ελέγξτε την κατάσταση των κανόνων, όπως το “Sudo UFW INSERT [RUING]”, “Sudo UFW DELETE [RUINT]” ή “Sudo UFW Status”.
8. Ενσωμάτωση εφαρμογών: Οι εφαρμογές μπορούν να περιλαμβάνουν ένα προφίλ UFW, λεπτομερώς τις απαιτούμενες θύρες, οι οποίες μπορούν να αντιμετωπιστούν χρησιμοποιώντας εντολές όπως “Sudo UFW επιτρέπουν [App]”.
9. IP μεταμφίεση: Το IP MasquerAding επιτρέπει μηχανές με ιδιωτικές διευθύνσεις IP σε ένα δίκτυο για πρόσβαση στο Διαδίκτυο μέσω της μηχανής μεταμφίεσης. Το Linux χρησιμοποιεί το conntrack για να τροποποιήσει τη διεύθυνση IP προέλευσης των πακέτων για σωστή δρομολόγηση.
10. Προσαρμοσμένοι κανόνες UFW για μεταμφίεση: Το UFW μπορεί να χρησιμοποιηθεί για την εφαρμογή της μεταμφίεσης IP μέσω προσαρμοσμένων κανόνων.
Ερωτήσεις
1. Ποιος είναι ο σκοπός του Iptables στο Linux?
Το iPtables χρησιμοποιείται για να χειριστεί ή να αποφασίσει τη μοίρα της κυκλοφορίας δικτύου με βάση τους κανόνες που παρέχονται από το χώρο χρήστη.
2. Τι είναι το UFW και ο ρόλος του στο Ubuntu?
Το UFW (απλό τείχος προστασίας) είναι το προεπιλεγμένο εργαλείο διαμόρφωσης τείχους προστασίας για το Ubuntu, σχεδιασμένο για να απλοποιήσει τη διαχείριση των iPtables.
3. Πώς μπορεί να ενεργοποιηθεί ή να απενεργοποιηθεί το UFW?
Το UFW μπορεί να ενεργοποιηθεί χρησιμοποιώντας την εντολή “Sudo UFW Enable” και απενεργοποιείται χρησιμοποιώντας “Sudo UFW Disable”.
4. Ποιες εντολές μπορούν να χρησιμοποιηθούν για να επιτρέψουν ή να αρνηθεί συγκεκριμένες θύρες χρησιμοποιώντας το UFW?
Οι εντολές όπως το “sudo ufw επιτρέπουν [port]” και “sudo ufw deny [port]” μπορούν να χρησιμοποιηθούν για να επιτρέψουν ή να αρνηθεί συγκεκριμένες θύρες.
5. Είναι δυνατόν να δημιουργηθούν κανόνες βάσει IP με το UFW?
Ναι, η UFW υποστηρίζει τη δημιουργία κανόνων που βασίζονται σε διευθύνσεις IP, επιτρέποντας ή αρνείται την κυκλοφορία από συγκεκριμένα IPS.
6. Πώς μπορεί κάποιος να διαχειριστεί τους κανόνες UFW?
Οι εντολές όπως το “Sudo UFW Insert [Rule]”, “Sudo UFW Delete [κανόνας]” ή “Sudo UFW Status” μπορούν να χρησιμοποιηθούν για τη διαχείριση των κανόνων UFW.
7. Ποιος είναι ο σκοπός της ενσωμάτωσης της εφαρμογής με το UFW?
Η ενσωμάτωση εφαρμογών επιτρέπει στις εφαρμογές να περιλαμβάνουν προφίλ UFW, καθορίζοντας τις απαιτούμενες θύρες για τη λειτουργία τους.
8. Πώς μπορεί κάποιος να προβάλει τις εφαρμογές που έχουν εγκαταστήσει ένα προφίλ στο UFW?
Η εντολή “Λίστα εφαρμογών Sudo UFW” μπορεί να χρησιμοποιηθεί για την προβολή των εφαρμογών που έχουν εγκαταστήσει ένα προφίλ.
9. Ποια είναι η έννοια της μεταμφίεσης IP?
Το IP MasquerAding επιτρέπει μηχανές με ιδιωτικές διευθύνσεις IP σε ένα δίκτυο για πρόσβαση στο Διαδίκτυο μέσω του μηχανήματος που εκτελεί τη μεταμφίεση.
10. Πώς μπορεί να χρησιμοποιηθεί το UFW για προσαρμοσμένους κανόνες μεταμφίεσης IP?
Το UFW μπορεί να χρησιμοποιηθεί για την εφαρμογή της μεταμφίεσης IP με τη δημιουργία προσαρμοσμένων κανόνων για σκοπούς μεταμφίεσης.
11. Πώς μπορεί κάποιος να ελέγξει τις πληροφορίες σχετικά με ένα συγκεκριμένο προφίλ εφαρμογής UFW?
Η εντολή “Sudo UFW App Info [App]” μπορεί να χρησιμοποιηθεί για την ανάκτηση πληροφοριών σχετικά με ένα συγκεκριμένο προφίλ εφαρμογής UFW.
12. Εάν μια εφαρμογή δεν διαθέτει προφίλ UFW, τι μπορεί να γίνει για να αντιμετωπιστεί αυτό?
Εάν μια εφαρμογή δεν διαθέτει προφίλ UFW, μπορεί να κατατεθεί ένα σφάλμα κατά του πακέτου στο Launchpad για να ζητήσει την ένταξή της.
13. Είναι δυνατόν να χρησιμοποιήσετε το UFW τόσο με IPv4 όσο και με IPv6?
Ναι, το UFW παρέχει έναν φιλικό προς το χρήστη τρόπο για τη δημιουργία τείχους προστασίας IPv4 ή IPv6 Host.
14. Τι συμβαίνει στην κυκλοφορία αφήνοντας ένα ιδιωτικό δίκτυο κατά τη μεταμφίεση IP?
Η κυκλοφορία που αφήνει ένα ιδιωτικό δίκτυο κατά τη διάρκεια της μεταμφίεσης IP είναι “μεταμφίεση” ως προέρχεται από το μηχάνημα πύλης Ubuntu για σωστή δρομολόγηση.
15. Ποιος είναι ο σκοπός του μηχανισμού Conntrack στο Linux κατά τη διάρκεια της μεταφοράς IP?
Το Linux χρησιμοποιεί το Conntrack για να παρακολουθεί ποιες συνδέσεις ανήκουν σε ποιες μηχανές, επιτρέποντας την επαναφορά πακέτων επιστροφής σε σενάρια μεταμφίεσης IP IP.
Ubuntu wiki
Ο Chris Hoffman είναι αρχισυντάκτης του How-to Geek. Έχει γράψει για την τεχνολογία για πάνω από μια δεκαετία και ήταν αρθρογράφος PCWorld για δύο χρόνια. Ο Chris έχει γράψει για Οι Νιου Γιορκ Ταιμς και Η περίληψη του αναγνώστη, έχει πάρει συνέντευξη ως εμπειρογνώμονας τεχνολογίας σε τηλεοπτικούς σταθμούς όπως το NBC 6 του Μαϊάμι και είχε το έργο του που καλύπτεται από ειδησεογραφικά πρακτορεία όπως το BBC. Από το 2011, ο Chris έχει γράψει πάνω από 2.000 άρθρα που έχουν διαβάσει περισσότερα από ένα δισεκατομμύριο φορές — και αυτό είναι ακριβώς εδώ στο How-to Geek. Διαβάστε περισσότερα.
Ασφάλεια – τείχος προστασίας
Ο πυρήνας του Linux περιλαμβάνει το Νευρώνα υποσύστημα, το οποίο χρησιμοποιείται για να χειριστεί ή να αποφασίσει τη μοίρα της κυκλοφορίας δικτύου που κατευθύνεται μέσα ή μέσω του διακομιστή σας. Όλες οι σύγχρονες λύσεις Firewall Linux χρησιμοποιούν αυτό το σύστημα για φιλτράρισμα πακέτων.
