Χρησιμοποιεί το UFW nftables

Έτσι, το iPtables χρησιμοποιεί πραγματικά nftables.

Περίληψη:

Το UFW, το οποίο σημαίνει απλό τείχος προστασίας, είναι ένα πρόγραμμα που χρησιμοποιείται για τη διαχείριση ενός τείχους προστασίας NetFilter. Παρέχει μια φιλική προς το χρήστη διασύνδεση γραμμής εντολών και μπορεί να χρησιμοποιήσει είτε τα iPtables είτε το Nftables ως το υποκείμενο backend τείχους προστασίας. Η διαδικασία εγκατάστασης περιλαμβάνει την έναρξη και την ενεργοποίηση του UFW.Υπηρεσία και διαμόρφωση των βασικών κανόνων τείχους προστασίας για να επιτρέπεται ή να αρνηθεί την κυκλοφορία. Επιπλέον, οι χρήστες μπορούν να προσαρμόσουν τους κανόνες τείχους προστασίας για συγκεκριμένες εφαρμογές και ακόμη και μαύρες διευθύνσεις IP. Το UFW υποστηρίζει επίσης τον περιορισμό των επιτοκίων για την πρόληψη των υπερβολικών προσπαθειών σύνδεσης από μία διεύθυνση IP.

Βασικά σημεία:

1. Το UFW είναι ένα πρόγραμμα για τη διαχείριση ενός τείχους προστασίας Netfilter.
2. Μπορεί να χρησιμοποιήσει είτε iptables είτε nftables ως τείχος προστασίας από το back-end.
3. Η εγκατάσταση περιλαμβάνει την έναρξη και την ενεργοποίηση του UFW.υπηρεσία.
4. Η βασική διαμόρφωση επιτρέπει την άρνηση όλης της κυκλοφορίας από προεπιλογή.
5. Οι συγκεκριμένες σειρές IP μπορούν να επιτρέπονται χρησιμοποιώντας την εντολή UFW επιτρέπουν.
6. Το UFW μπορεί να ενεργοποιηθεί χρησιμοποιώντας την εντολή enable UFW.
7. Η εντολή κατάστασης μπορεί να χρησιμοποιηθεί για τον έλεγχο των εφαρμοσμένων κανόνων.
8. Οι ενσωματωμένες διαδρομές υπάρχουν για απαντήσεις UPNP, AVAHI και DHCP.
9. Επιπλέον πληροφορίες σχετικά με το UFW μπορούν να ληφθούν χρησιμοποιώντας την καταγεγραμμένη εντολή κατάστασης.
10. Η πολιτική προς τα εμπρός μπορεί να προσαρμοστεί για τη λειτουργία VPN όπως το OpenVPN ή το Wireguard.

Ερωτήσεις:

