Ubuntu Firewall Howto

Introduktion

Ubuntu är ett Linux-operativsystem som är ganska populärt bland serveradministratörer på grund av avancerade funktioner som levereras med det som standard. En sådan funktion är brandväggen, som är ett säkerhetssystem som övervakar både inkommande och utgående nätverksanslutningar för att fatta beslut beroende på de fördefinierade säkerhetsreglerna. För att definiera sådana regler måste brandväggen konfigureras innan den används, och den här guiden visar hur du enkelt aktiverar och konfigurerar brandväggen i Ubuntu tillsammans med andra användbara tips för att konfigurera brandväggen.

Hur du aktiverar brandvägg

Som standard kommer Ubuntu med en brandvägg, känd som UFW (okomplicerad brandvägg), vilket är tillräckligt, tillsammans med några andra tredjepartspaket för att skydda servern från externa hot. Eftersom brandväggen inte är aktiverad måste den dock aktiveras före någonting. Använd följande kommando för att aktivera standard-UFW i Ubuntu.

1. Kontrollera först och främst den aktuella statusen för brandväggen för att se till att den verkligen är inaktiverad. För att få detaljerad status, använd den tillsammans med det detaljerade kommandot.
   sudo ufw-status
   sudo ufw status detaljerad

2. Om den är inaktiverad aktiverar följande kommando det
   sudo ufw aktivera

3. När brandväggen är aktiverad startar du om systemet så att ändringarna träder i kraft. Parametern r används för att ange kommandot för att starta om, parametern nu är för att ange omstart måste göras omedelbart utan dröjsmål.
   sudo avstängning -r nu

Blockera all trafik med brandväggen

UFW, som standard blockerar / tillåter alla trafik om det inte åsidosätts med specifika portar. Som framgår av ovanstående skärmdumpar blockerar ufw all inkommande trafik och tillåter all utgående trafik. Men med följande kommandon kan all trafik inaktiveras utan några undantag. Vad detta rensar alla UFW-konfigurationer och nekar åtkomst från alla anslutningar.

          sudo ufw reset

          sudo ufw standard neka inkommande

          sudo ufw standard neka utgående

Så här aktiverar du port för HTTP?

HTTP står för hypertextöverföringsprotokoll, som definierar hur ett meddelande formateras när det sänds över vilket nätverk som helst, t.ex. Eftersom en webbläsare som standard ansluter till webbservern via HTTP-protokoll för att interagera med innehållet måste porten som tillhör HTTP aktiveras. Dessutom, om webbservern använder SSL / TLS (säkrat sockellager / transportlagersäkerhet), måste HTTPS också tillåtas.

          sudo ufw tillåta http

          sudo ufw tillåta https

Så här aktiverar du port för SSH?

SSH står för säkert skal, som används för att ansluta till ett system via ett nätverk, vanligtvis via Internet; därför används den ofta för att ansluta till servrar över Internet från den lokala maskinen. Eftersom Ubuntu som standard blockerar alla inkommande anslutningar, inklusive SSH, måste det vara aktiverat för att komma åt servern via Internet.

          sudo ufw tillåt ssh

Om SSH är konfigurerat för att använda en annan port måste portnumret anges uttryckligen istället för profilnamnet.

          sudo ufw tillåter 1024

Så här aktiverar du port för TCP / UDP

TCP, alias överföringsstyrprotokoll, definierar hur man skapar och underhåller en nätverkskonversation för att applikationen ska kunna utbyta data. Som standard använder en webbserver TCP-protokoll; därför måste den vara aktiverad, men lyckligtvis aktiverar en port också porten för både TCP / UDP på ​​en gång. Men om den specifika porten endast är avsedd att aktivera TCP eller UDP, måste protokollet specificeras tillsammans med portnumret / profilnamnet.

          sudo ufw allow | neka portnummer | profilnamn / tcp / udp

          sudo ufw tillåter 21 / tcp

          sudo ufw neka 21 / udp

Hur du inaktiverar brandväggen helt?