Ο πυρήνας’Το σύστημα φιλτραρίσματος πακέτων S θα ήταν ελάχιστο χρήσιμο στους διαχειριστές χωρίς διεπαφή χρήστη για να το διαχειριστεί. Αυτός είναι ο σκοπός των iPtables: Όταν ένα πακέτο φτάσει στο διακομιστή σας, θα παραδοθεί στο υποσύστημα Netfilter για αποδοχή, χειραγώγηση ή απόρριψη βάσει των κανόνων που του παρέχονται από το χώρο χρήστη μέσω του IPTables. Έτσι, το iPtables είναι το μόνο που χρειάζεστε για να διαχειριστείτε το τείχος προστασίας σας, αν εσείς’Εξοικονομήστε με αυτό, αλλά πολλά μπροστινά στοιχεία είναι διαθέσιμα για να απλοποιήσετε την εργασία.
ufw – Απλό τείχος προστασίας
Το προεπιλεγμένο εργαλείο διαμόρφωσης τείχους προστασίας για το Ubuntu είναι UFW. Αναπτύχθηκε για να διευκολύνει τη διαμόρφωση του Firewall IPTables, το UFW παρέχει έναν φιλικό προς το χρήστη τρόπο για τη δημιουργία ενός τείχους προστασίας IPv4 ή IPv6 Host.
Το UFW από προεπιλογή είναι αρχικά απενεργοποιημένο. Από τη σελίδα UFW Man:
“Το UFW δεν προορίζεται να παρέχει πλήρη λειτουργικότητα τείχους προστασίας μέσω της διεπαφής εντολών, αλλά παρέχει έναν εύκολο τρόπο προσθήκης ή κατάργησης απλών κανόνων. Αυτή τη στιγμή χρησιμοποιείται κυρίως για τείχη προστασίας με βάση τον κεντρικό υπολογιστή.”
Τα παρακάτω είναι μερικά παραδείγματα για το πώς να χρησιμοποιήσετε το UFW:
Πρώτον, πρέπει να ενεργοποιηθεί το UFW. Από μια προτροπή τερματικού εισάγετε:
Ενεργοποίηση Sudo UFW
Το Sudo UFW επιτρέπει 22
Sudo UFW Εισαγωγή 1 Αφήστε το 80
Το Sudo UFW αρνείται 22
sudo ufw delete αρνείται 22
Το Sudo UFW επιτρέπει την Proto TCP από το 192.168.0.2 σε οποιαδήποτε θύρα 22
sudo ufw--dry-run επιτρέπουν http
*Φίλτρο: UFW-User-Input-[0: 0]: UFW-User-Output-[0: 0]: UFW-User-Forward-[0: 0].0.0.0/0 οποιοδήποτε 0.0.0.0/0 -A UFW -USER -Input -P TCP -DPORT 80 -J Αποδοχή ### ΚΑΝΟΝΕΣ ΚΑΝΟΝΙΣΜΟΣ ### -A UFW -USER -Input -j RETURN -J -LOG -PREFIX - imit -j απόρριψη -a ufw -user -limit -paccept -j αποδέχεστε τους κανόνες δέσμευσης ενημερωμένοι
Απενεργοποίηση Sudo UFW
Κατάσταση Sudo UFW
sudo ufw κατάσταση verbose
Αριθμός κατάστασης Sudo UFW
Σημείωση
Εάν η θύρα που θέλετε να ανοίξετε ή να κλείσετε ορίζεται στο /etc /υπηρεσίες, μπορείτε να χρησιμοποιήσετε το όνομα θύρας αντί του αριθμού. Στα παραπάνω παραδείγματα, αντικαταστήστε 22 με σσε.
Αυτή είναι μια γρήγορη εισαγωγή στη χρήση του UFW. Ανατρέξτε στη σελίδα UFW Man για περισσότερες πληροφορίες.
Ενσωμάτωση εφαρμογών UFW
Οι εφαρμογές που ανοίγουν θύρες μπορούν να περιλαμβάνουν ένα προφίλ UFW, το οποίο λεπτομερώς τις θύρες που απαιτούνται για τη σωστή λειτουργία της εφαρμογής. Τα προφίλ διατηρούνται σε/etc/ufw/εφαρμογές.d, και μπορεί να επεξεργαστεί εάν οι προεπιλεγμένες θύρες έχουν αλλάξει.
Για να δείτε ποιες εφαρμογές έχουν εγκαταστήσει ένα προφίλ, εισαγάγετε τα παρακάτω σε ένα τερματικό:
Λίστα εφαρμογών Sudo UFW
Το Sudo UFW επιτρέπει τη Samba
Το UFW επιτρέπει από 192.168.0.0/24 σε οποιαδήποτε εφαρμογή Samba
Αντικαθιστώ Σάμπα και 192.168.0.0/24 με το προφίλ εφαρμογής που χρησιμοποιείτε και το εύρος IP για το δίκτυό σας.
Σημείωση Δεν χρειάζεται να καθορίσετε το πρωτόκολλο Για την εφαρμογή, επειδή οι πληροφορίες αυτές αναλύονται λεπτομερώς στο προφίλ. Επίσης, σημειώστε ότι το εφαρμογή Το όνομα αντικαθιστά το Λιμάνι αριθμός.
Sudo UFW Πληροφορίες εφαρμογής Samba
Όχι όλες οι εφαρμογές που απαιτούν το άνοιγμα μιας θύρας δικτύου έρχονται με προφίλ UFW, αλλά αν έχετε παρουσιάσει μια εφαρμογή και θέλετε να συμπεριληφθεί το αρχείο στο πακέτο, παρακαλούμε να καταθέσετε ένα σφάλμα ενάντια στο πακέτο στο LaunchPad.
Όνομα ubuntu-bug
Μεταμφίεση
Ο σκοπός της μεταμφίεσης IP είναι να επιτρέπεται μηχανές με ιδιωτικές, μη δρομολογημένες διευθύνσεις IP στο δίκτυό σας για πρόσβαση στο Διαδίκτυο μέσω του μηχανήματος που κάνει τη μεταμφίεση. Η επισκεψιμότητα από το ιδιωτικό σας δίκτυο που προορίζεται για το Διαδίκτυο πρέπει να χειριστεί για τις απαντήσεις να μπορούν να επιστρέψουν στο μηχάνημα που έκανε το αίτημα. Για να γίνει αυτό, ο πυρήνας πρέπει να τροποποιήσει το πηγή Διεύθυνση IP κάθε πακέτου έτσι ώστε οι απαντήσεις να δρομολογηθούν πίσω σε αυτήν, και όχι στην ιδιωτική διεύθυνση IP που έκανε το αίτημα, το οποίο είναι αδύνατο μέσω του Διαδικτύου. Χρησιμοποιεί το Linux Παρακολούθηση σύνδεσης (Conntrack) για να παρακολουθείτε ποιες συνδέσεις ανήκουν σε ποιες μηχανές και επαναπροσδιορίστε κάθε πακέτο επιστροφής ανάλογα. Η κυκλοφορία που αφήνει το ιδιωτικό σας δίκτυο “μεταμφιεσμένος” που προέρχεται από το μηχάνημα πύλης του Ubuntu. Αυτή η διαδικασία αναφέρεται στην τεκμηρίωση της Microsoft ως κοινή χρήση σύνδεσης στο Διαδίκτυο.
ufw μεταμφίεση
Η μεταμφίεση IP μπορεί να επιτευχθεί χρησιμοποιώντας προσαρμοσμένους κανόνες UFW. Αυτό είναι δυνατό επειδή το τρέχον back-end για το UFW είναι το iPtables-restore με τα αρχεία κανόνων που βρίσκονται στο/etc/ufw/*.κανόνας . Αυτά τα αρχεία είναι ένα εξαιρετικό μέρος για να προσθέσετε κανόνες IPTables Legacy Iptables που χρησιμοποιούνται χωρίς UFW και κανόνες που είναι περισσότερο πύλη δικτύου ή γέφυρα σχετίζονται.
Οι κανόνες χωρίζονται σε δύο διαφορετικά αρχεία, κανόνες που πρέπει να εκτελεστούν πριν από τους κανόνες της γραμμής εντολών UFW και τους κανόνες που εκτελούνται μετά από κανόνες γραμμής εντολών UFW.
