Phenquestions
Notera: för denna handledning nätverksgränssnittet enp2s0 och IP-adress 192.168.0.2/7 användes som exempel, byt ut dem mot de rätta.
Installera ufw:
Så här installerar du ufw på Debian-körning:
apt install ufw
Så här aktiverar du UFW-körning:
ufw aktivera
Så här inaktiverar du UFW-körning:
ufw inaktivera
Om du vill utföra en snabb kontroll av din brandväggs statuskörning:
ufw-status
Var:
Status: informerar om brandväggen är aktiv.
Till: visar porten eller tjänsten
Handling: visar policyn
Från: visar möjliga trafikkällor.
Vi kan också kontrollera brandväggsstatus med ordlighet genom att köra:
ufw status detaljerad
Det andra kommandot för att se brandväggsstatusen visar också standardpolicyer och trafikriktning.
Förutom informativa skärmar med “ufw status” eller “ufw status verbose” kan vi skriva ut alla regler som är numrerade om det hjälper till att hantera dem som du kommer att se senare. Så här kör du en numrerad lista över dina brandväggsregler:
ufw-status numrerad
När som helst kan vi återställa UFW-inställningarna till standardkonfigurationen genom att köra:
ufw-återställning
När du återställer ufw-regler kommer den att begära bekräftelse. Tryck Y att bekräfta.
Kort introduktion till brandväggspolicyer:
För varje brandvägg kan vi bestämma en standardpolicy, känsliga nätverk kan tillämpa en restriktiv policy som innebär att neka eller blockera all trafik utom det specifikt tillåtna. Till skillnad från en restriktiv policy accepterar en tillåtande brandvägg all trafik utom den specifikt blockerade.
Om vi till exempel har en webbserver och vi inte vill att den servern ska tjäna mer än en enkel webbplats kan vi tillämpa en restriktiv policy som blockerar alla portar utom portarna 80 (http) och 443 (https), det skulle vara en begränsande policy för som standard är alla portar blockerade såvida du inte avblockerar en specifik. Ett tillåtet brandväggsexempel skulle vara en oskyddad server där vi bara blockerar inloggningsporten, till exempel 443 och 22 för Plesk-servrar som bara blockerade portar. Dessutom kan vi använda ufw för att tillåta eller neka vidarebefordran.
Tillämpa restriktiva och tillåtna policyer med ufw:
För att som standard begränsa all inkommande trafik med ufw run:
ufw standard neka inkommande
För att göra det motsatta så att all inkommande trafik körs:
ufw standard tillåter inkommande
För att blockera all utgående trafik från vårt nätverk är syntaxen liknande, för att köra den:
För att tillåta all utgående trafik ersätter vi bara “förneka" för "tillåta”, För att tillåta utgående trafik villkorslöst:
Vi kan också tillåta eller neka trafik för specifika nätverksgränssnitt, hålla olika regler för varje gränssnitt, för att blockera all inkommande trafik från mitt Ethernet-kort som jag skulle köra:
ufw neka in på enp2s0
Var:
ufw= ringer programmet
förneka= definierar policyn
i= inkommande trafik
enp2s0= mitt Ethernet-gränssnitt
Nu kommer jag att tillämpa en standardbegränsande policy för inkommande trafik och sedan tillåta endast portarna 80 och 22:
ufw standard neka inkommandeufw tillåta 22
ufw tillåta http
Var:
Det första kommandot blockerar all inkommande trafik, medan det andra tillåter inkommande anslutningar till port 22 och det tredje kommandot tillåter inkommande anslutningar till port 80. Anteckna det ufw tillåter oss att ringa tjänsten med sin standardport eller tjänstnamn. Vi kan acceptera eller neka anslutningar till port 22 eller ssh, port 80 eller http.
Kommandot "ufw-status mångordig”Visar resultatet:
All inkommande trafik nekas medan de två tjänsterna (22 och http) vi tillåter är tillgängliga.
Om vi vill ta bort en specifik regel kan vi göra det med parametern “radera”. För att ta bort vår sista regel som tillåter inkommande trafik till port http-körning:
ufw radera tillåt http
Låt oss kontrollera om http-tjänsterna fortfarande är tillgängliga eller blockerade genom att köra ufw status detaljerad:
Port 80 visas inte längre som ett undantag, eftersom den är port 22 den enda.
Du kan också radera en regel genom att bara anropa det numeriska ID som tillhandahålls av kommandot “ufw-status numrerad”Som nämnts tidigare, i det här fallet tar jag bort FÖRNEKA policy för inkommande trafik till Ethernet-kortet enp2s0:
ufw radera 1
Den kommer att be om bekräftelse och fortsätter om den bekräftas.
Dessutom till FÖRNEKA vi kan använda parametern AVVISA som kommer att informera den andra sidan om anslutningen nekades, till AVVISA anslutningar till ssh vi kan köra:
ufw avvisa 22 
Om någon sedan försöker komma åt vår port 22 kommer han att meddelas att anslutningen nekades som i bilden nedan.
När som helst kan vi kontrollera de tillagda reglerna över standardkonfigurationen genom att köra:
ufw-show tillagd
Vi kan neka alla anslutningar samtidigt som vi tillåter specifika IP-adresser, i följande exempel kommer jag att avvisa alla anslutningar till port 22 förutom IP 192.168.0.2 som är den enda som kan ansluta:
ufw neka 22ufw tillåta från 192.168.0.2
Om vi nu kontrollerar ufw-status ser du all inkommande trafik till port 22 nekas (regel 1) medan den är tillåten för angiven IP (regel 2)
Vi kan begränsa inloggningsförsöken för att förhindra brute force-attacker genom att ställa in en gräns som kör:
ufw limit ssh
För att avsluta denna handledning och lära oss att uppskatta ufws generositet, låt oss komma ihåg hur vi kunde förneka all trafik förutom en enda IP med hjälp av iptables:
iptables -A UTGÅNG -d 192.168.0.2 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
Detsamma kan göras med bara tre kortare och enklaste linjer med ufw:
ufw standard neka inkommandeufw standard neka utgående
ufw tillåta från 192.168.0.2
Jag hoppas att du tyckte att den här introduktionen till ufw var användbar. Tveka inte att kontakta oss via vår supportkanal på https: // support innan någon förfrågan om UFW eller någon Linux-relaterad fråga.linuxhint.com.
Relaterade artiklar
Iptables för nybörjare
Konfigurera Snort IDS och skapa regler
