Phenquestions
Introduksjon
Ubuntu er et Linux-operativsystem som er ganske populært blant serveradministratorer på grunn av avanserte funksjoner som følger med det som standard. En slik funksjon er brannmuren, som er et sikkerhetssystem som overvåker både innkommende og utgående nettverkstilkoblinger for å ta beslutninger avhengig av de forhåndsdefinerte sikkerhetsreglene. For å definere slike regler, må brannmuren konfigureres før den brukes, og denne guiden viser hvordan du enkelt kan aktivere og konfigurere brannmuren i Ubuntu sammen med andre nyttige tips for å konfigurere brannmuren.
Hvordan aktivere brannmur
Som standard kommer Ubuntu med en brannmur, kjent som UFW (ukomplisert brannmur), som er tilstrekkelig sammen med noen andre tredjepartspakker for å sikre serveren mot eksterne trusler. Siden brannmuren ikke er aktivert, må den imidlertid aktiveres før noe. Bruk følgende kommando for å aktivere standard UFW i Ubuntu.
- Først av alt, sjekk den nåværende statusen til brannmuren for å sikre at den virkelig er deaktivert. For å få detaljert status, bruk den sammen med den detaljerte kommandoen.
sudo ufw status
sudo ufw status verbose
- Hvis den er deaktivert, aktiveres følgende kommando
sudo ufw aktivere
- Når brannmuren er aktivert, start systemet på nytt for at endringene skal tre i kraft. Parameteren r brukes til å angi at kommandoen skal starte på nytt, parameteren nå er for å angi omstart, må gjøres umiddelbart uten forsinkelse.
sudo shutdown -r nå
Blokkér all trafikk med brannmur
UFW, som standard blokkerer / tillater all trafikk med mindre den overstyres med spesifikke porter. Som vist i skjermbildene ovenfor blokkerer ufw all innkommende trafikk, og tillater all utgående trafikk. Imidlertid, med følgende kommandoer, kan all trafikk deaktiveres uten unntak. Hva dette fjerner alle UFW-konfigurasjonene, og nekter tilgang fra enhver tilkobling.
sudo ufw reset
sudo ufw standard nekte innkommende
sudo ufw standard nekter utgående
Hvordan aktivere port for HTTP?
HTTP står for hypertekstoverføringsprotokoll, som definerer hvordan en melding formateres når den overføres over et hvilket som helst nettverk, for eksempel verdensomspennende net aka Internet. Siden en nettleser som standard kobler seg til webserveren via HTTP-protokoll for å samhandle med innholdet, må porten som tilhører HTTP være aktivert. I tillegg, hvis webserveren bruker SSL / TLS (sikret sokkellag / transportlagsikkerhet), må HTTPS også være tillatt.
sudo ufw tillate http
sudo ufw tillate https
Hvordan aktivere port for SSH?
SSH står for secure shell, som brukes til å koble til et system over et nettverk, vanligvis over Internett; Derfor brukes den mye til å koble til servere over Internett fra den lokale maskinen. Siden Ubuntu som standard blokkerer alle innkommende tilkoblinger, inkludert SSH, må den være aktivert for å få tilgang til serveren via Internett.
sudo ufw tillate ssh
Hvis SSH er konfigurert til å bruke en annen port, må portnummeret oppgis eksplisitt i stedet for profilnavnet.
sudo ufw tillate 1024
Hvordan aktivere port for TCP / UDP
TCP, alias overføringsstyringsprotokoll, definerer hvordan du oppretter og vedlikeholder en nettverkssamtale for at applikasjonen skal kunne utveksle data. Som standard bruker en webserver TCP-protokoll; Derfor må den aktiveres, men heldigvis aktiverer du en port også porten for både TCP / UDP samtidig. Imidlertid, hvis den spesielle porten kun er ment for TCP eller UDP, må protokollen spesifiseres sammen med portnummeret / profilnavnet.
sudo ufw allow | nekt portnummer | profilnavn / tcp / udp
sudo ufw tillate 21 / tcp
sudo ufw nekte 21 / udp
Slik deaktiverer du brannmuren helt?