Πρώτον, η προώθηση πακέτων πρέπει να ενεργοποιηθεί στο UFW. Δύο αρχεία διαμόρφωσης θα πρέπει να προσαρμοστούν, σε/etc/default/ufw αλλαγή του Default_forward_policy προς την “ΑΠΟΔΕΧΟΜΑΙ”:
Default_forward_policy = "Αποδοχή"
Στη συνέχεια, επεξεργασία/etc/ufw/sysctl.Conf και Uncomment:
net/ipv4/ip_forward = 1
Ομοίως, για την αποστολή της IPv6:
net/ipv6/conf/προεπιλογή/προώθηση = 1
# Κανόνες πίνακα NAT *NAT: Postrouting Αποδοχή [0: 0] # Προώθηση της κυκλοφορίας από ETH1 έως ETH0. -Μια μετατόπιση -S 192.168.0.0/24 -O ETH0 -J Masquerade # Μην διαγράψετε τη γραμμή "Commit" ή αυτοί οι κανόνες του πίνακα NAT δεν θα υποβληθούν σε επεξεργασία δέσμευσης
Τα σχόλια δεν είναι αυστηρά απαραίτητα, αλλά θεωρείται καλή πρακτική για την τεκμηρίωση της διαμόρφωσής σας. Επίσης, όταν τροποποιείτε οποιοδήποτε από τα κανόνας Αρχεία σε /etc /ufw, βεβαιωθείτε ότι αυτές οι γραμμές είναι η τελευταία γραμμή για κάθε τραπέζι τροποποιημένο:
# Μην διαγράψετε τη γραμμή "Commit" ή αυτοί οι κανόνες δεν θα επεξεργαστούν τη δέσμευση
Για κάθε Τραπέζι ένα αντίστοιχο ΔΙΑΠΡΑΤΤΩ Απαιτείται δήλωση. Σε αυτά τα παραδείγματα μόνο το νάτις και φίλτρο εμφανίζονται πίνακες, αλλά μπορείτε επίσης να προσθέσετε κανόνες για το ακατέργαστος και μάγγανο τραπέζια.
Σημείωση Στο παραπάνω παράδειγμα αντικαταστήστε ETH0, ETH1, και 192.168.0.0/24 με τις κατάλληλες διεπαφές και το εύρος IP για το δίκτυό σας.
Sudo UFW Απενεργοποιήστε && sudo ufw Ενεργοποίηση
Η μεταμφίεση IP πρέπει τώρα να είναι ενεργοποιημένη. Μπορείτε επίσης να προσθέσετε πρόσθετους κανόνες προώθησης στο/etc/ufw/πριν.κανόνας . Συνιστάται να προστεθούν αυτοί οι πρόσθετοι κανόνες στο ufw-πριν από την πρόοδο αλυσίδα.
Iptables μεταμφιέζονται
Τα iptables μπορούν επίσης να χρησιμοποιηθούν για να επιτρέψουν τη μεταμφίεση.
Παρόμοια με το UFW, το πρώτο βήμα είναι να ενεργοποιήσετε την προώθηση πακέτων IPv4 με επεξεργασία /etc /sysctl.Conf και Uncomment την ακόλουθη γραμμή:
καθαρά.IPv4.ip_forward = 1
Εάν επιθυμείτε να ενεργοποιήσετε την προώθηση του IPv6 και την UNCOMMENT:
καθαρά.IPv6.τολμηρός.Προκαθορισμένο.Προώθηση = 1
sudo sysctl -p
Sudo iptables -t nat -a postrouting -s 192.168.0.0/16 -O PPP0 -J Masquerade
- -T NAT – Ο κανόνας είναι να μεταβείτε στον πίνακα NAT
- -Μια μετατόπιση-ο κανόνας πρέπει να προσαρτηθεί (-α) στην αλυσίδα μετατόπισης
- -192.168.0.0/16 – Ο κανόνας ισχύει για την κυκλοφορία που προέρχεται από τον καθορισμένο χώρο διευθύνσεων
- -O PPP0 – Ο κανόνας ισχύει για την κυκλοφορία που έχει προγραμματιστεί να δρομολογηθεί μέσω της συγκεκριμένης συσκευής δικτύου
- -J Masquerade – Η κυκλοφορία που ταιριάζει με αυτόν τον κανόνα είναι να “άλμα” (-J) στον στόχο μεταμφίεσης που πρέπει να χειριστεί όπως περιγράφεται παραπάνω
sudo iptables -a forward -s 192.168.0.0/16 -O PPP0 -J Αποδοχή sudo iptables -a forward -d 192.168.0.0/16 -M State \ -Εγκατασταθείσα, Σχετική -I PPP0 -J Αποδοχή
iptables -t nat -a postrouting -s 192.168.0.0/16 -O PPP0 -J Masquerade
Κούτσουρα
Τα αρχεία καταγραφής τείχους προστασίας είναι απαραίτητα για την αναγνώριση των επιθέσεων, την αντιμετώπιση των κανόνων του τείχους προστασίας σας και την παρατήρηση ασυνήθισης δραστηριότητας στο δίκτυό σας. Ωστόσο, πρέπει να συμπεριλάβετε κανόνες καταγραφής στο τείχος προστασίας σας για να δημιουργηθούν, και οι κανόνες καταγραφής πρέπει να προκύψουν πριν από οποιονδήποτε ισχύον κανόνα τερματισμού (ένας κανόνας με στόχο που αποφασίζει τη μοίρα του πακέτου, όπως αποδοχή, πτώση ή απόρριψη).
Εάν χρησιμοποιείτε το UFW, μπορείτε να ενεργοποιήσετε την καταγραφή εισάγοντας τα παρακάτω σε ένα τερματικό:
Sudo UFW Ενεργοποίηση
Για να απενεργοποιήσετε το UFW, απλά αντικαταστήστε επί με μακριά από Στην παραπάνω εντολή.
Εάν χρησιμοποιείτε iPtables αντί για UFW, εισάγετε:
Sudo Iptables -A Input -m State -STATE NEW -P TCP -DPORT 80 \ -J LOG -LOG -PREFIX "NEW_HTTP_CONN:"
Ένα αίτημα στη θύρα 80 από το τοπικό μηχάνημα, τότε, θα δημιουργούσε ένα αρχείο καταγραφής στο DMESG που μοιάζει με αυτό (η ενιαία γραμμή χωρίζεται σε 3 για να ταιριάζει σε αυτό το έγγραφο):
[4304885.870000] new_http_conn: in = lo out = mac = 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 08: 00 src = 127.0.0.1 DST = 127.0.0.1 LEN = 60 TOS = 0x00 PREC = 0x00 TTL = 64 DF Proto = TCP SPT = 53981 DPT = 80 Παράθυρο = 32767 Res = 0x00 Syn UrgP = 0
Το παραπάνω αρχείο καταγραφής θα εμφανιστεί επίσης στο/var/log/μηνύματα,/var/log/syslog, και/var/log/kern.κούτσουρο . Αυτή η συμπεριφορά μπορεί να τροποποιηθεί με επεξεργασία /etc /syslog.Conf κατάλληλα ή με την εγκατάσταση και τη διαμόρφωση του ULOGD και τη χρήση του στόχου ULOG αντί του αρχείου. Ο δαίμονας Ulogd είναι ένας διακομιστής χρήστη που ακούει τις οδηγίες καταγραφής από τον πυρήνα ειδικά για τείχη προστασίας και μπορεί να συνδεθεί σε οποιοδήποτε αρχείο που σας αρέσει ή ακόμα και σε μια βάση δεδομένων PostgreSQL ή MySQL. Η κατανόηση των αρχείων καταγραφής τείχους προστασίας μπορεί να απλουστευθεί χρησιμοποιώντας ένα εργαλείο ανάλυσης καταγραφής, όπως logwatch, fwanalog, fwlogwatch ή lire.
Άλλα εργαλεία
Υπάρχουν πολλά διαθέσιμα εργαλεία για να σας βοηθήσουν να κατασκευάσετε ένα πλήρες τείχος προστασίας χωρίς να γνωρίζετε τα iptables. Ένα εργαλείο γραμμής εντολών με αρχεία διαμόρφωσης απλού κειμένου:
- Το Shorewall είναι μια πολύ ισχυρή λύση για να σας βοηθήσει να διαμορφώσετε ένα προηγμένο τείχος προστασίας για οποιοδήποτε δίκτυο.
βιβλιογραφικές αναφορές
- Η σελίδα Wiki Firewall Ubuntu περιέχει πληροφορίες σχετικά με την ανάπτυξη του UFW.
- Επίσης, η σελίδα Manual UFW περιέχει μερικές πολύ χρήσιμες πληροφορίες: Man UFW .
- Ανατρέξτε στο πακέτο-φιλτράρασμα-Howto για περισσότερες πληροφορίες σχετικά με τη χρήση iptables.
