UFW installimine ja konfigureerimine - keerukas tulemüür Debianis/Ubuntu

Kuna arvutid on omavahel ühendatud, kasvavad teenused kiiresti. E-post, sotsiaalmeedia, veebipood, vestlus kuni veebikonverentsideni on teenused, mida kasutaja kasutab. Kuid teiselt poolt meeldib sellele ühenduvusele lihtsalt kahepoolne nuga. Samuti on võimalik saata halbu sõnumeid sellistesse arvutitesse nagu viirus, üks neist on pahavara, Trooja-rakendused.

Internet kui suurim arvutivõrk ei ole alati täis häid inimesi. Meie arvutite/serverite ohutuse tagamiseks peame neid kaitsma.

Üks teie arvutis/serverites vajalik komponent peab olema tulemüür. Vikipeedias on määratlus järgmine:

Arvutamisel on tulemüür tarkvara- või riistvarapõhine võrgu turvasüsteem, mis kontrollib sissetulevat ja väljaminevat võrguliiklust, analüüsides andmepakette ja määrates rakendatud reeglistiku põhjal kindlaks, kas neid tuleks lubada või mitte.

Iptables on üks tulemüüre, mida serverid laialdaselt kasutavad. See on programm, mida kasutatakse sissetuleva ja väljuva liikluse haldamiseks serveris reeglite kogumi alusel. Üldiselt on serverisse sisenemiseks lubatud ainult usaldusväärne ühendus. Kuid IPTables töötab konsoolirežiimis ja see on keeruline. Need, kes on iptablesi reeglite ja käskudega tuttavad, saavad lugeda järgmist artiklit, mis kirjeldab iptablesi tulemüüri kasutamist.

  1. IPT-tabelite (Linuxi tulemüür) põhijuhend

UFW tulemüüri installimine Debianisse/Ubuntu

IP-tabelite seadistamise keerukuse vähendamiseks on palju esiplaane. Kui kasutate Ubuntu Linuxi, leiate tulemüüri vaiketööriistana ufw. Alustame ufw tulemüüri uurimist.

Ufw (tüsistusteta tulemüür) on enimkasutatavate iptablesi tulemüüri eesseade ja see on hostipõhiste tulemüüride jaoks hästi mugav. ufw annab raamistiku netfiltri haldamiseks ning käsurea liidese tulemüüri juhtimiseks. See pakub kasutajasõbralikku ja hõlpsasti kasutatavat liidest Linuxi algajatele, kes pole tulemüüri mõistetega eriti kursis.

Teisest küljest aitavad samad keerulised käsud administraatoritel seada keerulisi reegleid käsurea liidese abil. Ufw on teiste levituste nagu Debian, Ubuntu ja Linux Mint eelvool.

Kõigepealt kontrollige järgmise käsu abil, kas ufw on installitud.

$ sudo dpkg --get-selections | grep ufw

ufw 		install

Kui see pole installitud, saate selle installida apt-käsu abil, nagu allpool näidatud.

$ sudo apt-get install ufw

Enne kasutamist peaksite kontrollima, kas ufw töötab või mitte. Selle kontrollimiseks kasutage järgmist käsku.

$ sudo ufw status

Kui leidsite oleku: passiivne, tähendab see, et see pole aktiivne ega keelatud.

Selle lubamiseks peate lihtsalt terminali sisestama järgmise käsu.

$ sudo ufw enable

Firewall is active and enabled on system startup

Selle keelamiseks sisestage lihtsalt.

$ sudo ufw disable

Pärast tulemüüri aktiveerimist saate sinna oma reeglid lisada. Kui soovite näha, millised on vaikereeglid, võite tippida.

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
$

Nagu näete, keelatakse vaikimisi iga sissetulev ühendus. Kui soovite oma masinat kaugjuhtida, peate lubama õige pordi. Näiteks soovite lubada ssh-ühenduse. Siin on käsk selle lubamiseks.

$ sudo ufw allow ssh

[sudo] password for pungki :
Rule added
Rule added (v6)
$

Kui kontrollite olekut uuesti, näete sellist väljundit.

