Jak nastavit firewall s ufw na Debianu 9

Debian obsahuje několik balíčků, které poskytují nástroje pro správu firewallu s iptables nainstalovanými jako součást základního systému. Pro začátečníky může být složité naučit se, jak pomocí nástroje iptables správně nakonfigurovat a spravovat bránu firewall, ale UFW ji zjednodušuje.

UFW (Uncomplicated Firewall) je uživatelsky přívětivé rozhraní pro správu pravidel brány firewall iptables a jejím hlavním cílem je usnadnit správu iptables nebo jak název říká nekomplikovaný.

V tomto tutoriálu vám ukážeme, jak nastavit firewall s UFW na Debianu 9.

Předpoklady

Před pokračováním v tomto tutoriálu se ujistěte, že uživatel, ke kterému jste přihlášeni, má oprávnění sudo.

Nainstalujte UFW

UFW není ve výchozím nastavení v Debianu 9 nainstalován. Balíček ufw můžete nainstalovat zadáním:

sudo apt install ufw

Zkontrolujte stav UFW

Po dokončení procesu instalace můžete zkontrolovat stav UFW pomocí následujícího příkazu:

sudo ufw status verbose

Výstup bude vypadat takto:

Status: inactive

UFW je ve výchozím nastavení zakázáno. Instalace neaktivuje firewall automaticky, aby nedošlo k zablokování serveru.

Pokud je aktivována UFW, bude výstup vypadat podobně jako následující:

Výchozí zásady UFW

Ve výchozím nastavení UFW zablokuje všechna příchozí připojení a povolí všechna odchozí připojení. To znamená, že kdokoli, kdo se pokouší získat přístup k vašemu serveru, se nebude moci připojit, dokud výslovně neotevřete port, zatímco všechny aplikace a služby spuštěné na vašem serveru budou mít přístup do vnějšího světa.

Výchozí politiky jsou definovány v souboru /etc/default/ufw a lze je změnit pomocí sudo ufw default příkaz.

Zásady brány firewall jsou základem pro vytváření podrobnějších a uživatelsky definovaných pravidel. Ve většině případů jsou výchozí výchozí zásady UFW dobrým výchozím bodem.

Profily aplikací

Při instalaci balíčku s programem apt přidá aplikační profil do adresáře /etc/ufw/applications.d který popisuje službu a obsahuje nastavení UFW.

Chcete-li zobrazit seznam všech profilů aplikací dostupných pro váš typ systému:

sudo ufw app list

V závislosti na balíčcích nainstalovaných ve vašem systému bude výstup vypadat podobně jako následující:

Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…

Chcete-li najít další informace o konkrétním profilu a zahrnutých pravidlech, použijte následující příkaz:

sudo ufw app info OpenSSH

Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp

Výše uvedený výstup nám říká, že profil OpenSSH otevírá port 22 .

Povolit připojení SSH

Před zapnutím firewallu UFW musíme nejprve povolit příchozí připojení SSH.

Pokud se připojujete k serveru ze vzdáleného umístění, což je téměř vždy případ a povolíte UFW firewall dříve, než výslovně povolíte příchozí připojení SSH, nebudete se již moci připojit k vašemu serveru Debian.

Chcete-li nakonfigurovat firewall UFW tak, aby povolil příchozí připojení SSH, spusťte následující příkaz:

sudo ufw allow OpenSSH

Rules updated Rules updated (v6)

Pokud server SSH poslouchá na jiném portu, než je výchozí port 22, budete muset tento port otevřít.

Například váš server ssh poslouchá na portu 8822 , pak můžete pomocí následujícího příkazu povolit připojení na tomto portu:

sudo ufw allow 8822/tcp

Povolit UFW

Nyní, když je váš firewall UFW nakonfigurován tak, aby umožňoval příchozí připojení SSH, můžete jej povolit spuštěním:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

Budete upozorněni, že povolení brány firewall může narušit existující spojení ssh, stačí napsat y a stisknout Enter .

Povolit připojení na jiných portech

V závislosti na aplikacích, které běží na serveru a vašich specifických potřebách, budete také muset povolit příchozí přístup k některým dalším portům.

