Phenquestions
Denne artikkelen viser deg hvordan du installerer og bruker UFW på Ubuntu 20.04 LTS-system.
Installasjon
UFW kommer forhåndsinstallert på de fleste Ubuntu-systemer. Hvis build ikke har dette programmet allerede installert, kan du installere det ved hjelp av enten snap eller apt pakkeforvaltere.$ sudo snap install ufw
$ sudo apt installere ufwJeg personlig foretrekker å bruke apt pakkebehandling for å gjøre dette fordi snap er mindre populært og jeg ikke vil ha denne ekstra kompleksiteten. I skrivende stund er versjonen publisert for UFW 0.36 for de 20.04 utgivelse.
Innkommende vs. Utgående trafikk
Hvis du er nybegynner i nettverksverdenen, er det første du trenger å avklare forskjellen mellom innkommende og utgående trafikk.
Når du installerer oppdateringer ved hjelp av apt-get, surfer på internett eller sjekker e-posten din, er det du gjør å sende "utgående" forespørsler til servere, som Ubuntu, Google osv. For å få tilgang til disse tjenestene trenger du ikke engang en offentlig IP. Vanligvis tildeles en enkelt offentlig IP-adresse for for eksempel en bredbåndsforbindelse hjemme, og hver enhet får sin egen private IP. Ruteren håndterer deretter trafikken ved hjelp av noe kjent som NAT eller Network Address Translation.
Detaljene for NAT og private IP-adresser ligger utenfor omfanget av denne artikkelen, men videoen som er lenket ovenfor er et utmerket utgangspunkt. Når du kommer tilbake til UFW, vil UFW tillate all vanlig utgående nettrafikk. Nettlesere, pakkeforvaltere og andre programmer velger et tilfeldig portnummer - vanligvis et tall over 3000 - og det er slik hvert program kan holde rede på forbindelsen (e).
Når du kjører servere i skyen, kommer de vanligvis med en offentlig IP-adresse og de ovennevnte reglene for å tillate utgående trafikk fortsatt. Fordi du fortsatt vil bruke verktøy, som pakkeforvaltere, som snakker med resten av verden som en 'klient', tillater UFW dette som standard.
Moroa begynner med innkommende trafikk. Programmer, som OpenSSH-serveren du bruker for å logge inn på den virtuelle maskinen, hører på bestemte porter (som 22) for innkommende forespørsler, i likhet med andre applikasjoner. Webservere trenger tilgang til port 80 og 443.
Det er en del av jobben til en brannmur å tillate spesifikke applikasjoner å lytte på bestemt innkommende trafikk mens de blokkerer alle unødvendige. Du kan ha en databaseserver installert på den virtuelle maskinen, men den trenger vanligvis ikke å lytte etter innkommende forespørsler på grensesnittet med en offentlig IP. Vanligvis lytter den bare på loopback-grensesnittet for forespørsler.
Det er mange roboter ute på nettet, som stadig bombarderer servere med falske forespørsler om å tøffe seg inn, eller å gjøre et enkelt Denial of Service-angrep. En godt konfigurert brannmur skal kunne blokkere de fleste av disse shenanigans ved hjelp av tredjeparts plugins som Fail2ban.
Men foreløpig vil vi fokusere på et veldig grunnleggende oppsett.
Grunnleggende bruk
Nå som du har UFW installert på systemet ditt, vil vi se på noen grunnleggende bruksområder for dette programmet. Siden brannmurregler brukes hele systemet, kjøres kommandoene nedenfor som rotbruker. Hvis du foretrekker det, kan du bruke sudo med riktige privilegier for denne prosedyren.
# ufw statusStatus: inaktiv
Som standard er UFW i inaktiv tilstand, noe som er bra. Du vil ikke blokkere all innkommende trafikk på port 22, som er standard SSH-port. Hvis du er logget på en ekstern server via SSH og blokkerer port 22, vil du bli låst utenfor serveren.
UFW gjør det enkelt for oss å stikke hull bare for OpenSSH. Kjør kommandoen nedenfor:
[e-postbeskyttet]: ~ # ufw app-listeTilgjengelige applikasjoner:
OpenSSH
Legg merke til at jeg fremdeles ikke har aktivert brannmuren. Vi vil nå legge til OpenSSH i listen vår over tillatte apper og deretter aktivere brannmuren. For å gjøre det, skriv inn følgende kommandoer:
# ufw tillater OpenSSHReglene er oppdatert
Regler oppdatert (v6)
# ufw aktivere
Kommandoen kan forstyrre eksisterende SSH-tilkoblinger. Fortsett med operasjonen (y | n)? y.
Brannmuren er nå aktiv og aktivert ved oppstart av systemet.
Gratulerer, UFW er nå aktivt og i gang. UFW tillater nå bare OpenSSH å høre på innkommende forespørsler i port 22. For å kontrollere statusen til brannmuren når som helst, kjør følgende kode:
# ufw statusStatus: aktiv
Til handling fra
-- ------ ----
OpenSSH ALLOW hvor som helst
OpenSSH (v6) ALLOW Anywhere (v6)
Som du kan se, kan OpenSSH nå motta forespørsler fra hvor som helst på Internett, forutsatt at den når den på port 22. V6-linjen indikerer at også reglene brukes for IPv6.
Du kan selvfølgelig forby bestemte IP-områder, eller bare tillate et bestemt IP-område, avhengig av sikkerhetsbegrensningene du jobber med.
Legge til applikasjoner
For de mest populære applikasjonene oppdaterer ufw-applistekommandoen automatisk listen over policyer etter installasjon. For eksempel, etter installasjon av Nginx-webserveren, vil du se følgende nye alternativer vises:
# apt install nginx# ufw app-liste
Tilgjengelige applikasjoner:
Nginx Full
Nginx HTTP
Nginx HTTPS
OpenSSH
Fortsett og prøv å eksperimentere med disse reglene. Merk at du ganske enkelt kan tillate portnumre, i stedet for å vente på at applikasjonens profil skal vises. For eksempel, for å tillate port 443 for HTTPS-trafikk, bruk bare følgende kommando:
# ufw tillater 443# ufw status
Status: aktiv
Til handling fra
-- ------ ----
OpenSSH ALLOW hvor som helst
443 Tillat hvor som helst
OpenSSH (v6) ALLOW Anywhere (v6)
443 (v6) ALLOW Anywhere (v6)
Konklusjon
Nå som du har det grunnleggende om UFW sortert, kan du utforske andre kraftige brannmurfunksjoner, fra å tillate og blokkere IP-områder. Å ha tydelige og sikre brannmurregler vil holde systemene dine trygge og beskyttede.