1. Χρησιμοποιεί το UFW iptables ή τα nftables ως τείχος προστασίας από το back-end?
   Το UFW μπορεί να χρησιμοποιήσει είτε iptables είτε nftables ως τείχος προστασίας από το τέλος.
2. Πώς μπορεί να εγκατασταθεί και να ενεργοποιηθεί το UFW?
   Το UFW μπορεί να εγκατασταθεί και να ενεργοποιηθεί ξεκινώντας και επιτρέποντας το UFW.υπηρεσία.
3. Ποια είναι η προεπιλεγμένη συμπεριφορά του UFW?
   Η προεπιλεγμένη συμπεριφορά του UFW είναι να αρνηθεί όλη την κυκλοφορία.
4. Πώς μπορούν να επιτρέπονται συγκεκριμένες σειρές IP χρησιμοποιώντας το UFW?
   Οι συγκεκριμένες σειρές IP μπορούν να επιτρέπονται χρησιμοποιώντας την εντολή “UFW επιτρέπει”.
5. Πώς μπορεί να ενεργοποιηθεί το UFW?
   Το UFW μπορεί να ενεργοποιηθεί χρησιμοποιώντας την εντολή “UFW Enable”.
6. Τι μπορεί να χρησιμοποιηθεί η εντολή κατάστασης στο UFW?
   Η εντολή κατάστασης στο UFW μπορεί να χρησιμοποιηθεί για τον έλεγχο των εφαρμοσμένων κανόνων.
7. Ποιες είναι μερικές από τις ενσωματωμένες διαδρομές στο UFW?
   Οι ενσωματωμένες διαδρομές στο UFW περιλαμβάνουν φίλτρα για να επιτρέψουν τις απαντήσεις UPNP, AVAHI και DHCP.
8. Πώς μπορούν να ληφθούν επιπλέον πληροφορίες σχετικά με το UFW?
   Επιπλέον πληροφορίες σχετικά με το UFW μπορούν να ληφθούν χρησιμοποιώντας την εντολή “Κατάσταση verbose”.
9. Πώς μπορεί να προσαρμοστεί η πολιτική προς τα εμπρός για τη λειτουργία VPNs?
   Η πολιτική προώθησης μπορεί να προσαρμοστεί στο αρχείο/etc/default/ufw.
10. Πώς μπορούν να προστεθούν άλλες εφαρμογές στο UFW?
    Άλλες εφαρμογές μπορούν να προστεθούν στο UFW δημιουργώντας προσαρμοσμένους ορισμούς στο/etc/ufw/εφαρμογές.D Κατάλογος.
11. Πώς μπορούν να αντικατασταθούν οι τυπικοί κανόνες για μια εφαρμογή στο UFW?
    Οι τυπικοί κανόνες για μια εφαρμογή μπορούν να αντικατασταθούν στο UFW χρησιμοποιώντας την εντολή “UFW Delete” και στη συνέχεια προσθέτοντας τους προσαρμοσμένους κανόνες.
12. Πώς μπορούν οι διευθύνσεις IP να είναι μαύρες λίστα στο UFW?
    Οι διευθύνσεις IP μπορούν να μεταφερθούν σε μαύρη λίστα στο UFW επεξεργάζοντας το/etc/ufw/πριν.Αρχείο κανόνων και εισαγωγή μιας γραμμής πτώσης iptables.
13. Τι είναι ο περιορισμός του επιτοκίου στο UFW?
    Ο περιορισμός του ποσοστού στο UFW είναι η δυνατότητα να αρνηθείτε τις συνδέσεις από μια διεύθυνση IP που έχει επιχειρήσει υπερβολικές συνδέσεις μέσα σε ένα συγκεκριμένο χρονικό πλαίσιο.

Λεπτομερείς απαντήσεις:

1. Χρησιμοποιεί το UFW iptables ή τα nftables ως τείχος προστασίας από το back-end?
   Ναι, το UFW μπορεί να χρησιμοποιήσει είτε τα iPtables είτε το Nftables ως τείχος προστασίας από το back-end. Εξαρτάται από τη διαμόρφωση του συστήματος.
2. Πώς μπορεί να εγκατασταθεί και να ενεργοποιηθεί το UFW?
   Για να εγκαταστήσετε το UFW, μπορείτε να χρησιμοποιήσετε τον διαχειριστή πακέτων της διανομής σας. Για παράδειγμα, στο Ubuntu, μπορείτε να εκτελέσετε την εντολή “Sudo apt-get install ufw”. Μόλις εγκατασταθεί, μπορείτε να ενεργοποιήσετε το UFW ξεκινώντας και ενεργοποιώντας το UFW.Υπηρεσία, η οποία μπορεί να γίνει χρησιμοποιώντας την ακόλουθη εντολή: “Sudo SystemCtl Start UFW.Υπηρεσία && sudo systemctl Ενεργοποίηση UFW.υπηρεσία”.
3. Ποια είναι η προεπιλεγμένη συμπεριφορά του UFW?
   Η προεπιλεγμένη συμπεριφορά του UFW είναι να αρνηθεί όλες τις εισερχόμενες και εξερχόμενες κυκλοφορία. Παρέχει έναν απλό τρόπο διαχείρισης των κανόνων τείχους προστασίας και εύκολα επιτρέποντας ή αρνούνται συγκεκριμένες συνδέσεις.
4. Πώς μπορούν να επιτρέπονται συγκεκριμένες σειρές IP χρησιμοποιώντας το UFW?
   Για να επιτρέψετε συγκεκριμένες σειρές IP χρησιμοποιώντας το UFW, μπορείτε να χρησιμοποιήσετε την εντολή “UFW επιτρέπει” που ακολουθείται από το εύρος IP. Για παράδειγμα, εάν θέλετε να επιτρέψετε την κυκλοφορία από την περιοχή IP 192.168.0.1 έως 192.168.0.255, μπορείτε να εκτελέσετε την ακόλουθη εντολή: “Το UFW επιτρέπει από 192.168.0.0/24 “. Αυτό θα επιτρέψει όλη την κυκλοφορία από αυτό το εύρος IP.
5. Πώς μπορεί να ενεργοποιηθεί το UFW?
   Για να ενεργοποιήσετε το UFW, μπορείτε να χρησιμοποιήσετε την εντολή “UFW Enable”. Αυτό θα επιτρέψει το τείχος προστασίας και θα εφαρμόσει τους προεπιλεγμένους κανόνες. Φροντίστε να ενεργοποιήσετε το UFW.Υπηρεσία επίσης.
6. Τι μπορεί να χρησιμοποιηθεί η εντολή κατάστασης στο UFW?
   Η εντολή κατάστασης στο UFW μπορεί να χρησιμοποιηθεί για να ελέγξει τους ισχύοντες κανόνες τείχους προστασίας που εφαρμόζονται σήμερα. Μπορείτε να εκτελέσετε την εντολή “Κατάσταση UFW” για να δείτε τους ενεργούς κανόνες και την κατάσταση του τείχους προστασίας.
7. Ποιες είναι μερικές από τις ενσωματωμένες διαδρομές στο UFW?
   Ορισμένες από τις ενσωματωμένες διαδρομές στο UFW περιλαμβάνουν φίλτρα για να επιτρέψουν απαντήσεις UPNP, AVAHI και DHCP. Αυτοί οι κανόνες εφαρμόζονται αυτόματα από την UFW για να επιτρέπουν ορισμένους τύπους κυκλοφορίας δικτύου.
8. Πώς μπορούν να ληφθούν επιπλέον πληροφορίες σχετικά με το UFW?
   Μπορείτε να χρησιμοποιήσετε την εντολή “UFW Status verbose” για να αποκτήσετε επιπλέον πληροφορίες σχετικά με το UFW. Αυτό θα παράσχει μια πιο λεπτομερή αναφορά των κανόνων και διαμορφώσεων τείχους προστασίας.
9. Πώς μπορεί να προσαρμοστεί η πολιτική προς τα εμπρός για τη λειτουργία VPNs?
   Για να ρυθμίσετε την πολιτική προώθησης για τη λειτουργία VPNs, μπορείτε να επεξεργαστείτε τη μεταβλητή default_forward_policy στο αρχείο/etc/default/ufw. Αλλάξτε την τιμή από το “Drop” σε “Αποδοχή” για να προωθήσετε όλα τα πακέτα ανεξάρτητα από τις ρυθμίσεις διεπαφής χρήστη. Επιπλέον, μπορείτε να προσθέσετε συγκεκριμένους κανόνες για την προώθηση της κυκλοφορίας για μια συγκεκριμένη διεπαφή, όπως το WG0, στο/etc/ufw/πριν.κανόνας αρχείου.
10. Πώς μπορούν να προστεθούν άλλες εφαρμογές στο UFW?
    Για να προσθέσετε άλλες εφαρμογές στο UFW, μπορείτε να δημιουργήσετε προσαρμοσμένους ορισμούς στο/etc/ufw/εφαρμογές.D Κατάλογος. Κάθε ορισμός της εφαρμογής πρέπει να περιέχει λεπτομέρειες όπως ο τίτλος της εφαρμογής, η περιγραφή και οι θύρες που πρέπει να επιτρέπονται ή να απορρίπτονται. Μπορείτε να χρησιμοποιήσετε τα υπάρχοντα αρχεία εφαρμογής στον κατάλογο ως οδηγό για να δημιουργήσετε τους προσαρμοσμένους ορισμούς σας.
11. Πώς μπορούν να αντικατασταθούν οι τυπικοί κανόνες για μια εφαρμογή στο UFW?
    Για να αντικαταστήσετε τους τυποποιημένους κανόνες για μια εφαρμογή στο UFW, μπορείτε να χρησιμοποιήσετε την εντολή “UFW DELETE” για να καταργήσετε τους υπάρχοντες κανόνες και στη συνέχεια να χρησιμοποιήσετε τις εντολές “UFW, ή” UFW DENY “για να προσθέσετε τους προσαρμοσμένους κανόνες. Για παράδειγμα, εάν θέλετε να αντικαταστήσετε τους τυπικούς κανόνες του κατακλυσμού με τους προσαρμοσμένους κανόνες που ορίζονται σε ένα αρχείο που ονομάζεται “Deluge-MY”, μπορείτε να εκτελέσετε τις ακόλουθες εντολές: “UFW Delete επιτρέπουν τον Deluge” και το “UFW, επιτρέπουν τον Deluge-MY”.
12. Πώς μπορούν οι διευθύνσεις IP να είναι μαύρες λίστα στο UFW?
    Για τις διευθύνσεις IP Blacklist στο UFW, μπορείτε να επεξεργαστείτε το/etc/ufw/πριν.Αρχείο κανόνων και εισαγάγετε μια γραμμή πτώσης iptables στο κάτω μέρος του αρχείου ακριβώς πάνω από τη γραμμή “Commit”. Κάθε διεύθυνση IP ή εύρος IP πρέπει να έχει μαύρη λίστα θα πρέπει να έχει ξεχωριστό κανόνα πτώσης. Επανεκκινήστε την υπηρεσία UFW για να τεθούν σε ισχύ οι αλλαγές. Για παράδειγμα, στη Blacklist η διεύθυνση IP 199.115.117.99, μπορείτε να προσθέσετε την ακόλουθη γραμμή: “-A ufw-πριν-εισπράττοις-199.115.117.99 -J Drop “.
13. Τι είναι ο περιορισμός του επιτοκίου στο UFW?
    Στο UFW, ο περιορισμός του ποσοστού είναι η δυνατότητα άρνησης συνδέσεων από μια διεύθυνση IP που έχει επιχειρήσει υπερβολικές συνδέσεις μέσα σε ένα συγκεκριμένο χρονικό πλαίσιο. Βοηθά στην προστασία από επιθέσεις βίαιης δύναμης και άλλους τύπους κακόβουλης δραστηριότητας. Με τον καθορισμό των κανόνων περιορισμού του επιτοκίου, μπορείτε να περιορίσετε τον αριθμό των συνδέσεων που επιτρέπονται από μία μόνο διεύθυνση IP εντός συγκεκριμένης περιόδου. Αυτό μπορεί να γίνει χρησιμοποιώντας την εντολή “ufw limit”.

