Pengenalan
Ubuntu adalah sistem operasi Linux yang cukup popular di kalangan pentadbir pelayan kerana ciri canggih yang disediakan dengannya secara lalai. Salah satu ciri tersebut adalah firewall, yang merupakan sistem keamanan yang memantau sambungan jaringan masuk dan keluar untuk membuat keputusan bergantung pada peraturan keselamatan yang telah ditentukan sebelumnya. Untuk menentukan peraturan tersebut, firewall harus dikonfigurasi sebelum penggunaannya, dan panduan ini menunjukkan cara mengaktifkan dan mengkonfigurasi firewall di Ubuntu dengan mudah bersama dengan petua berguna lain dalam mengkonfigurasi firewall.
Cara Mengaktifkan Firewall
Secara lalai, Ubuntu dilengkapi dengan firewall, yang dikenali sebagai UFW (firewall tidak rumit), yang mencukupi, bersama dengan beberapa pakej pihak ketiga yang lain untuk melindungi pelayan dari ancaman luaran. Walau bagaimanapun, kerana firewall tidak diaktifkan, firewall harus diaktifkan sebelum berlaku. Gunakan arahan berikut untuk mengaktifkan UFW lalai di Ubuntu.
- Pertama sekali, periksa status semasa firewall untuk memastikan ia benar-benar dilumpuhkan. Untuk mendapatkan status terperinci, gunakan bersama dengan arahan verbose.
status sudo ufw
sudo ufw status verbose
- Sekiranya ia dilumpuhkan, arahan berikut membolehkannya
sudo ufw aktifkan
- Setelah firewall diaktifkan, mulakan semula sistem agar perubahan berlaku. Parameter r digunakan untuk menyatakan perintah untuk memulakan semula, parameter sekarang adalah untuk menyatakan bahawa restart harus dibuat segera tanpa penangguhan.
sudo shutdown -r sekarang
Sekat Semua Trafik dengan Firewall
UFW, secara lalai menyekat / membenarkan semua trafik melainkan diganti dengan port tertentu. Seperti yang dilihat dalam tangkapan skrin di atas, ufw menyekat semua trafik masuk, dan membenarkan semua lalu lintas keluar. Namun, dengan perintah berikut semua lalu lintas dapat dinonaktifkan tanpa pengecualian. Perkara ini membersihkan semua konfigurasi UFW, dan menolak akses dari sebarang sambungan.
sudo ufw reset
sudo ufw lalai menolak masuk
sudo ufw lalai menolak keluar
Cara Mengaktifkan Port untuk HTTP?
HTTP adalah singkatan dari protokol pemindahan hiperteks, yang menentukan bagaimana pesan diformat ketika menghantar di mana-mana rangkaian, seperti internet di seluruh dunia. Oleh kerana penyemak imbas web, secara lalai, menyambung ke pelayan web melalui protokol HTTP untuk berinteraksi dengan kandungan, port milik HTTP harus diaktifkan. Selain itu, jika pelayan web menggunakan SSL / TLS (keselamatan lapisan soket / lapisan keselamatan), maka HTTPS juga dibenarkan.
sudo ufw membenarkan http
sudo ufw membenarkan https
Cara Mengaktifkan Port untuk SSH?
SSH bermaksud shell yang selamat, yang digunakan untuk menyambung ke sistem melalui rangkaian, biasanya melalui Internet; Oleh itu, ia digunakan secara meluas untuk menyambung ke pelayan melalui Internet dari mesin tempatan. Oleh kerana, secara lalai Ubuntu menyekat semua sambungan masuk, termasuk SSH, ia harus diaktifkan untuk mengakses pelayan melalui Internet.
sudo ufw membenarkan ssh
Sekiranya SSH dikonfigurasi untuk menggunakan port yang berbeza, maka nombor port harus dinyatakan secara eksplisit dan bukannya nama profil.
sudo ufw membenarkan 1024
Cara Mengaktifkan Port untuk TCP / UDP
TCP, alias protokol kawalan penghantaran menentukan bagaimana menjalin dan mengekalkan perbualan rangkaian agar aplikasi bertukar data. Secara lalai, pelayan web menggunakan protokol TCP; oleh itu, ia harus diaktifkan, tetapi untungnya mengaktifkan port juga membolehkan port untuk kedua TCP / UDP sekaligus. Namun, jika port tertentu dimaksudkan untuk mengaktifkan TCP atau UDP saja, maka protokol harus ditentukan bersama dengan nombor port / nama profil.
sudo ufw allow | deny portnumber | profilename / tcp / udp
sudo ufw membenarkan 21 / tcp
sudo ufw menolak 21 / udp
Cara Melumpuhkan Firewall Sepenuhnya?
