UFW installimine ja konfigureerimine - keerukas tulemüür Debianis/Ubuntu
Kuna arvutid on omavahel ühendatud, kasvavad teenused kiiresti. E-post, sotsiaalmeedia, veebipood, vestlus kuni veebikonverentsideni on teenused, mida kasutaja kasutab. Kuid teiselt poolt meeldib sellele ühenduvusele lihtsalt kahepoolne nuga. Samuti on võimalik saata halbu sõnumeid sellistesse arvutitesse nagu viirus, üks neist on pahavara, Trooja-rakendused.
Internet kui suurim arvutivõrk ei ole alati täis häid inimesi. Meie arvutite/serverite ohutuse tagamiseks peame neid kaitsma.
Üks teie arvutis/serverites vajalik komponent peab olema tulemüür. Vikipeedias on määratlus järgmine:
Arvutamisel on tulemüür tarkvara- või riistvarapõhine võrgu turvasüsteem, mis kontrollib sissetulevat ja väljaminevat võrguliiklust, analüüsides andmepakette ja määrates rakendatud reeglistiku põhjal kindlaks, kas neid tuleks lubada või mitte.
Iptables on üks tulemüüre, mida serverid laialdaselt kasutavad. See on programm, mida kasutatakse sissetuleva ja väljuva liikluse haldamiseks serveris reeglite kogumi alusel. Üldiselt on serverisse sisenemiseks lubatud ainult usaldusväärne ühendus. Kuid IPTables töötab konsoolirežiimis ja see on keeruline. Need, kes on iptablesi reeglite ja käskudega tuttavad, saavad lugeda järgmist artiklit, mis kirjeldab iptablesi tulemüüri kasutamist.
- IPT-tabelite (Linuxi tulemüür) põhijuhend
UFW tulemüüri installimine Debianisse/Ubuntu
IP-tabelite seadistamise keerukuse vähendamiseks on palju esiplaane. Kui kasutate Ubuntu Linuxi, leiate tulemüüri vaiketööriistana ufw. Alustame ufw tulemüüri uurimist.
Ufw (tüsistusteta tulemüür) on enimkasutatavate iptablesi tulemüüri eesseade ja see on hostipõhiste tulemüüride jaoks hästi mugav. ufw annab raamistiku netfiltri haldamiseks ning käsurea liidese tulemüüri juhtimiseks. See pakub kasutajasõbralikku ja hõlpsasti kasutatavat liidest Linuxi algajatele, kes pole tulemüüri mõistetega eriti kursis.
Teisest küljest aitavad samad keerulised käsud administraatoritel seada keerulisi reegleid käsurea liidese abil. Ufw on teiste levituste nagu Debian, Ubuntu ja Linux Mint eelvool.
Kõigepealt kontrollige järgmise käsu abil, kas ufw on installitud.
$ sudo dpkg --get-selections | grep ufw ufw install
Kui see pole installitud, saate selle installida apt-käsu abil, nagu allpool näidatud.
$ sudo apt-get install ufw
Enne kasutamist peaksite kontrollima, kas ufw töötab või mitte. Selle kontrollimiseks kasutage järgmist käsku.
$ sudo ufw status
Kui leidsite oleku: passiivne, tähendab see, et see pole aktiivne ega keelatud.
Selle lubamiseks peate lihtsalt terminali sisestama järgmise käsu.
$ sudo ufw enable Firewall is active and enabled on system startup
Selle keelamiseks sisestage lihtsalt.
$ sudo ufw disable
Pärast tulemüüri aktiveerimist saate sinna oma reeglid lisada. Kui soovite näha, millised on vaikereeglid, võite tippida.
$ sudo ufw status verbose
Status: active Logging: on (low) Default: deny (incoming), allow (outgoing) New profiles: skip $
Nagu näete, keelatakse vaikimisi iga sissetulev ühendus. Kui soovite oma masinat kaugjuhtida, peate lubama õige pordi. Näiteks soovite lubada ssh-ühenduse. Siin on käsk selle lubamiseks.