Αυτές οι απαντήσεις παρέχουν μια λεπτομερή κατανόηση του UFW, της διαδικασίας εγκατάστασης, της βασικής διαμόρφωσης και των προηγμένων χαρακτηριστικών, όπως οι προσαρμοσμένοι κανόνες εφαρμογής, η μαύρη λίστα IP και ο περιορισμός των επιτοκίων. Ακολουθώντας αυτές τις οδηγίες, οι χρήστες μπορούν να διαχειριστούν αποτελεσματικά το τείχος προστασίας τους και να ενισχύσουν την ασφάλεια του συστήματός τους.

Χρησιμοποιεί το UFW nftables

Έτσι, το iPtables χρησιμοποιεί πραγματικά nftables.

Απλό τείχος προστασίας

Το UFW σημαίνει απλό τείχος προστασίας και είναι ένα πρόγραμμα για τη διαχείριση ενός τείχους προστασίας Netfilter. Παρέχει μια διεπαφή γραμμής εντολών και στοχεύει να είναι απλή και εύκολη στη χρήση.

Σημείωση: Θα πρέπει να σημειωθεί ότι το UFW μπορεί να χρησιμοποιήσει είτε τα iPtables είτε το Nftables ως τείχος προστασίας από το back-end. Οι χρήστες που συνηθίζουν να καλούν το UFW να διαχειρίζεται τους κανόνες δεν χρειάζεται να λαμβάνουν ενέργειες για να μάθουν τις υποκείμενες κλήσεις σε iptables ή σε nftables χάρη στην NFT αποδοχή της σύνταξης iptables, για παράδειγμα εντός/etc/ufw/πριν.κανόνας .

Εγκατάσταση

Ξεκινήστε και ενεργοποιήστε το UFW.Υπηρεσία για να το διαθέσετε κατά την εκκίνηση. Σημειώστε ότι αυτό δεν θα λειτουργήσει εάν τα iPtables.Η υπηρεσία είναι επίσης ενεργοποιημένη (και η ίδια για το αντίστοιχο IPv6).

Βασική διαμόρφωση

Μια πολύ απλοϊκή διαμόρφωση που θα αρνηθεί όλα από προεπιλογή, επιτρέψτε σε οποιοδήποτε πρωτόκολλο από μέσα στο 192.168.0.1-192.168.0.255 LAN, και επιτρέψτε την εισερχόμενη κατακλυσμό και επιτόκιο περιορισμένη κυκλοφορία SSH από οπουδήποτε:

# ufw Προεπιλεγμένη αρνηθείσα # ufw επιτρέπουν από 192.168.0.0/24 # ufw Επιτρέψτε τον κατακλυσμό # ufw όριο ssh

Απαιτείται μόνο η επόμενη γραμμή μια φορά Την πρώτη φορά που εγκαταστήσετε το πακέτο:

# ufw Ενεργοποίηση

Σημείωση: Βεβαιωθείτε ότι το UFW.Η υπηρεσία έχει ενεργοποιηθεί.