Kadang-kadang firewall lalai mesti dilumpuhkan untuk menguji rangkaian atau ketika firewall yang lain hendak dipasang. Perintah berikut mematikan firewall sepenuhnya dan membenarkan semua sambungan masuk dan keluar tanpa syarat. Perkara ini tidak dianjurkan melainkan niat yang disebutkan di atas adalah alasan untuk melumpuhkan. Melumpuhkan firewall tidak menetapkan semula atau menghapus konfigurasinya; oleh itu, ia sekali lagi dapat diaktifkan dengan tetapan sebelumnya.
sudo ufw lumpuhkan
Dayakan Dasar Lalai
Dasar lalai menyatakan bagaimana firewall bertindak balas terhadap sambungan apabila tidak ada peraturan yang sesuai dengannya, misalnya jika firewall membenarkan semua sambungan masuk secara lalai, tetapi jika port nombor 25 disekat untuk sambungan masuk, port yang lain masih berfungsi untuk sambungan masuk kecuali nombor port 25, kerana ia mengatasi sambungan lalai. Perintah berikut menolak sambungan masuk, dan membenarkan sambungan keluar secara lalai.
sudo ufw lalai menolak masuk
sudo ufw lalai membenarkan keluar
Dayakan Julat Pelabuhan Tertentu
Pelbagai port menentukan port mana yang diguna pakai oleh peraturan firewall. Julat dinyatakan dalam startPort: endPort format, kemudian diikuti oleh protokol sambungan yang diberi mandat untuk menyatakan dalam contoh ini.
sudo ufw membenarkan 6000: 6010 / tcp
sudo ufw membenarkan 6000: 6010 / udp
Benarkan / Tolak Alamat / Alamat IP Khusus
Tidak hanya port tertentu yang boleh dibenarkan atau ditolak untuk keluar atau masuk tetapi juga alamat IP. Ketika alamat IP ditentukan dalam aturan, setiap permintaan dari IP khusus ini dikenakan aturan yang hanya ditentukan, misalnya dalam perintah berikut ini memungkinkan semua permintaan dari 67.205.171.204 alamat IP, maka ia membenarkan semua permintaan dari 67.205.171.204 ke kedua-dua port 80 dan 443 port, apa maksudnya adalah mana-mana peranti dengan IP ini dapat mengirim permintaan yang berjaya ke pelayan tanpa ditolak dalam kes apabila peraturan lalai menyekat semua sambungan masuk. Ini cukup berguna untuk pelayan peribadi yang digunakan oleh satu orang atau rangkaian tertentu.
sudo ufw membenarkan dari 67.205.171.204
sudo ufw membenarkan dari 67.205.171.204 ke mana-mana port 80
sudo ufw membenarkan dari 67.205.171.204 ke mana-mana port 443
Dayakan Pembalakan
Fungsi logging mencatat maklumat teknikal setiap permintaan ke dan dari pelayan. Ini berguna untuk tujuan penyahpepijatan; oleh itu disyorkan untuk menghidupkannya.
sudo ufw log masuk
Benarkan / Tolak Subnet Khusus
Apabila pelbagai alamat IP terlibat, sukar untuk menambahkan setiap catatan alamat IP secara manual ke peraturan firewall untuk menolak atau membenarkan, dan dengan itu julat alamat IP dapat ditentukan dalam notasi CIDR, yang biasanya terdiri dari alamat IP, dan jumlahnya host yang dikandungnya dan IP setiap host.
Dalam contoh berikut menggunakan dua arahan berikut. Dalam contoh pertama ia menggunakan / 24 netmask, dan dengan demikian peraturan itu berlaku dari 192.168.1.1 hingga 192.168.1.254 alamat IP. Dalam contoh kedua, peraturan yang sama berlaku untuk port nombor 25 sahaja. Oleh itu, jika permintaan masuk disekat secara lalai, sekarang alamat IP yang disebutkan dibenarkan untuk menghantar permintaan ke port nombor 25 pelayan.
sudo ufw membenarkan dari 192.168.1.1/24
sudo ufw membenarkan dari 192.168.1.1/24 ke mana-mana port 25
Padamkan Peraturan dari Firewall
Peraturan boleh dikeluarkan dari firewall. Perintah pertama berikut menyusun setiap peraturan di firewall dengan angka, kemudian dengan perintah kedua, peraturan tersebut dapat dihapus dengan menentukan nomor yang termasuk dalam aturan.
status sudo ufw bernombor
sudo ufw delete 2
Tetapkan semula Konfigurasi Firewall
Akhirnya, untuk memulakan konfigurasi firewall, gunakan arahan berikut. Ini cukup berguna jika firewall mula berfungsi dengan ganjil atau firewall berkelakuan tidak dijangka.
sudo ufw reset