$ sudo ufw status

To 		Action 			From
-- 		----------- 		------
22 		ALLOW 			Anywhere
22 		ALLOW 			Anywhere (v6)

Kui teil on palju reegleid ja soovite iga reegli kohta käigu pealt numbreid lisada, kasutage parameetrit nummerdatud.

$ sudo ufw status numbered

To 		Action 			From
------ 		----------- 		------
[1] 22 		ALLOW 			Anywhere
[2] 22 		ALLOW 			Anywhere (v6)

Esimene reegel ütleb, et sissetulev ühendus porti 22 kõikjalt on lubatud nii tcp kui ka udp pakettidena. Mis siis, kui soovite lubada ainult TCP-paketti? Seejärel saate pordi numbri järele lisada parameetri tcp. Siin on näidisväljundiga näide.

$ sudo ufw allow ssh/tcp

To 		Action 			From
------ 		----------- 		------
22/tcp 		ALLOW 			Anywhere
22/tcp 		ALLOW 			Anywhere (v6)

Samu trikke rakendatakse ka reegli keelamiseks. Oletame, et soovite ftp-reegli eitada. Nii et peate ainult tippima.

$ sudo ufw deny ftp

To 		Action 			From
------ 		----------- 		------
21/tcp 		DENY 			Anywhere
21/tcp 		DENY 			Anywhere (v6)

Mõnikord on meil kohandatud port, mis ei järgi ühtegi standardit. Oletame, et muudame oma masina ssh-pordi 22-st 2290-ni. Seejärel võime pordi 2290 lubamiseks selle niimoodi lisada.

$ sudo ufw allow

To 		Action 			From
-- 		----------- 		------
2290 		ALLOW 			Anywhere
2290 		ALLOW 			Anywhere (v6)

Samuti on teil võimalik reeglisse lisada port-range. Kui me tahame avada tcp-protokolliga pordi vahemikus 2290 - 2300, siis on käsk selline.

$ sudo ufw allow 2290:2300/tcp

To 			Action 			From
------ 			----------- 		------
2290:2300/tcp 		ALLOW 			Anywhere
2290:2300/tcp 		ALLOW			Anywhere (v6)

samas kui soovite kasutada udp-d, kasutage lihtsalt järgmist käsku.

$ sudo ufw allow 2290:2300/udp

To 			Action 			From
------ 			----------- 		------
2290:2300/udp 		ALLOW 			Anywhere
2290:2300/udp 		ALLOW			Anywhere (v6)

Pidage meeles, et peate teksti "tcp" või "udp" selgesõnaliselt sisestama, vastasel juhul saate veateate, mis on sarnane allpool kirjeldatuga.

ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports

Varem oleme lisanud reeglid, mis põhinevad teenusel või sadamal. Ufw võimaldab teil lisada reegleid ka IP-aadressi põhjal. Siin on näidiskäsk.

$ sudo ufw allow from 192.168.0.104

Vahemiku laiendamiseks võite kasutada ka alamvõrgu maski.

$ sudo ufw allow form 192.168.0.0/24

To 		Action 			From
-- 		----------- 		------
Anywhere	ALLOW 			192.168.0.104
Anywhere	ALLOW 			192.168.0.0/24

Nagu näete, piirab parameeter from only ühenduse allikat. Kui sihtkoht - mida tähistab veerg To - on kõikjal. Sihtkohta saate hallata ka parameetri „Saaja“ abil. Vaatame näidist, mis võimaldab juurdepääsu porti 22 (ssh).

$ sudo ufw allow to any port 22

Ülaltoodud käsk võimaldab juurdepääsu porti 22 kõikjalt ja igast protokollist.

Täpsemate reeglite saamiseks võite kombineerida ka IP-aadressi, protokolli ja pordi. Oletame, et soovime luua reegli, mis piirab ühendust ainult IP 192.168.0.104-st, ainult protokolli TCP ja porti 22. Siis on käsk nagu allpool.

$ sudo ufw allow from 192.168.0.104 proto tcp to any port 22

Keelureegli loomise süntaks sarnaneb lubamisreegliga. Peate muutma ainult parameetrit lubamisest keelamiseks.