$ sudo ufw allow ssh [sudo] password for pungki : Rule added Rule added (v6) $
Kui kontrollite olekut uuesti, näete sellist väljundit.
$ sudo ufw status To Action From -- ----------- ------ 22 ALLOW Anywhere 22 ALLOW Anywhere (v6)
Kui teil on palju reegleid ja soovite iga reegli kohta käigu pealt numbreid lisada, kasutage parameetrit nummerdatud.
$ sudo ufw status numbered To Action From ------ ----------- ------ [1] 22 ALLOW Anywhere [2] 22 ALLOW Anywhere (v6)
Esimene reegel ütleb, et sissetulev ühendus porti 22 kõikjalt on lubatud nii tcp kui ka udp pakettidena. Mis siis, kui soovite lubada ainult TCP-paketti? Seejärel saate pordi numbri järele lisada parameetri tcp. Siin on näidisväljundiga näide.
$ sudo ufw allow ssh/tcp To Action From ------ ----------- ------ 22/tcp ALLOW Anywhere 22/tcp ALLOW Anywhere (v6)
Samu trikke rakendatakse ka reegli keelamiseks. Oletame, et soovite ftp-reegli eitada. Nii et peate ainult tippima.
$ sudo ufw deny ftp To Action From ------ ----------- ------ 21/tcp DENY Anywhere 21/tcp DENY Anywhere (v6)
Mõnikord on meil kohandatud port, mis ei järgi ühtegi standardit. Oletame, et muudame oma masina ssh-pordi 22-st 2290-ni. Seejärel võime pordi 2290 lubamiseks selle niimoodi lisada.
$ sudo ufw allow To Action From -- ----------- ------ 2290 ALLOW Anywhere 2290 ALLOW Anywhere (v6)
Samuti on teil võimalik reeglisse lisada port-range. Kui me tahame avada tcp-protokolliga pordi vahemikus 2290 - 2300, siis on käsk selline.
$ sudo ufw allow 2290:2300/tcp To Action From ------ ----------- ------ 2290:2300/tcp ALLOW Anywhere 2290:2300/tcp ALLOW Anywhere (v6)
samas kui soovite kasutada udp-d, kasutage lihtsalt järgmist käsku.
$ sudo ufw allow 2290:2300/udp To Action From ------ ----------- ------ 2290:2300/udp ALLOW Anywhere 2290:2300/udp ALLOW Anywhere (v6)
Pidage meeles, et peate teksti "tcp" või "udp" selgesõnaliselt sisestama, vastasel juhul saate veateate, mis on sarnane allpool kirjeldatuga.
ERROR: Must specify ‘tcp’ or ‘udp’ with multiple ports
Varem oleme lisanud reeglid, mis põhinevad teenusel või sadamal. Ufw võimaldab teil lisada reegleid ka IP-aadressi põhjal. Siin on näidiskäsk.
$ sudo ufw allow from 192.168.0.104
Vahemiku laiendamiseks võite kasutada ka alamvõrgu maski.
$ sudo ufw allow form 192.168.0.0/24 To Action From -- ----------- ------ Anywhere ALLOW 192.168.0.104 Anywhere ALLOW 192.168.0.0/24
Nagu näete, piirab parameeter from only ühenduse allikat. Kui sihtkoht - mida tähistab veerg To - on kõikjal. Sihtkohta saate hallata ka parameetri „Saaja“ abil. Vaatame näidist, mis võimaldab juurdepääsu porti 22 (ssh).
$ sudo ufw allow to any port 22
Ülaltoodud käsk võimaldab juurdepääsu porti 22 kõikjalt ja igast protokollist.
Täpsemate reeglite saamiseks võite kombineerida ka IP-aadressi, protokolli ja pordi. Oletame, et soovime luua reegli, mis piirab ühendust ainult IP 192.168.0.104-st, ainult protokolli TCP ja porti 22. Siis on käsk nagu allpool.
$ sudo ufw allow from 192.168.0.104 proto tcp to any port 22
Keelureegli loomise süntaks sarnaneb lubamisreegliga. Peate muutma ainult parameetrit lubamisest keelamiseks.