- Το Nat-Howto περιέχει περισσότερες λεπτομέρειες σχετικά με τη μεταμφίεση.
- Το Iptables Howto στο ubuntu wiki είναι ένας μεγάλος πόρος.
Ubuntu wiki
Ο πυρήνας Linux στο Ubuntu παρέχει ένα σύστημα φιλτραρίσματος πακέτων που ονομάζεται νευρώνα, και την παραδοσιακή διεπαφή για χειρισμό νευρώνα είναι το Iptables σουίτα εντολών. Iptables Παρέχετε μια πλήρη λύση τείχους προστασίας που είναι εξαιρετικά διαμορφωμένη και εξαιρετικά ευέλικτη.
Να γίνεις ικανός Iptables Χρειάζεται χρόνος και ξεκινώντας με νευρώνα τείχος προστασίας χρησιμοποιώντας μόνο Iptables μπορεί να είναι μια αποθαρρυντική εργασία. Ως αποτέλεσμα, πολλά μπροστά για Iptables έχουν δημιουργηθεί με την πάροδο των ετών, ο καθένας προσπαθεί να επιτύχει ένα διαφορετικό αποτέλεσμα και να στοχεύει ένα διαφορετικό κοινό.
Το απλό τείχος προστασίας (ufw) είναι ένα frontend για Iptables και είναι ιδιαίτερα κατάλληλο για τείχη προστασίας με βάση τον κεντρικό υπολογιστή. ufw παρέχει ένα πλαίσιο για τη διαχείριση νευρώνα, καθώς και μια διεπαφή γραμμής εντολών για τον χειρισμό του τείχους προστασίας. ufw στοχεύει να παρέχει μια εύκολη στη χρήση διεπαφή για τους ανθρώπους που δεν είναι εξοικειωμένοι με τις έννοιες του τείχους προστασίας, ενώ ταυτόχρονα απλοποιεί περίπλοκα Iptables εντολές για να βοηθήσει έναν διαχειριστή που ξέρει τι κάνει αυτός ή αυτή. ufw είναι ένα ανάντη για άλλες διανομές και γραφικά μπροστινά.
UFW στο Ubuntu
Ubuntu 8.04 LTS εισήχθη ufw, Και είναι διαθέσιμο από προεπιλογή σε όλες τις εγκαταστάσεις Ubuntu μετά τις 8.04 LTS.
Διαθέσιμες εκδόσεις σε υποστηριζόμενες εκδόσεις του Ubuntu
- Ubuntu 12.04 ESM: 0.31.1-1
- Ubuntu 14.04 ESM: 0.34 ~ RC-0ubuntu2
- Ubuntu 16.04 LTS: 0.35-0UBUNTU2
- Ubuntu 18.04 LTS: 0.36-0UBUNTU0.18.04.1
- Ubuntu 20.04: 0.36-6
- Ubuntu 21.04: 0.36-7.1
- Ubuntu 21.10: 0.36.1-1,
- Ubuntu 22.04: 0.36.1-4,
- Πυρήνας Ubuntu: 0.36 πόδια
Χαρακτηριστικά
ufw έχει τα ακόλουθα χαρακτηριστικά:
Πώς να διαμορφώσετε το Ubuntu’ΣΥΜΒΟΥΛΙΟ ΤΕΛΟΣ
Chris Hoffman
Chris Hoffman
Αρχισυντάκτης
Ο Chris Hoffman είναι αρχισυντάκτης του How-to Geek. Έχει γράψει για την τεχνολογία για πάνω από μια δεκαετία και ήταν αρθρογράφος PCWorld για δύο χρόνια. Ο Chris έχει γράψει για Οι Νιου Γιορκ Ταιμς και Η περίληψη του αναγνώστη, έχει πάρει συνέντευξη ως εμπειρογνώμονας τεχνολογίας σε τηλεοπτικούς σταθμούς όπως το NBC 6 του Μαϊάμι και είχε το έργο του που καλύπτεται από ειδησεογραφικά πρακτορεία όπως το BBC. Από το 2011, ο Chris έχει γράψει πάνω από 2.000 άρθρα που έχουν διαβάσει περισσότερα από ένα δισεκατομμύριο φορές — και αυτό είναι ακριβώς εδώ στο How-to Geek. Διαβάστε περισσότερα.
Ενημερωμένη Ιούλη 10, 2017, 4:11 μμ EDT | Διαβάστε 2 λεπτά
Το Ubuntu περιλαμβάνει το δικό του τείχος προστασίας, γνωστό ως UFW – σύντομο για “απλό τείχος προστασίας.” Το UFW είναι ένα ευκολότερο στη χρήση Frontend για τις τυπικές εντολές Linux Iptables. Μπορείτε ακόμη να ελέγξετε το UFW από μια γραφική διεπαφή. Ubuntu’Το τείχος προστασίας S έχει σχεδιαστεί ως ένας εύκολος τρόπος για να εκτελέσετε βασικές εργασίες τείχους προστασίας χωρίς να μαθαίνετε iptables. Δεν κάνει’να προσφέρει όλη τη δύναμη των τυποποιημένων εντολών iptables, αλλά αυτό’είναι λιγότερο περίπλοκο.
Χρήση τερματικού
Το τείχος προστασίας είναι απενεργοποιημένο από προεπιλογή. Για να ενεργοποιήσετε το τείχος προστασίας, εκτελέστε την ακόλουθη εντολή από ένα τερματικό:
Ενεργοποίηση Sudo UFW
Εσύ’t αναγκαστικά πρέπει να ενεργοποιήσετε πρώτα το τείχος προστασίας. Μπορείτε να προσθέσετε κανόνες ενώ το τείχος προστασίας είναι εκτός σύνδεσης και στη συνέχεια να το ενεργοποιήσετε μετά από εσάς’re ολοκληρώθηκε διαμόρφωση το.
Εργασία με κανόνες
Αφήνω’λένε ότι θέλετε να επιτρέψετε την κυκλοφορία SSH στη θύρα 22. Για να το κάνετε αυτό, μπορείτε να εκτελέσετε μία από τις διάφορες εντολές:
Το Sudo UFW επιτρέπει 22 (επιτρέπει την κυκλοφορία TCP και UDP – δεν είναι ιδανική εάν το UDP ISN’απαραίτητο.) Το Sudo UFW επιτρέπει 22/TCP (επιτρέπει μόνο την κυκλοφορία TCP σε αυτήν τη θύρα.) sudo ufw επιτρέπουν το SSH (ελέγχει το αρχείο /etc /services στο σύστημά σας για τη θύρα που απαιτεί η SSH και το επιτρέπει. Πολλές κοινές υπηρεσίες παρατίθενται σε αυτό το αρχείο.·
Το UFW υποθέτει ότι θέλετε να ορίσετε τον κανόνα για την εισερχόμενη κυκλοφορία, αλλά μπορείτε επίσης να καθορίσετε μια κατεύθυνση. Για παράδειγμα, για να μπλοκάρει την εξερχόμενη κυκλοφορία SSH, εκτελέστε την ακόλουθη εντολή:
Το Sudo UFW απορρίπτει το SSH
Μπορείτε να δείτε τους κανόνες σας’Δημιουργήθηκε με την ακόλουθη εντολή:
Κατάσταση Sudo UFW
Για να διαγράψετε έναν κανόνα, προσθέστε τη λέξη διαγραφή πριν από τον κανόνα. Για παράδειγμα, για να σταματήσετε να απορρίπτετε την εξερχόμενη κυκλοφορία SSH, εκτελέστε την ακόλουθη εντολή:
sudo ufw delete Απορρίψτε το SSH
Ufw’Η σύνταξη S επιτρέπει αρκετά περίπλοκους κανόνες. Για παράδειγμα, αυτός ο κανόνας αρνείται την κυκλοφορία TCP από το IP 12.34.56.78 στη θύρα 22 στο τοπικό σύστημα:
Sudo UFW DENY Proto TCP από 12.34.56.78 σε οποιαδήποτε θύρα 22
Για να επαναφέρετε το τείχος προστασίας στην προεπιλεγμένη του κατάσταση, εκτελέστε την ακόλουθη εντολή:
Επαναφορά Sudo UFW
Προφίλ εφαρμογής
Ορισμένες εφαρμογές που απαιτούν ανοικτές θύρες έρχονται με προφίλ UFW για να το κάνουν ακόμα πιο εύκολο. Για να δείτε τα προφίλ εφαρμογής που είναι διαθέσιμα στο τοπικό σας σύστημα, εκτελέστε την ακόλουθη εντολή:
Λίστα εφαρμογών Sudo UFW
Προβολή πληροφοριών σχετικά με ένα προφίλ και τους κανόνες που περιλαμβάνονται με την ακόλουθη εντολή:
Όνομα πληροφοριών εφαρμογής Sudo UFW
Επιτρέψτε ένα προφίλ εφαρμογής με την εντολή επιτρέπει:
Sudo UFW επιτρέπει το όνομα
Περισσότερες πληροφορίες
Η καταγραφή είναι απενεργοποιημένη από προεπιλογή, αλλά μπορείτε επίσης να ενεργοποιήσετε την καταγραφή για να εκτυπώσετε μηνύματα τείχους προστασίας στο αρχείο καταγραφής συστήματος:
Sudo UFW Ενεργοποίηση
Για περισσότερες πληροφορίες, εκτελέστε το Ο άνθρωπος ufw εντολή για να διαβάσετε ufw’Εγχειρίδιο Σελίδα.