Τέλος, ερωτήστε τους κανόνες που εφαρμόζονται μέσω της εντολής κατάστασης:

# Κατάσταση UFW

Κατάσταση: Ενεργός στη δράση από------- ---- Οπουδήποτε επιτρέπει το 192.168.0.0/24 Ο κατακλυσμός επιτρέπει οπουδήποτε οριοθέτηση SSH οπουδήποτε

Σημείωση: Η αναφορά κατάστασης περιορίζεται σε κανόνες που προστίθενται από τον χρήστη. Για τις περισσότερες περιπτώσεις αυτό θα είναι αυτό που χρειάζεται, αλλά είναι καλό να γνωρίζετε ότι υπάρχουν ενσωματωμένες διαδρομές. Αυτά περιλαμβάνουν φίλτρα που επιτρέπουν απαντήσεις UPNP, Avahi και DHCP.

Επιπλέον πληροφορίες, συμπεριλαμβανομένων των προεπιλεγμένων πολιτικών, μπορούν να παρατηρηθούν

# ufw κατάσταση verbose

Αλλά αυτό εξακολουθεί να περιορίζεται στους κανόνες που καθορίζονται από το χρήστη. Για να δείτε όλους τους κανόνες ρύθμιση

# ufw show raw

Μπορεί να χρησιμοποιηθεί, καθώς και περαιτέρω αναφορές που αναφέρονται στο ManPage. Δεδομένου ότι αυτές οι αναφορές συνοψίζουν επίσης την κυκλοφορία, μπορεί να είναι κάπως δύσκολο να διαβαστούν. Ένας άλλος τρόπος για να ελέγξετε για αποδεκτή κυκλοφορία:

# iptables -s | Grep Accept

Ενώ αυτό λειτουργεί καλά για αναφορά, να έχετε κατά νου να μην ενεργοποιήσετε την υπηρεσία iPtables, εφόσον χρησιμοποιείτε το UFW για τη διαχείριση του.

Σημείωση: Εάν οι ειδικές μεταβλητές δικτύου έχουν οριστεί στο σύστημα στο /etc /sysctl.D/*, μπορεί να χρειαστεί να ενημερώσετε/etc/ufw/sysctl.Συνδυάστε, δεδομένου ότι αυτή η διαμόρφωση υπερισχύει των προεπιλεγμένων ρυθμίσεων.

Πολιτική προς τα εμπρός

Οι χρήστες που χρειάζονται να εκτελούν ένα VPN όπως το OpenVPN ή το Wireguard μπορούν να προσαρμόσουν το Default_forward_policy μεταβλητή σε/etc/default/ufw από μια τιμή του “ΠΤΩΣΗ” προς την “ΑΠΟΔΕΧΟΜΑΙ” Για να προωθήσετε όλα τα πακέτα ανεξάρτητα από τις ρυθμίσεις της διεπαφής χρήστη. Για να προωθήσετε μια συγκεκριμένη διεπαφή όπως WG0, Ο χρήστης μπορεί να προσθέσει την ακόλουθη γραμμή στο *φίλτρο ΟΙΚΟΔΟΜΙΚΟ ΤΕΤΡΑΓΩΝΟ

/etc/ufw/πριν.κανόνας

# End απαιτούμενες γραμμές -a ufw -πριν από -προς τα εμπρός -I wg0 -j Αποδοχή -a ufw -πριν -forward -o wg0 -j Αποδοχή

Μπορεί επίσης να χρειαστεί να ξεπεράσετε

/etc/ufw/sysctl.τολμηρός

net/ipv4/ip_forward = 1 net/ipv6/conf/defasting/forwarding = 1 net/ipv6/conf/all/forwarding = 1

Προσθήκη άλλων εφαρμογών

Το PKG έρχεται με ορισμένες προεπιλογές με βάση τις προεπιλεγμένες θύρες πολλών κοινών δαίμων και προγραμμάτων. Επιθεωρήστε τις επιλογές κοιτάζοντας στο/etc/ufw/εφαρμογές.D Directory ή με την καταχώρισή τους στο ίδιο το πρόγραμμα:

# Λίστα εφαρμογών UFW

Εάν οι χρήστες εκτελούν οποιαδήποτε από τις εφαρμογές σε μια μη τυποποιημένη θύρα, συνιστάται να κάνετε απλά/etc/ufw/εφαρμογές.D/Custom που περιέχει τα απαραίτητα δεδομένα χρησιμοποιώντας τις προεπιλογές ως οδηγό.