Ibland måste standard brandväggen inaktiveras för att testa nätverket eller när en annan brandvägg är avsedd att installeras. Följande kommando inaktiverar helt brandväggen och tillåter alla inkommande och utgående anslutningar utan villkor. Detta är inte tillrådligt om inte ovannämnda avsikter är anledningarna till att inaktivera. Att inaktivera brandväggen återställer eller raderar inte dess konfigurationer. Därför kan den aktiveras igen med tidigare inställningar.

          sudo ufw inaktivera

Aktivera standardpolicyer

Standardpolicyer anger hur en brandvägg svarar på en anslutning när ingen regel matchar den, till exempel om brandväggen tillåter alla inkommande anslutningar som standard, men om portnummer 25 är blockerat för inkommande anslutningar, fungerar resten av portarna fortfarande för inkommande anslutningar utom portnummer 25, eftersom det åsidosätter standardanslutningen. Följande kommandon nekar inkommande anslutningar och tillåter utgående anslutningar som standard.

          sudo ufw standard neka inkommande

          sudo ufw standard tillåter utgående

Aktivera specifikt portområde

Portintervall anger vilka portar brandväggsregeln gäller. Räckvidden anges i startPort: endPort format följs därefter av anslutningsprotokollet som är skyldigt att ange i detta fall.

          sudo ufw tillåta 6000: 6010 / tcp

          sudo ufw tillåta 6000: 6010 / udp

Tillåt / neka specifik IP-adress / adresser

Inte bara en specifik port kan tillåtas eller nekas för antingen utgående eller inkommande utan också en IP-adress. När IP-adressen anges i regeln, utsätts varje begäran från denna specifika IP för just specificerad regel, till exempel i följande kommando tillåter den alla förfrågningar från 67.205.171.204 IP-adress, då tillåter det alla förfrågningar från 67.205.171.204 till både port 80 och 443 portar, vad detta betyder är att alla enheter med denna IP kan skicka framgångsrika förfrågningar till servern utan att nekas i ett fall när standardregeln blockerar alla inkommande anslutningar. Detta är ganska användbart för privata servrar som används av en enda person eller ett specifikt nätverk.

          sudo ufw tillåta från 67.205.171.204

          sudo ufw tillåta från 67.205.171.204 till valfri port 80

          sudo ufw tillåta från 67.205.171.204 till valfri port 443

Aktivera loggning

Loggningsfunktionalitet loggar de tekniska detaljerna för varje begäran till och från servern. Detta är användbart för felsökningsändamål; Därför rekommenderas att du slår på den.

          sudo ufw loggar in

Tillåt / neka specifikt undernät

När ett antal IP-adresser är inblandade är det svårt att manuellt lägga till varje IP-adresspost till en brandväggsregel för att antingen neka eller tillåta, och därmed kan IP-adressintervall anges i CIDR-notering, som vanligtvis består av IP-adressen och beloppet av värdar den innehåller och IP för varje värd.

I följande exempel använder den följande två kommandon. I det första exemplet använder den / 24 netmask, och därmed regeln giltig från 192.168.1.1 till 192.168.1.254 IP-adresser. I det andra exemplet gäller samma regel endast för portnummer 25. Så om inkommande förfrågningar blockeras som standard får nu nämnda IP-adresser skicka förfrågningar till portnummer 25 på servern.

           sudo ufw tillåta från 192.168.1.1/24

           sudo ufw tillåta från 192.168.1.1/24 till valfri port 25

Ta bort en regel från brandväggen

Regler kan tas bort från brandväggen. Följande första kommando raderar upp varje regel i brandväggen med ett nummer, sedan med det andra kommandot kan regeln raderas genom att ange numret som tillhör regeln.

          sudo ufw-status numrerad

          sudo ufw ta bort 2

Återställ brandväggskonfiguration

Slutligen, för att starta om brandväggskonfigurationen, använd följande kommando. Detta är ganska användbart om brandväggen börjar fungera konstigt eller om brandväggen beter sig oväntat.

          sudo ufw reset