GUFW γραφική διεπαφή
Το GUFW είναι μια γραφική διεπαφή για το UFW. Το Ubuntu δεν’να έρθει με γραφική διεπαφή, αλλά το GUFW περιλαμβάνεται στο Ubuntu’S Λογισμικού Softues. Μπορείτε να το εγκαταστήσετε με την ακόλουθη εντολή:
sudo apt-get εγκαταστήστε το gufw
Το GUFW εμφανίζεται στην παύλα ως εφαρμογή που ονομάζεται διαμόρφωση τείχους προστασίας. Όπως το ίδιο το UFW, το GUFW παρέχει μια απλή, εύκολη στη χρήση διεπαφή. Μπορείτε εύκολα να ενεργοποιήσετε ή να απενεργοποιήσετε το τείχος προστασίας, να ελέγξετε την προεπιλεγμένη πολιτική για εισερχόμενη ή εξερχόμενη κίνηση και να προσθέσετε κανόνες.
Ο επεξεργαστής κανόνων μπορεί να χρησιμοποιηθεί για την προσθήκη απλών κανόνων ή πιο περίπλοκων.
Θυμηθείτε, μπορείτε’να κάνουμε τα πάντα με το UFW – για πιο περίπλοκες εργασίες τείχους προστασίας, εσείς’Θα πρέπει να βγάλω τα χέρια σας βρώμικα με iptables.
Εντολές Linux | |
Αρχεία | πίσσα · φωτοβολίδα · Γάτα · tac · chmod · γροθιά · διαφορά · σαγόνια · AR · άνδρας · πιότος · σκάφος · FSCKK · τεστ τεστ · γαρύκη · FD · πανδρωτήρα · CD · Διαδρομή $ · awk · Συμμετοχή · jq · πτυχή · uniq · περιοδικό · ουρά · σταυρώ · LS · πτερύγιο · ηχώ · πιο λιγο · chgrp · κοροϊδεύω · στροφή μηχανής · Κοίτα · χορδές · τύπος · μετονομάζω · φερμουάρ · ανοίγω φερμουάρ · βουνό · ασβεστόλιθος · εγκαθιστώ · φουσκωτό · MKFS · rm · rmdir · λοξοτομώ · df · GPG · vi · νανο · mkdir · δούλος · LN · κηλίδα · μετατρέπω · ριψοκίνδυνος · κομματάκι · SRM · SCP · γουρουνάκι · chattr · Τομή · εύρημα · Umask · τουαλέτα |
Διαδικασίες | ψευδώνυμο · οθόνη · μπλουζα · όμορφη · Μνημάκια · πρόοδος · τρακενώ · σύστημα · Tmux · chsh · ιστορία · στο · σύνολο παραγωγής · Ελεύθερος · οι οποίες · dmesg · chfn · Usermod · ΥΣΤΕΡΟΓΡΑΦΟ · χυλός · Xargs · tty · ροζί · LSOF · VMSTAT · τέλος χρόνου · τείχος · Ναί · σκοτώνω · ύπνος · ξιφία · δοχείο · χρόνος · ομαδικός · Usermod · ομάδες · φουρκέτα · ΤΕΡΜΑΤΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ · επανεκκινώ · παύση · απενεργοποίηση · διαβάσεις · LSCPU · κροταλία · ημερομηνία · BG · FG · πύργος · ορχούπ · PMAP |
Δικτύωση | ρώμα · πινγκόν · ιχνηλατώ · IP · SS · ποιος είναι · ατέλειος · βώνης · σκάβω · δάχτυλο · μαργαρίτα · FTP · μπούκλα · φουντζάρι · ΠΟΥ · ποιός είμαι · W · Iptables · ssh-keygen · ufw · εκτοξεύομαι · τείχος |
ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Καλύτεροι φορητοί υπολογιστές Linux για προγραμματιστές και ενθουσιώδες
- › Πώς να δημιουργήσετε το δικό σας συγχρονισμό αρχείων cloud με το NextCloud
- › Πώς να ξεκινήσετε με το Firewalld στο Linux
- › Ο Mac σας’Το τείχος προστασίας είναι εκτός προεπιλογής: Πρέπει να το ενεργοποιήσετε?
- › Οι καλύτερες μπάντες ρολογιών Google Pixel του 2023
- › Δημιουργήστε το δικό σας μικροσκοπικό υπολογιστή με αυτήν τη μητρική πλακέτα
- › 10 Χαρακτηριστικά βοηθού Google που πρέπει να χρησιμοποιείτε
- › Πώς να ανοίξετε αρχεία zip σε iPhone και iPad
- › Αμαζόνα’Το S Omni Qled TVS έχει τρία νέα μεγέθη, ξεκινά από 450 $
Chris Hoffman
Ο Chris Hoffman είναι αρχισυντάκτης του How-to Geek. Έχει γράψει για την τεχνολογία για πάνω από μια δεκαετία και ήταν αρθρογράφος PCWorld για δύο χρόνια. Ο Chris έχει γράψει για Οι Νιου Γιορκ Ταιμς και Η περίληψη του αναγνώστη, έχει πάρει συνέντευξη ως εμπειρογνώμονας τεχνολογίας σε τηλεοπτικούς σταθμούς όπως το NBC 6 του Μαϊάμι και είχε το έργο του που καλύπτεται από ειδησεογραφικά πρακτορεία όπως το BBC. Από το 2011, ο Chris έχει γράψει πάνω από 2.000 άρθρα που έχουν διαβάσει περισσότερα από ένα δισεκατομμύριο φορές — και αυτό είναι ακριβώς εδώ στο How-to Geek.
Διαβάστε το Full Bio »
Υπάρχει προεγκατεστημένο ή αυτόματο τείχος προστασίας?
Το Ubuntu έρχεται με προεγκατάσταση ή αυτόματο τείχος προστασίας? Εάν όχι, χρειάζομαι ένα? Έχω διαβάσει κάποια άρθρα σχετικά με τα πλεονεκτήματα του Linux έναντι άλλων λειτουργικών συστημάτων σχετικά με την ασφάλεια (δεν χρειάζεται να έχετε αντιιροειδές, . ) αλλά θα ήθελα να είμαι σίγουρος.
68.8K 55 55 χρυσά κονκάρδες 214 214 ασημένια σήματα 325 325 χάλκινα κονκάρδες
ρώτησε 24 Οκτωβρίου 2010 στις 14:55
Pedroo Pedroo
5 απαντήσεις 5
Το Ubuntu έχει ένα τείχος προστασίας που περιλαμβάνεται στον πυρήνα και εκτελείται από προεπιλογή. Αυτό που χρειάζεστε για να διαχειριστείτε αυτό το τείχος προστασίας είναι το Iptables. Αλλά αυτό είναι περίπλοκο για τη διαχείριση, ώστε να μπορείτε να χρησιμοποιήσετε UFW (απλό τείχος προστασίας) Για να τα διαμορφώσετε. Αλλά το UFW εξακολουθεί να είναι κάτι δύσκολο για τους κανονικούς χρήστες, οπότε αυτό που μπορείτε να κάνετε είναι να εγκαταστήσετε Gufw Αυτό είναι απλώς ένα γραφικό μπροστινό μέρος για το UFW.