Προειδοποίηση: Εάν οι χρήστες τροποποιήσουν οποιοδήποτε από τα σύνολα κανόνων PKG, αυτά θα αντικατασταθούν την πρώτη φορά που ενημερώνεται το πακέτο UFW. Αυτός είναι ο λόγος για τον οποίο οι προσαρμοσμένοι ορισμοί των εφαρμογών πρέπει να διαμένουν σε ένα αρχείο μη-PKG όπως συνιστάται παραπάνω!

Παράδειγμα, κατακλυσμός με προσαρμοσμένες θύρες TCP που κυμαίνονται από το 20202-20205:

[Deluge-MY] Τίτλος = Περιγραφή Deluge = Deluge BitTorrent Client Ports = 20202: 20205/TCP

Εάν χρειαστεί να ορίσετε και τις θύρες TCP και UDP για την ίδια εφαρμογή, απλώς διαχωρίζετε τις με σωλήνα όπως φαίνεται: Αυτή η εφαρμογή ανοίγει τις θύρες TCP 10000-10002 και τη θύρα UDP 10003:

θύρες = 10000: 10002/TCP | 10003/UDP

Κάποιος μπορεί επίσης να χρησιμοποιήσει ένα κόμμα για να καθορίσει τις θύρες εάν δεν είναι επιθυμητό ένα εύρος. Αυτό το παράδειγμα ανοίγει τις θύρες TCP 10000-10002 (περιλαμβάνει) και θύρες UDP 10003 και 10009

θύρες = 10000: 10002/TCP | 10003,10009/UDP

Διαγραφή εφαρμογών

Με βάση το παραπάνω παράδειγμα Deluge/Deluge-My, τα παρακάτω θα καταργήσουν τους τυπικούς κανόνες του κατακλυσμού και θα τους αντικαταστήσουν με τους κανόνες Deluge-MY από το παραπάνω παράδειγμα:

# ufw delete επιτρέπουν τον κατακλυσμό # ufw να επιτρέψει τον κατακλυσμό-μου

Αναζητήστε το αποτέλεσμα μέσω της εντολής κατάστασης:

# Κατάσταση UFW

Κατάσταση: Ενεργός στη δράση από------- ---- Οπουδήποτε επιτρέπει το 192.168.0.0/24 SSH επιτρέπουν οπουδήποτε ο κατακλυσμός-μου επιτρέψτε οπουδήποτε

Μαύρες διευθύνσεις IP καταχώρησης

Μπορεί να είναι επιθυμητό να προσθέσετε διευθύνσεις IP σε μια μαύρη λίστα που επιτυγχάνεται εύκολα απλά με επεξεργασία/etc/ufw/πριν.κανόνες και εισαγάγετε μια γραμμή πτώσης iptables στο κάτω μέρος του αρχείου ακριβώς πάνω από τη λέξη “commit”.

/etc/ufw/πριν.κανόνας

. ## Blacklist Τμήμα # μπλοκ μόλις 199.115.117.99 -A UFW -πριν από την είσοδο -S 199.115.117.99 -J Drop # Block 184.105.*.* -A ufw -πριν -εισόδου -s 184.105.0.0/16 -J Drop # Μην διαγράψετε τη γραμμή "Commit" ή αυτοί οι κανόνες δεν θα επεξεργαστούν

Περιορισμός βαθμολογίας με UFW

Το UFW έχει τη δυνατότητα να αρνηθεί τις συνδέσεις από μια διεύθυνση IP που προσπάθησε να ξεκινήσει 6 ή περισσότερες συνδέσεις τα τελευταία 30 δευτερόλεπτα. Οι χρήστες θα πρέπει να εξετάσουν τη χρήση αυτής της επιλογής για υπηρεσίες όπως το SSH.

Χρησιμοποιώντας την παραπάνω βασική διαμόρφωση, για να ενεργοποιήσετε τον περιορισμό του ρυθμού, θα αντικαταστήσαμε απλώς την παράμετρο επιτρέπουν την παράμετρο του ορίου. Στη συνέχεια, ο νέος κανόνας θα αντικαταστήσει το προηγούμενο.

