Phenquestions
Artikel ini menunjukkan cara memasang dan menggunakan UFW pada Ubuntu 20 anda.04 sistem LTS.
Pemasangan
UFW sudah terpasang pada kebanyakan sistem Ubuntu. Sekiranya binaan anda belum mempunyai program ini, anda boleh memasangnya menggunakan pengurus pakej snap atau apt.$ sudo snap pasang ufw
$ sudo apt pasang ufwSaya secara peribadi lebih suka menggunakan pengurus pakej yang sesuai untuk melakukan ini kerana snap kurang popular dan saya tidak mahu mempunyai kerumitan tambahan ini. Pada masa penulisan ini, versi yang diterbitkan untuk UFW adalah 0.36 untuk 20.04 pelepasan.
Masuk vs. Lalu lintas keluar
Sekiranya anda seorang pemula dalam dunia rangkaian, perkara pertama yang perlu anda jelaskan ialah perbezaan antara lalu lintas masuk dan keluar.
Apabila anda memasang kemas kini menggunakan apt-get, melayari internet, atau memeriksa e-mel anda, apa yang anda lakukan ialah mengirim permintaan "keluar" ke pelayan, seperti Ubuntu, Google, dll. Untuk mengakses perkhidmatan ini, anda tidak memerlukan IP awam. Biasanya, satu alamat IP awam diperuntukkan untuk, katakanlah, sambungan jalur lebar rumah, dan setiap peranti mendapat IP peribadinya sendiri. Penghala kemudian mengendalikan lalu lintas menggunakan sesuatu yang dikenali sebagai NAT, atau Rangkaian Alamat Terjemahan.
Perincian alamat NAT dan IP peribadi berada di luar ruang lingkup artikel ini, tetapi video yang dipautkan di atas adalah titik permulaan yang sangat baik. Kembali ke UFW, secara lalai, UFW akan membenarkan semua lalu lintas web keluar biasa. Penyemak imbas anda, pengurus pakej, dan program lain memilih nombor port rawak - biasanya nombor di atas 3000 - dan begitulah cara setiap aplikasi dapat melacak sambungannya.
Semasa anda menjalankan pelayan di awan, mereka biasanya dilengkapi dengan alamat IP awam dan peraturan di atas yang membenarkan lalu lintas keluar tetap ditahan. Kerana anda masih akan menggunakan utiliti, seperti pengurus pakej, yang bercakap dengan seluruh dunia sebagai 'pelanggan', UFW membenarkan ini secara lalai.
Keseronokan bermula dengan lalu lintas yang masuk. Aplikasi, seperti pelayan OpenSSH yang anda gunakan untuk log masuk ke VM anda, dengar pada port tertentu (seperti 22) masuk permintaan, seperti aplikasi lain. Pelayan web memerlukan akses ke port 80 dan 443.
Ini adalah sebahagian daripada tugas firewall untuk membolehkan aplikasi tertentu mendengarkan lalu lintas masuk tertentu sambil menyekat semua yang tidak perlu. Anda mungkin memasang pelayan pangkalan data pada VM anda, tetapi biasanya tidak perlu mendengarkan permintaan masuk di antara muka dengan IP awam. Biasanya, ia hanya mendengar antara muka loopback untuk permintaan.
Terdapat banyak bot di Web, yang terus-menerus mengebom pelayan dengan permintaan palsu untuk memaksa masuk, atau melakukan serangan Denial of Service yang sederhana. Firewall yang dikonfigurasi dengan baik seharusnya dapat menyekat sebahagian besar shenanigans ini dengan bantuan pemalam pihak ketiga seperti Fail2ban.
Tetapi, buat masa ini, kami akan menumpukan pada persediaan yang sangat asas.
Penggunaan Asas
Setelah anda memasang UFW pada sistem anda, kami akan melihat beberapa kegunaan asas untuk program ini. Oleh kerana peraturan firewall diterapkan di seluruh sistem, perintah di bawah ini dijalankan sebagai pengguna root. Sekiranya anda mahu, anda boleh menggunakan sudo dengan hak istimewa untuk prosedur ini.
# status ufwStatus: tidak aktif
Secara lalai, UFW berada dalam keadaan tidak aktif, yang merupakan perkara baik. Anda tidak mahu menyekat semua lalu lintas masuk di port 22, yang merupakan port SSH lalai. Sekiranya anda log masuk ke pelayan jauh melalui SSH dan anda menyekat port 22, anda akan terkunci dari pelayan.
UFW memudahkan kita mencucuk lubang hanya untuk OpenSSH. Jalankan arahan di bawah:
[dilindungi e-mel]: ~ # senarai aplikasi ufwAplikasi yang ada:
OpenSSH
Perhatikan bahawa saya masih belum mengaktifkan firewall. Kami sekarang akan menambahkan OpenSSH ke senarai aplikasi yang dibenarkan dan kemudian mengaktifkan firewall. Untuk melakukannya, masukkan arahan berikut:
# ufw membenarkan OpenSSHPeraturan dikemas kini
Peraturan dikemas kini (v6)
# ufw aktifkan
Perintah itu boleh mengganggu sambungan SSH yang ada. Teruskan dengan operasi (y | n)? y.
Firewall kini aktif dan diaktifkan pada permulaan sistem.
Tahniah, UFW kini aktif dan berjalan. UFW kini hanya membenarkan OpenSSH untuk mendengar permintaan masuk di port 22. Untuk memeriksa status firewall anda pada bila-bila masa, jalankan kod berikut:
# status ufwStatus: aktif
Untuk Tindakan Dari
-- ------ ----
OpenSSH MEMBENARKAN Di mana sahaja
OpenSSH (v6) ELAUN Di Mana sahaja (v6)
Seperti yang anda lihat, OpenSSH kini dapat menerima permintaan dari mana saja di Internet, dengan syarat ia sampai di port 22. Garis v6 menunjukkan bahawa peraturan juga berlaku untuk IPv6.
Anda tentu saja boleh melarang julat IP tertentu, atau hanya membenarkan rangkaian IP tertentu, bergantung pada kekangan keselamatan yang anda jalani.
Menambah Aplikasi
Untuk aplikasi yang paling popular, perintah senarai aplikasi ufw secara automatik mengemas kini senarai polisi semasa pemasangan. Sebagai contoh, semasa pemasangan pelayan web Nginx, anda akan melihat pilihan baru berikut muncul:
# apt pasang nginx# senarai aplikasi ufw
Aplikasi yang ada:
Nginx Penuh
HTTP Nginx
Nginx HTTPS
OpenSSH
Teruskan dan cuba bereksperimen dengan peraturan ini. Perhatikan bahawa anda hanya boleh membenarkan nombor port, dan bukannya menunggu profil aplikasi muncul. Sebagai contoh, untuk membenarkan port 443 untuk trafik HTTPS, gunakan arahan berikut:
# ufw membenarkan 443# status ufw
Status: aktif
Untuk Tindakan Dari
-- ------ ----
OpenSSH MEMBENARKAN Di mana sahaja
443 DIBENARKAN Di mana sahaja
OpenSSH (v6) ELAUN Di Mana sahaja (v6)
443 (v6) Bolehkan di mana sahaja (v6)
Kesimpulannya
Setelah anda mempunyai asas UFW yang disusun, anda dapat meneroka keupayaan firewall lain yang kuat, bermula dari membenarkan dan menyekat julat IP. Mempunyai dasar firewall yang jelas dan selamat akan menjadikan sistem anda selamat dan dilindungi.