Εάν χρησιμοποιείτε το GUFW, την πρώτη φορά που θα δείτε στο κάτω μέρος του παραθύρου «Προστασία προστασίας με ειδικές ανάγκες». Αλλά αυτό δεν είναι αλήθεια, το τείχος προστασίας σας λειτουργεί ήδη. Αυτό το μήνυμα ενεργοποίησης/απενεργοποίησης αναφέρεται στους κανόνες που έχουν οριστεί με το UFW, όχι στο τείχος προστασίας.
Εάν δεν με πιστεύετε ότι ανοίξτε ένα τερματικό και γράψτε
sudo iptables -list -Verbose
Δοκιμάστε αυτό με το gufw ενεργοποιημένος και άτομα με ειδικές ανάγκες. Θα δείτε ότι οι μόνες διαφορές θα είναι οι κανόνες που ορίσατε με το GUFW.
Πώς να ρυθμίσετε ένα τείχος προστασίας με UFW στο Ubuntu 22.04
Το UFW, ή το απλό τείχος προστασίας, είναι μια απλοποιημένη διεπαφή διαχείρισης τείχους προστασίας που κρύβει την πολυπλοκότητα των τεχνολογιών φιλτραρίσματος πακέτων χαμηλότερου επιπέδου όπως τα iPtables και τα Nftables . Αν εσύ’Ψάχνετε να ξεκινήσετε να εξασφαλίζετε το δίκτυό σας και εσείς’Δεν είστε σίγουροι ποιο εργαλείο θα χρησιμοποιήσετε, το UFW μπορεί να είναι η σωστή επιλογή για εσάς.
Αυτό το σεμινάριο θα σας δείξει πώς να ρυθμίσετε ένα τείχος προστασίας με UFW στο Ubuntu 22.04.
Προϋποθέσεις
Για να ακολουθήσετε αυτό το σεμινάριο, θα χρειαστείτε:
- Ένα Ubuntu 22.04 διακομιστής με χρήστη μη ριζικής ρίζας Sudo, τον οποίο μπορείτε να ρυθμίσετε ακολουθώντας την αρχική ρύθμιση του διακομιστή με το Ubuntu 22.04 σεμινάριο.
Το UFW είναι εγκατεστημένο από προεπιλογή στο Ubuntu. Εάν έχει απεγκατασταθεί για κάποιο λόγο, μπορείτε να το εγκαταστήσετε με το Sudo Apt Install UFW .
Βήμα 1 – Χρήση IPv6 με UFW (Προαιρετικό)
Αυτό το σεμινάριο γράφεται με γνώμο. Εάν ο διακομιστής Ubuntu σας έχει ενεργοποιηθεί το IPv6, βεβαιωθείτε ότι το UFW έχει ρυθμιστεί ώστε να υποστηρίζει το IPv6 έτσι ώστε να διαχειρίζεται κανόνες τείχους προστασίας για το IPv6 εκτός από το IPv4. Για να το κάνετε αυτό, ανοίξτε τη διαμόρφωση UFW με το Nano ή τον αγαπημένο σας επεξεργαστή.
Στη συνέχεια, βεβαιωθείτε ότι η τιμή του IPv6 είναι ναι . Θα πρέπει να μοιάζει με αυτό:
/etc/default/ufw απόσπασμα
IPv6 =Ναί
Αποθηκεύστε και κλείστε το αρχείο. Τώρα, όταν το UFW είναι ενεργοποιημένο, θα διαμορφωθεί για να γράψει τόσο τους κανόνες Firewall IPv4 όσο και IPv6. Ωστόσο, πριν ενεργοποιήσετε το UFW, θα θελήσουμε να διασφαλίσουμε ότι το τείχος προστασίας σας είναι διαμορφωμένο για να σας επιτρέψει να συνδεθείτε μέσω SSH. Αφήνω’Ξεκινήστε με τη ρύθμιση των προεπιλεγμένων πολιτικών.
Βήμα 2 – Δημιουργία προεπιλεγμένων πολιτικών
Αν εσύ’Απλώς ξεκινάτε με το τείχος προστασίας σας, οι πρώτοι κανόνες που πρέπει να ορίσετε είναι οι προεπιλεγμένες πολιτικές σας. Αυτοί οι κανόνες ελέγχουν τον τρόπο αντιμετώπισης της κυκλοφορίας που δεν ταιριάζει ρητά με άλλους κανόνες. Από προεπιλογή, το UFW έχει οριστεί για να αρνηθεί όλες τις εισερχόμενες συνδέσεις και να επιτρέψει σε όλες τις εξερχόμενες συνδέσεις. Αυτό σημαίνει ότι όποιος προσπαθεί να φτάσει στον διακομιστή σας δεν θα είναι σε θέση να συνδεθεί, ενώ οποιαδήποτε εφαρμογή εντός του διακομιστή θα είναι σε θέση να φτάσει στον έξω κόσμο.
Αφήνω’S Ορίστε τους κανόνες UFW πίσω στις προεπιλογές, ώστε να είμαστε σίγουροι ότι εσείς’Θα μπορέσω να ακολουθήσω μαζί με αυτό το σεμινάριο. Για να ορίσετε τις προεπιλογές που χρησιμοποιούνται από το UFW, χρησιμοποιήστε αυτές τις εντολές:
Θα λάβετε έξοδο όπως τα εξής:
ΠαραγωγήΗ προεπιλεγμένη πολιτική εισερχόμενων μεταβλήθηκε σε «άρνηση» (φροντίστε να ενημερώσετε τους κανόνες σας ανάλογα) η προεπιλεγμένη εξερχόμενη πολιτική άλλαξε για να «επιτρέψει» (φροντίστε να ενημερώσετε τους κανόνες σας ανάλογα)
Αυτές οι εντολές ρυθμίζουν τις προεπιλογές για να αρνηθούν τις εισερχόμενες και να επιτρέψουν εξερχόμενες συνδέσεις. Αυτές οι προεπιλογές τείχους προστασίας μόνο μπορεί να αρκούν για έναν προσωπικό υπολογιστή, αλλά οι διακομιστές συνήθως πρέπει να ανταποκρίνονται σε εισερχόμενα αιτήματα από εξωτερικούς χρήστες. Εμείς’Θα το εξετάσω στη συνέχεια.
Βήμα 3 – επιτρέποντας τις συνδέσεις SSH
Εάν ενεργοποιήσαμε το τείχος προστασίας UFW τώρα, θα αρνείται όλες τις εισερχόμενες συνδέσεις. Αυτό σημαίνει ότι θα χρειαστεί να δημιουργήσουμε κανόνες που επιτρέπουν ρητά τις νόμιμες εισερχόμενες συνδέσεις – για παράδειγμα συνδέσεις SSH ή HTTP – αν θέλουμε ο διακομιστής μας να ανταποκριθεί σε αυτούς τους τύπους αιτημάτων. Αν εσύ’Χρησιμοποιώντας έναν διακομιστή Cloud, πιθανότατα θα θελήσετε να επιτρέψετε εισερχόμενες συνδέσεις SSH, ώστε να μπορείτε να συνδεθείτε και να διαχειριστείτε τον διακομιστή σας.
Για να διαμορφώσετε τον διακομιστή σας για να επιτρέψετε εισερχόμενες συνδέσεις SSH, μπορείτε να χρησιμοποιήσετε αυτήν την εντολή:
Αυτό θα δημιουργήσει κανόνες τείχους προστασίας που θα επιτρέψουν όλες τις συνδέσεις στη θύρα 22, η οποία είναι η θύρα που ακούει ο δαίμονας SSH από προεπιλογή. Το UFW ξέρει ποια θύρα επιτρέπει το SSH να σημαίνει επειδή’s που αναφέρεται ως υπηρεσία στο αρχείο /etc /υπηρεσιών.
Ωστόσο, μπορούμε πραγματικά να γράψουμε τον ισοδύναμο κανόνα καθορίζοντας τη θύρα αντί για το όνομα της υπηρεσίας. Για παράδειγμα, αυτή η εντολή λειτουργεί ίδια με την παραπάνω:
Εάν έχετε ρυθμίσει τον δαίμονα SSH για να χρησιμοποιήσετε μια διαφορετική θύρα, θα πρέπει να καθορίσετε την κατάλληλη θύρα. Για παράδειγμα, εάν ο διακομιστής SSH σας ακούει στη θύρα 2222, μπορείτε να χρησιμοποιήσετε αυτήν την εντολή για να επιτρέψετε συνδέσεις σε αυτήν τη θύρα:
Τώρα που το τείχος προστασίας σας έχει ρυθμιστεί ώστε να επιτρέπει εισερχόμενες συνδέσεις SSH, μπορούμε να το ενεργοποιήσουμε.