Mõnikord peate võib-olla oma olemasoleva reegli kustutama. Taaskord ufw-ga on reegleid lihtne kustutada. Ülaltoodud valimis on teil allpool reegel ja soovite selle kustutada.

To 		Action 			From
-- 		----------- 		------
22/tcp		ALLOW 			192.168.0.104
21/tcp		ALLOW 			Anywhere
21/tcp 		ALLOW 			Anywhere (v6)

Reeglite kustutamiseks on kaks meetodit.

Allolev käsk kustutab reeglid, mis vastavad teenuse ftp-le. Nii et 21/tcp, mis tähendab ftp-porti, kustutatakse.

$ sudo ufw delete allow ftp

Aga kui proovisite ülaltoodud näites esimest reeglit kustutada käsu allpool.

$ sudo ufw delete allow ssh

Or 

$ sudo ufw delete allow 22/tcp

Võite leida veateate nagu.

Could not delete non-existent rule
Could not delete non-existent rule (v6)

Siis saate seda trikki teha. Nagu me eespool mainisime, saate näidata reegli arvu, et näidata, millise reegli soovime kustutada. Las me näitame seda teile.

$ sudo ufw status numbered

To 		Action 			From
-- 		----------- 		------
[1] 22/tcp		ALLOW 			192.168.0.104
[2] 21/tcp		ALLOW 			Anywhere
[3] 21/tcp 		ALLOW 			Anywhere (v6)

Seejärel saate esimese reegli abil kustutada. Reegli lõplikuks kustutamiseks vajutage klahvi „y“.

$ sudo ufw delete 1

Deleting :
Allow from 192.168.0.104 to any port 22 proto tcp
Proceed with operation (y|n)? y

Nendest meetoditest näete erinevust. 2. meetod küsib kasutajalt enne reegli kustutamist kinnitust, kui 1. meetod seda pole.

Mõnes olukorras võiksite kustutada/lähtestada kõik reeglid. Saate seda teha kirjutades.

$ sudo ufw reset

Resetting all rules to installed defaults. Proceed with operation (y|n)? y

Kui vajutate “y”, varundab ufw kõik olemasolevad reeglid enne ufw lähtestamist. Reeglite lähtestamine keelab ka tulemüüri. Kui soovite seda kasutada, peate selle uuesti lubama.

Nagu ma eespool ütlesin, saab ufw tulemüür teha kõike, mida iptables suudab. Selle saavutamiseks kasutatakse erinevaid reeglifailide komplekte, mis pole midagi muud kui iptables - taastada sobivad tekstifailid. Ufw-i häälestamine ja/või ufw-käsu kaudu keelatud täiendavate iptable-käskude paigutamine on mitme tekstifaili redigeerimine.

  1. /etc/default/ufw: vaikepoliitikate, IPv6 toe ja kerneli moodulite põhikonfiguratsioon.
  2. /etc/ufw/before[6].rules: nende failide reeglid arvutatakse enne mis tahes reegleid, mis lisatakse käsuga ufw.
  3. /etc/ufw/after[6].rules: nende failide reeglid arvutatakse pärast kõiki käsu ufw kaudu lisatud reegleid.
  4. /etc/ufw/sysctl.conf: tuuma võrguhäälestused.
  5. /etc/ufw/ufw.conf: määrab, kas ufw on alglaadimisel lubatud või mitte, ja määrab LOGLEVEL.

Järeldus

UFW on iptable'i kasutajaliidesena kasutajale kindlasti lihtne liides. Kasutajal pole vaja meelde jätta keerulist iptable'i süntaksit. UFW kasutab parameetrina ka sõna „tavaline inglise keel”.

Üks neist on lubamine, keelamine, lähtestamine. Usun, et seal on palju rohkem iptablesi e-end. Kuid kindlasti on ufw üks parimaid alternatiive kasutajatele, kes soovivad oma tulemüüri kiiresti, lihtsalt ja muidugi turvaliselt seadistada. Täpsema teabe saamiseks külastage ufw käsiraamatut, sisestades man ufw.