# ufw όριο SSH

Ενημερώθηκε ο κανόνας

# Κατάσταση UFW

Κατάσταση: Ενεργός στη δράση από------- ---- Οπουδήποτε επιτρέπει το 192.168.0.0/24 οριοθέτηση SSH οπουδήποτε ο κατακλυσμός-μου επιτρέψτε οπουδήποτε

Κανόνες χρήστη

Όλοι οι κανόνες χρήστη αποθηκεύονται σε κ.λπ./ufw/χρήστη.κανόνες και κλπ/ufw/user6.κανόνες για IPv4 και IPv6 αντίστοιχα.

Συμβουλές και κόλπα

Απενεργοποιήστε το απομακρυσμένο ping

Η αλλαγή αποδέχεται να μειωθεί στις ακόλουθες γραμμές:

/etc/ufw/πριν.κανόνας

# ok κωδικοί ICMP . -Ένα ufw-πριν από την είσοδο -p icmp -icmp-type echo-request -j αποδοχή

Εάν χρησιμοποιείτε το IPv6, οι σχετικοί κανόνες είναι σε/etc/ufw/πριν6.κανόνας .

Απενεργοποιήστε την καταγραφή UFW

Η απενεργοποίηση της καταγραφής μπορεί να είναι χρήσιμη για να σταματήσει η UFW να συμπληρώνει τον πυρήνα (DMESG) και τα αρχεία καταγραφής μηνυμάτων:

# ufw αποσύνδεση

UFW και Docker

Το Docker βρίσκεται σε τυποποιημένη λειτουργία γράφοντας τα δικά του aptables-rules και αν και αγνοεί τα UFW αυτά. Ειδικά η προεπιλεγμένη λειτουργία Deny στο UFW δεν θεωρείται από τον Docker και δεν λειτουργεί. Για να διορθώσετε αυτήν τη συμπεριφορά συμβουλευτείτε https: // github.com/chaifeng/ufw-docker.

Υπόδειξη: Μπορείτε να εγκαταστήσετε το UFW-Docker Aur Για να διορθώσετε αυτόματα τα aptables-rules εκτελώντας εγκατάσταση ufw-docker . Το πακέτο μπορεί επίσης να διαχειριστεί τους κανόνες UFW που σχετίζονται με το Docker, ανατρέξτε στη βοήθεια UFW-Docker .

GUI Frontends

Gufw

Το GUFW είναι ένα front-end GTK για το UFW που στοχεύει να κάνει τη διαχείριση ενός τείχους προστασίας Linux όσο το δυνατόν πιο προσιτή και εύκολη. Διαθέτει προπαρασκευές για κοινές θύρες και εφαρμογές P2P. Απαιτεί υποστήριξη Python, UFW και GTK.

Δείτε επίσης

• Τεκμηρίωση UBUNTU UFW
• UFW (8)

Χρησιμοποιεί το UFW nftables

Η Reddit και οι συνεργάτες του χρησιμοποιούν cookies και παρόμοιες τεχνολογίες για να σας προσφέρουν καλύτερη εμπειρία.

Με την αποδοχή όλων των cookies, συμφωνείτε με τη χρήση των cookies για να παραδώσετε και να διατηρήσετε τις υπηρεσίες και τον ιστότοπό μας, να βελτιώσετε την ποιότητα του Reddit, να εξατομικεύσετε το περιεχόμενο και τη διαφήμιση Reddit και να μετρήσετε την αποτελεσματικότητα της διαφήμισης.

Απορρίπτοντας τα μη βασικά cookies, το Reddit ενδέχεται να εξακολουθεί να χρησιμοποιεί ορισμένα cookies για να εξασφαλίσει τη σωστή λειτουργικότητα της πλατφόρμας μας.

Για περισσότερες πληροφορίες, ανατρέξτε στην ειδοποίηση cookie και στην πολιτική απορρήτου μας .

Ubuntu 21.10 μεταβιβάστηκε σε nftables, οπότε γιατί είναι ακόμα διαθέσιμα τα iptables?

Ωστόσο, έχοντας εγκαταστήσει το Ubuntu 21.10, μπορώ να δω ότι εξακολουθώ να έχω εγκατεστημένα από προεπιλογή τα iPtables (και UFW):

m@m-virtualbox: ~ $ whereis iptables iptables:/usr/sbin/iptables/usr/share/iptables/usr/share/man/man8/iptables.8.gz m@m-virtualbox: ~ $ όπου ufw ufw:/usr/sbin/ufw/usr/lib/ufw/etc/ufw/usr/share/ufw/usr/man/man8/ufw.8.GZ 

Γιατί συμβαίνει αυτό? Όσο γνωρίζω, το UFW είναι ένα περιτύλιγμα γύρω από τα iptables, όχι τα nftables. Μπορώ να χρησιμοποιήσω με ασφάλεια αυτές τις εντολές? Ή πρέπει να φροντίσω να μην πληκτρολογήσω ποτέ iptables ή UFW στο τερματικό?