Βήμα 4 – Ενεργοποίηση UFW
Για να ενεργοποιήσετε το UFW, χρησιμοποιήστε αυτήν την εντολή:
Θα λάβετε μια προειδοποίηση που λέει ότι η εντολή μπορεί να διαταράξει τις υπάρχουσες συνδέσεις SSH. Έχετε ήδη ρυθμίσει έναν κανόνα τείχους προστασίας που επιτρέπει τις συνδέσεις SSH, οπότε θα πρέπει να είναι καλό να συνεχίσετε. Απαντήστε στην προτροπή με το y και πατήστε Enter .
Το τείχος προστασίας είναι τώρα ενεργό. Εκτελέστε την κατάσταση Sudo UFW Verbose Command για να δείτε τους κανόνες που έχουν οριστεί. Το υπόλοιπο αυτού του σεμιναρίου καλύπτει τον τρόπο χρήσης του UFW με περισσότερες λεπτομέρειες, όπως επιτρέπει ή αρνείται διαφορετικά είδη συνδέσεων.
Βήμα 5 – Επιτρέποντας άλλες συνδέσεις
Σε αυτό το σημείο, θα πρέπει να επιτρέψετε σε όλες τις άλλες συνδέσεις που πρέπει να απαντήσει ο διακομιστής σας. Οι συνδέσεις που πρέπει να επιτρέψετε εξαρτάται από τις συγκεκριμένες ανάγκες σας. Ευτυχώς, γνωρίζετε ήδη πώς να γράφετε κανόνες που επιτρέπουν συνδέσεις με βάση το όνομα ή τη θύρα υπηρεσίας. Το κάναμε ήδη για το SSH στη θύρα 22 . Μπορείτε επίσης να το κάνετε αυτό για:
- HTTP στη θύρα 80, που χρησιμοποιούν οι μη κρυπτογραφημένοι διακομιστές ιστού, χρησιμοποιώντας το Sudo UFW επιτρέπουν το HTTP ή το Sudo UFW να επιτρέπουν το 80
- HTTPS στη θύρα 443, που χρησιμοποιούν οι κρυπτογραφημένοι διακομιστές ιστού, χρησιμοποιώντας το Sudo UFW επιτρέπουν το HTTPS ή το Sudo UFW να επιτρέπουν το 443
Υπάρχουν πολλοί άλλοι τρόποι για να επιτρέψετε σε άλλες συνδέσεις, εκτός από τον προσδιορισμό μιας θύρας ή γνωστής υπηρεσίας.
Συγκεκριμένες σειρές θύρας
Μπορείτε να καθορίσετε τις σειρές θύρας με UFW. Ορισμένες εφαρμογές χρησιμοποιούν πολλαπλές θύρες, αντί για μία θύρα.
Για παράδειγμα, για να επιτρέψετε συνδέσεις X11, οι οποίες χρησιμοποιούν θύρες 6000 – 6007, χρησιμοποιήστε αυτές τις εντολές:
Όταν καθορίζετε τις κυμαίνεται με UFW, πρέπει να καθορίσετε το πρωτόκολλο (TCP ή UDP) που πρέπει να ισχύουν οι κανόνες για. HAVE’Το T το ανέφερε προηγουμένως, επειδή δεν καθορίζουμε το πρωτόκολλο επιτρέπει αυτόματα και τα δύο πρωτόκολλα, τα οποία είναι εντάξει στις περισσότερες περιπτώσεις.
Συγκεκριμένες διευθύνσεις IP
Όταν εργάζεστε με το UFW, μπορείτε επίσης να καθορίσετε διευθύνσεις IP. Για παράδειγμα, εάν θέλετε να επιτρέψετε συνδέσεις από μια συγκεκριμένη διεύθυνση IP, όπως μια διεύθυνση εργασίας ή σπίτι IP 203.0.113.4, πρέπει να καθορίσετε, τότε η διεύθυνση IP:
Μπορείτε επίσης να καθορίσετε μια συγκεκριμένη θύρα στην οποία επιτρέπεται η διεύθυνση IP με την προσθήκη σε οποιαδήποτε θύρα ακολουθούμενη από τον αριθμό θύρας. Για παράδειγμα, εάν θέλετε να επιτρέψετε 203.0.113.4 Για να συνδεθείτε στη θύρα 22 (SSH), χρησιμοποιήστε αυτήν την εντολή:
Υποδήματα
Εάν θέλετε να επιτρέψετε ένα υποδίκτυο των διευθύνσεων IP, μπορείτε να το κάνετε χρησιμοποιώντας το CIDR NOTATION για να καθορίσετε ένα netmask. Για παράδειγμα, εάν θέλετε να επιτρέψετε όλες τις διευθύνσεις IP που κυμαίνονται από 203.0.113.1 έως 203.0.113.254 Θα μπορούσατε να χρησιμοποιήσετε αυτήν την εντολή:
Ομοίως, μπορείτε επίσης να καθορίσετε τη θύρα προορισμού ότι το υποδίκτυο 203.0.113.0/24 επιτρέπεται να συνδεθεί. Και πάλι, εμείς’LL Χρησιμοποιήστε τη θύρα 22 (SSH) ως παράδειγμα:
Συνδέσεις σε μια συγκεκριμένη διεπαφή δικτύου
Εάν θέλετε να δημιουργήσετε έναν κανόνα τείχους προστασίας που ισχύει μόνο για μια συγκεκριμένη διεπαφή δικτύου, μπορείτε να το κάνετε με καθορισμό “επιτρέπω” ακολουθούμενη από το όνομα της διεπαφής δικτύου.
Μπορεί να θέλετε να αναζητήσετε τις διεπαφές δικτύου σας πριν συνεχίσετε. Για να το κάνετε αυτό, χρησιμοποιήστε αυτήν την εντολή:
Απόσπασμα εξόδου2: ENP0S3: MTU 1500 QDISC PFIFO_fast State . . . 3: ENP0S4: MTU 1500 Qdisc Noop State Down Default Group . . .
Η επισημασμένη έξοδος υποδεικνύει τα ονόματα διεπαφής δικτύου. Συνήθως ονομάζονται κάτι σαν ETH0, ENS1 ή ENP3S2 .
Έτσι, εάν ο διακομιστής σας διαθέτει ένα δημόσιο περιβάλλον δικτύου που ονομάζεται ENS3, θα μπορούσατε να επιτρέψετε την κυκλοφορία HTTP (θύρα 80) σε αυτήν με αυτήν την εντολή:
Κάτι τέτοιο θα επέτρεπε στον διακομιστή σας να λαμβάνει αιτήματα HTTP από το δημόσιο διαδίκτυο.
Ή, αν θέλετε ο διακομιστής βάσης δεδομένων MySQL (θύρα 3306) για να ακούσετε συνδέσεις στο ιδιωτικό διεπαφή δικτύου ETH1, για παράδειγμα, θα μπορούσατε να χρησιμοποιήσετε αυτήν την εντολή:
Αυτό θα επέτρεπε σε άλλους διακομιστές στο ιδιωτικό σας δίκτυο να συνδεθούν με τη βάση δεδομένων MySQL.
ΒΗΜΑ 6 – ΑΝΤΙΜΕΤΩΠΙΣΗ ΣΥΝΕΝΤΕΥΞΕΙΣ
Εάν έχετε’T άλλαξε την προεπιλεγμένη πολιτική για εισερχόμενες συνδέσεις, το UFW έχει ρυθμιστεί ώστε να αρνείται όλες τις εισερχόμενες συνδέσεις. Γενικά, αυτό απλοποιεί τη διαδικασία δημιουργίας μιας ασφαλούς πολιτικής τείχους προστασίας απαιτώντας από εσάς να δημιουργήσετε κανόνες που επιτρέπουν ρητά συγκεκριμένες θύρες και διευθύνσεις IP μέσω.