Níže uvádíme několik příkladů, jak povolit příchozí připojení k některým z nejběžnějších služeb:

Otevřený port 80 - HTTP

Připojení HTTP lze povolit pomocí následujícího příkazu:

sudo ufw allow

Místo profilu http můžete použít číslo portu 80 :

sudo ufw allow 80/tcp

Otevřete port 443 - HTTPS

Připojení HTTP lze povolit pomocí následujícího příkazu:

sudo ufw allow

Chcete-li dosáhnout stejného namísto https , můžete použít číslo portu 443 :

sudo ufw allow 443/tcp

Otevřete port 8080

sudo ufw allow 8080/tcp

Povolit rozsahy portů

S UFW můžete také povolit přístup k rozsahům portů. Když povolujete rozsahy portů pomocí UFW, musíte zadat protokol, buď tcp nebo udp .

Chcete-li například povolit porty od 7100 do 7200 na tcp i udp , spusťte následující příkaz:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

Povolit konkrétní adresy IP

sudo ufw allow from 64.63.62.61

Povolit konkrétní adresy IP na konkrétním portu

Chcete-li povolit přístup na konkrétní port, řekněme, že port 22 z vašeho pracovního stroje s IP adresou 64.63.62.61 použijte následující příkaz:

sudo ufw allow from 64.63.62.61 to any port 22

Povolit podsítě

Příkaz pro povolení připojení k podsíti IP adres je stejný jako při použití jediné IP adresy, jediným rozdílem je, že musíte zadat masku sítě. Například, pokud chcete povolit přístup pro IP adresy v rozsahu od 192.168.1.1 do 192.168.1.254 na port 3360 (MySQL), můžete použít tento příkaz:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Povolit připojení k určitému síťovému rozhraní

Chcete-li povolit přístup na specifický port, řekněme port 3360 pouze do specifického síťového rozhraní eth2 , použijte allow in on a název síťového rozhraní:

sudo ufw allow in on eth2 to any port 3306

Odepřít spojení

Výchozí zásada pro všechna příchozí připojení je nastavena na deny což znamená, že UFW bude blokovat všechna příchozí připojení, pokud připojení výslovně neotevřete.

Řekněme, že jste otevřeli porty 80 a 443 a váš server je 23.24.25.0/24 sítí 23.24.25.0/24 . Chcete-li od 23.24.25.0/24 odmítnout všechna připojení, použijte následující příkaz:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

Psaní pravidel pro odepření je stejné jako u pravidel pro psaní, musíte allow pouze deny .

Odstranit pravidla UFW

Existují dva různé způsoby, jak odstranit pravidla UFW, podle čísla pravidla a zadáním skutečného pravidla.

Odstranění pravidel UFW podle čísla pravidla je snazší, zejména pokud jste novým uživatelem UFW.

Chcete-li nejprve odstranit pravidlo podle čísla pravidla, musíte najít číslo pravidla, které chcete odstranit. Chcete-li to provést, spusťte následující příkaz:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

Chcete-li odstranit pravidlo číslo 3, pravidlo, které umožňuje připojení k portu 8080, můžete použít následující příkaz:

sudo ufw delete 2

Druhou metodou je odstranění pravidla určením skutečného pravidla. Pokud jste například přidali pravidlo pro otevření portu 8069 můžete jej odstranit pomocí:

sudo ufw delete allow 8069

Zakázat UFW

Pokud z nějakého důvodu chcete zastavit UFW a deaktivovat všechna pravidla spuštění:

sudo ufw disable

Později, pokud chcete znovu povolit UTF a aktivovat všechna pravidla, stačí napsat:

sudo ufw enable

Reset UFW

Resetování UFW deaktivuje UFW a odstraní všechna aktivní pravidla. To je užitečné, pokud chcete vrátit všechny své změny a začít znovu.

Chcete-li resetovat UFW, jednoduše zadejte následující příkaz:

sudo ufw reset

Závěr

Naučili jste se, jak nainstalovat a konfigurovat UFW firewall na vašem počítači Debian 9. Nezapomeňte povolit všechna příchozí připojení, která jsou nezbytná pro správné fungování systému, a zároveň omezit všechna zbytečná připojení.

Ufw firewall iptables zabezpečení Debianu