ρώτησε 22 Οκτωβρίου 2021 στις 12:45

275 1 1 χρυσό σήμα 3 3 ασημένια κονκάρδες 11 11 χάλκινα κονκάρδες

2 απαντήσεις 2

Μετά την εντολή σας, θα πρέπει να ακολουθήσετε τα αρχεία. Παράδειγμα, από 20.04 διακομιστής:

doug@s19: ~ $ whereis iptables iptables:/usr/sbin/iptables/usr/share/iptables/usr/man/man8/iptables.8.gz doug@s19:~$ ls -l /usr/sbin/iptables lrwxrwxrwx 1 root root 26 Jan 23 2020 /usr/sbin/iptables -> /etc/alternatives/iptables doug@s19:~$ ls -l /etc/alternatives/iptables lrwxrwxrwx 1 root root 22 Apr 18 2021 /etc/alternatives/iptables -> /usr/sbin/iptables-nft doug@s19:~$ ls -l /usr/sbin/iptables-nft lrwxrwxrwx 1 root root 17 Feb 28 2020 /usr/sbin/iptables-nft -> xtables-nft-multi doug@s19:~$ ls -l /usr/sbin/xtables-nft-multi -rwxr-xr-x 1 root root 220488 Feb 28 2020 /usr/sbin/xtables-nft-multi 

Έτσι, το iPtables χρησιμοποιεί πραγματικά nftables.

Τα nftables μπορούν να ερμηνεύσουν τη σύνταξη iptables.

Απαντήθηκε στις 22 Οκτωβρίου 2021 στις 14:45

Doug Smythies Doug Smythies

14.7K 4 4 χρυσά κονκάρδες 39 39 ασημένια κονκάρδες 57 57 χάλκινα κονκάρδες

readlink -f είναι ο φίλος σας εδώ: readlink -f $ (το οποίο iptables) ->/usr/sbin/xtables -nft -multi

9 Ιουνίου 2022 στις 6:39

Τα nftables μπορούν να ερμηνεύσουν τη σύνταξη iptables. δεν είναι Πραγματικά αλήθεια και δεν πρέπει να χρησιμοποιούνται μαζί. Δες εδώ.

23 Αυγούστου 2022 στις 10:07

Δεν έχω όλες τις απαντήσεις στις ερωτήσεις σας, αλλά έχω μερικά από αυτά.

Το UFW είναι ένα στρώμα αφαίρεσης τείχους προστασίας που μπορεί να χρησιμοποιήσει είτε τα iPtables ή nftables ως τείχος προστασίας από το back-end. Είναι απλά ο εύχρηστος βοηθός του Ubuntu, όπως το Firewalld + Firewall-CMD είναι για παραλλαγές Red Hat.

Εγκατάσταση νέου διακομιστή του Ubuntu 21.10 διακομιστής δείχνει ακριβώς αυτό που βλέπετε – ότι στην πραγματικότητα το back -end εξακολουθεί να χρησιμοποιεί iPtables σε μια τυπική εγκατάσταση διακομιστή.

Το ManPage του Xtables-NFT-Multi (ή απλά Xtables-Multi) δείχνει μια εξήγηση:

Το Xtables-NFT είναι εκδόσεις των iptables που χρησιμοποιούν το API NFTables. Πρόκειται για ένα σύνολο εργαλείων για να βοηθήσουμε τον διαχειριστή του συστήματος να μεταφέρει το σύνολο κανόνων από τα IPTables (8), IP6Tables (8), Arptables (8) και Ebtables (8) σε Nftables (8).

Όσο μπορώ να πω, έχετε δίκιο ότι ενώ το Ubuntu φαίνεται να κινείται προς τα nftables ως αντικαταστάτη για τα iptables, δεν είναι ακόμα εκεί.

Το ωραίο πράγμα όμως είναι ότι εάν χρησιμοποιείτε το UFW όλη αυτή τη φορά, τίποτα δεν θα αλλάξει από την άποψη της διαχείρισης, αφού τόσο τα iptables όσο και τα nftables φαίνεται να είναι εναλλάξιμα, αφού το NFT θα δεχτεί τη σύνταξη iptables, ακόμη και αν έχετε funky κανόνες στο/etc/ufw/πριν.κανόνες για παράδειγμα.