Mõnikord peate võib-olla oma olemasoleva reegli kustutama. Taaskord ufw-ga on reegleid lihtne kustutada. Ülaltoodud valimis on teil allpool reegel ja soovite selle kustutada.
To Action From -- ----------- ------ 22/tcp ALLOW 192.168.0.104 21/tcp ALLOW Anywhere 21/tcp ALLOW Anywhere (v6)
Reeglite kustutamiseks on kaks meetodit.
Allolev käsk kustutab reeglid, mis vastavad teenuse ftp-le. Nii et 21/tcp, mis tähendab ftp-porti, kustutatakse.
$ sudo ufw delete allow ftp
Aga kui proovisite ülaltoodud näites esimest reeglit kustutada käsu allpool.
$ sudo ufw delete allow ssh Or $ sudo ufw delete allow 22/tcp
Võite leida veateate nagu.
Could not delete non-existent rule Could not delete non-existent rule (v6)
Siis saate seda trikki teha. Nagu me eespool mainisime, saate näidata reegli arvu, et näidata, millise reegli soovime kustutada. Las me näitame seda teile.
$ sudo ufw status numbered To Action From -- ----------- ------ [1] 22/tcp ALLOW 192.168.0.104 [2] 21/tcp ALLOW Anywhere [3] 21/tcp ALLOW Anywhere (v6)
Seejärel saate esimese reegli abil kustutada. Reegli lõplikuks kustutamiseks vajutage klahvi „y“.
$ sudo ufw delete 1 Deleting : Allow from 192.168.0.104 to any port 22 proto tcp Proceed with operation (y|n)? y
Nendest meetoditest näete erinevust. 2. meetod küsib kasutajalt enne reegli kustutamist kinnitust, kui 1. meetod seda pole.
Mõnes olukorras võiksite kustutada/lähtestada kõik reeglid. Saate seda teha kirjutades.
$ sudo ufw reset Resetting all rules to installed defaults. Proceed with operation (y|n)? y
Kui vajutate “y”, varundab ufw kõik olemasolevad reeglid enne ufw lähtestamist. Reeglite lähtestamine keelab ka tulemüüri. Kui soovite seda kasutada, peate selle uuesti lubama.
Nagu ma eespool ütlesin, saab ufw tulemüür teha kõike, mida iptables suudab. Selle saavutamiseks kasutatakse erinevaid reeglifailide komplekte, mis pole midagi muud kui iptables - taastada sobivad tekstifailid. Ufw-i häälestamine ja/või ufw-käsu kaudu keelatud täiendavate iptable-käskude paigutamine on mitme tekstifaili redigeerimine.
- /etc/default/ufw: vaikepoliitikate, IPv6 toe ja kerneli moodulite põhikonfiguratsioon.
- /etc/ufw/before[6].rules: nende failide reeglid arvutatakse enne mis tahes reegleid, mis lisatakse käsuga ufw.
- /etc/ufw/after[6].rules: nende failide reeglid arvutatakse pärast kõiki käsu ufw kaudu lisatud reegleid.
- /etc/ufw/sysctl.conf: tuuma võrguhäälestused.
- /etc/ufw/ufw.conf: määrab, kas ufw on alglaadimisel lubatud või mitte, ja määrab LOGLEVEL.
Järeldus
UFW on iptable'i kasutajaliidesena kasutajale kindlasti lihtne liides. Kasutajal pole vaja meelde jätta keerulist iptable'i süntaksit. UFW kasutab parameetrina ka sõna „tavaline inglise keel”.
Üks neist on lubamine, keelamine, lähtestamine. Usun, et seal on palju rohkem iptablesi e-end. Kuid kindlasti on ufw üks parimaid alternatiive kasutajatele, kes soovivad oma tulemüüri kiiresti, lihtsalt ja muidugi turvaliselt seadistada. Täpsema teabe saamiseks külastage ufw käsiraamatut, sisestades man ufw.