Ωστόσο, μερικές φορές θα θελήσετε να αρνηθείτε συγκεκριμένες συνδέσεις με βάση τη διεύθυνση IP προέλευσης ή το υποδίκτυο, ίσως επειδή γνωρίζετε ότι ο διακομιστής σας επιτίθεται από εκεί. Επίσης, εάν θέλετε να αλλάξετε την προεπιλεγμένη σας πολιτική εισερχόμενης επιτρέπω (που δεν συνιστάται), θα πρέπει να δημιουργήσετε αρνούμαι κανόνες για οποιεσδήποτε υπηρεσίες ή διευθύνσεις IP που δεν είστε’δεν θέλω να επιτρέψω τις συνδέσεις για.
Να γράψω αρνούμαι κανόνες, μπορείτε να χρησιμοποιήσετε τις εντολές που περιγράφονται παραπάνω, αντικαθιστώντας επιτρέπω με αρνούμαι.
Για παράδειγμα, για να αρνηθείτε τις συνδέσεις HTTP, θα μπορούσατε να χρησιμοποιήσετε αυτήν την εντολή:
Ή αν θέλετε να αρνηθείτε όλες τις συνδέσεις από το 203.0.113.4 Θα μπορούσατε να χρησιμοποιήσετε αυτήν την εντολή:
Τώρα ας’ρίξτε μια ματιά στο πώς να διαγράψετε τους κανόνες.
Βήμα 7 – Διαγραφή κανόνων
Η γνώση του τρόπου διαγραφής των κανόνων του τείχους προστασίας είναι εξίσου σημαντική με τη γνώση πώς να τα δημιουργήσετε. Υπάρχουν δύο διαφορετικοί τρόποι καθορισμού ποιοι κανόνες πρέπει να διαγράψουν: ανά αριθμό κανόνων ή από τον πραγματικό κανόνα (παρόμοιοι με τον τρόπο που καθορίζονται οι κανόνες όταν δημιουργήθηκαν). Εμείς’θα ξεκινήσω με το Διαγραφή ανά αριθμό κανόνων μέθοδος επειδή είναι ευκολότερο.
Με αριθμό κανόνων
Αν εσύ’χρησιμοποιώντας τον αριθμό κανόνα για τη διαγραφή κανόνων τείχους προστασίας, το πρώτο πράγμα που εσείς’Θα ήθελα να κάνω είναι να λάβετε μια λίστα με τους κανόνες τείχους προστασίας σας. Η εντολή κατάστασης UFW έχει την επιλογή να εμφανίζει αριθμούς δίπλα σε κάθε κανόνα, όπως αποδεικνύεται εδώ:
Αριθμητική έξοδος:Κατάσταση: Ενεργός στη δράση από------- ---- [1] 22 Επιτρέψτε στις 15.15.15.0/24 [2] 80 Επιτρέψτε οπουδήποτε
Εάν αποφασίσετε ότι θέλετε να διαγράψετε τον κανόνα 2, αυτό που επιτρέπει τη θύρα 80 (http) συνδέσεις, μπορείτε να την καθορίσετε σε μια εντολή διαγραφής UFW όπως αυτό:
Αυτό θα έδειχνε μια προτροπή επιβεβαίωσης και στη συνέχεια διαγράψτε τον κανόνα 2, ο οποίος επιτρέπει συνδέσεις HTTP. Σημειώστε ότι εάν έχετε ενεργοποιήσει το IPv6, θα θέλατε να διαγράψετε επίσης τον αντίστοιχο κανόνα IPv6.
Με πραγματικό κανόνα
Η εναλλακτική λύση στους αριθμούς κανόνων είναι να καθορίσετε τον πραγματικό κανόνα για διαγραφή. Για παράδειγμα, εάν θέλετε να καταργήσετε τον κανόνα HTTP, θα μπορούσατε να το γράψετε έτσι:
Θα μπορούσατε επίσης να καθορίσετε τον κανόνα με το επιτρέπετε 80, αντί για το όνομα της υπηρεσίας:
Αυτή η μέθοδος θα διαγράψει τόσο τους κανόνες IPv4 όσο και IPv6, αν υπάρχουν.
Βήμα 8 – Έλεγχος της κατάστασης και των κανόνων UFW
Ανά πάσα στιγμή, μπορείτε να ελέγξετε την κατάσταση του UFW με αυτήν την εντολή:
Εάν το UFW είναι απενεργοποιημένο, το οποίο είναι από προεπιλογή, εσείς’θα δω κάτι σαν αυτό:
ΠαραγωγήΚατάσταση: Αδρανές
Εάν το UFW είναι ενεργό, το οποίο θα πρέπει να είναι αν ακολουθήσετε το βήμα 3, η έξοδος θα το πει’είναι ενεργή και θα απαριθμήσει τους κανόνες που έχουν οριστεί. Για παράδειγμα, εάν το τείχος προστασίας έχει οριστεί για να επιτρέψει τις συνδέσεις SSH (Port 22) από οπουδήποτε, η έξοδος μπορεί να μοιάζει με αυτό:
ΠαραγωγήΚατάσταση: Ενεργός καταγραφής: σε (χαμηλή) Προεπιλογή: Deny (εισερχόμενος), επιτρέψτε (εξερχόμενη), αρνείται (δρομολογημένη) νέα προφίλ: Skip to Action από ---------22/TCP Επιτρέψτε σε οπουδήποτε 22 (V6) επιτρέπουν οπουδήποτε (V6)
Χρησιμοποιήστε την εντολή κατάστασης εάν θέλετε να ελέγξετε τον τρόπο με τον οποίο η UFW έχει διαμορφώσει το τείχος προστασίας.
Βήμα 9 – Απενεργοποίηση ή επαναφορά του UFW (προαιρετικό)
Εάν αποφασίσετε ότι δεν είστε’Δεν θέλω να χρησιμοποιήσω το UFW, μπορείτε να το απενεργοποιήσετε με αυτήν την εντολή:
Οποιεσδήποτε κανόνες δημιουργήσατε με το UFW δεν θα είναι πλέον ενεργοί. Μπορείτε πάντα να εκτελέσετε το Sudo UFW Enable εάν πρέπει να το ενεργοποιήσετε αργότερα.
Εάν έχετε ήδη διαμορφώσει κανόνες UFW, αλλά αποφασίζετε ότι θέλετε να ξεκινήσετε, μπορείτε να χρησιμοποιήσετε την εντολή επαναφοράς:
Αυτό θα απενεργοποιήσει το UFW και θα διαγράψει τυχόν κανόνες που είχαν οριστεί προηγουμένως. Λάβετε υπόψη ότι οι προεπιλεγμένες πολιτικές κέρδισαν’t Αλλαγή στις αρχικές ρυθμίσεις τους, αν τις τροποποιήσατε σε οποιοδήποτε σημείο. Αυτό θα σας δώσει ένα νέο ξεκίνημα με το UFW.
συμπέρασμα
Το τείχος προστασίας σας έχει ρυθμιστεί τώρα για να επιτρέψει (τουλάχιστον) τις συνδέσεις SSH. Βεβαιωθείτε ότι επιτρέπετε σε οποιεσδήποτε άλλες εισερχόμενες συνδέσεις που χρειάζεται ο διακομιστής σας, περιορίζοντας ενώ περιορίζουν τυχόν περιττές συνδέσεις, οπότε ο διακομιστής σας θα είναι λειτουργικός και ασφαλής.
Για να μάθετε για πιο συνηθισμένες διαμορφώσεις UFW, ανατρέξτε στα βασικά στοιχεία UFW: ΚΑΝΟΝΕΣ ΚΑΝΟΝΕΣ ΤΩΝ ΤΕΛΕΤΩΝ ΤΩΝ ΤΕΛΕΚΩΝ ΚΑΙ ΔΙΕΥΘΥΝΣΕΙΣ.
Ευχαριστούμε που μάθατε με την κοινότητα DigitalOcean. Ελέγξτε τις προσφορές μας για υπολογιστές, αποθήκευση, δικτύωση και διαχειριζόμενες βάσεις δεδομένων.
Σειρά Tutorial: Ξεκινώντας με cloud computing
Αυτό το πρόγραμμα σπουδών εισάγει computing cloud open-source σε ένα γενικό ακροατήριο μαζί με τις δεξιότητες που απαιτούνται για την ανάπτυξη εφαρμογών και ιστότοπων με ασφάλεια στο σύννεφο.
Σειρά περιήγησης: 39 άρθρα
- 1/39 Servers Cloud: Εισαγωγή
- 2/39 Μια γενική εισαγωγή στο cloud computing
- 3/39 αρχική ρύθμιση διακομιστή με Ubuntu 22.04