Noen ganger må standard brannmur deaktiveres for å teste nettverket eller når en annen brannmur er ment å installeres. Følgende kommando deaktiverer brannmuren fullstendig og tillater alle innkommende og utgående forbindelser ubetinget. Dette er ikke tilrådelig med mindre de nevnte intensjonene er årsakene til deaktivering. Deaktivering av brannmuren nullstilles eller slettes ikke konfigurasjonene; derfor kan den igjen aktiveres med tidligere innstillinger.
sudo ufw deaktivere
Aktiver standard policyer
Standardpolicyer angir hvordan en brannmur reagerer på en forbindelse når ingen regler samsvarer med den, for eksempel hvis brannmuren tillater alle innkommende tilkoblinger som standard, men hvis portnummer 25 er blokkert for innkommende tilkoblinger, fungerer resten av portene fortsatt for innkommende tilkoblinger. unntatt portnummer 25, da det tilsidesetter standardforbindelsen. Følgende kommandoer nekter innkommende tilkoblinger, og tillater utgående tilkoblinger som standard.
sudo ufw standard nekte innkommende
sudo ufw standard tillater utgående
Aktiver spesifikt portområde
Portområde spesifiserer hvilke porter brannmurregelen gjelder. Rekkevidden er oppgitt i startPort: endPort format, blir det deretter fulgt av tilkoblingsprotokollen som er pålagt å oppgi i dette tilfellet.
sudo ufw tillate 6000: 6010 / tcp
sudo ufw tillate 6000: 6010 / udp
Tillat / nekt spesifikk IP-adresse / adresser
Ikke bare en bestemt port kan tillates eller nektes for enten utgående eller innkommende, men også en IP-adresse. Når IP-adressen er spesifisert i regelen, blir enhver forespørsel fra denne bestemte IP-en utsatt for akkurat spesifisert regel, for eksempel i følgende kommando tillater den alle forespørsler fra 67.205.171.204 IP-adresse, så tillater det alle forespørsler fra 67.205.171.204 til både port 80 og 443 porter, hva dette betyr er at alle enheter med denne IP-en kan sende vellykkede forespørsler til serveren uten å bli nektet i et tilfelle når standardregelen blokkerer alle innkommende tilkoblinger. Dette er ganske nyttig for private servere som brukes av en enkelt person eller et bestemt nettverk.
sudo ufw tillate fra 67.205.171.204
sudo ufw tillate fra 67.205.171.204 til hvilken som helst port 80
sudo ufw tillate fra 67.205.171.204 til hvilken som helst port 443
Aktiver logging
Loggingsfunksjonalitet logger de tekniske detaljene for hver forespørsel til og fra serveren. Dette er nyttig for feilsøkingsformål; Derfor anbefales det å slå den på.
sudo ufw logger på
Tillat / nekt spesifikt subnett
Når det er en rekke IP-adresser involvert, er det vanskelig å legge hver IP-adresseoppføring manuelt til en brannmurregel for å enten nekte eller tillate, og dermed kan IP-adresseområder spesifiseres i CIDR-notasjon, som vanligvis består av IP-adressen og mengden av vertene den inneholder og IP for hver vert.
I det følgende eksemplet bruker den følgende to kommandoer. I det første eksemplet bruker den / 24 netmask, og dermed regelen gyldig fra 192.168.1.1 til 192.168.1.254 IP-adresser. I det andre eksemplet gjelder den samme regelen bare for portnummer 25. Så hvis innkommende forespørsler er blokkert som standard, har de nevnte IP-adressene nå lov til å sende forespørsler til port nummer 25 på serveren.
sudo ufw tillate fra 192.168.1.1/24
sudo ufw tillate fra 192.168.1.1/24 til hvilken som helst port 25
Slett en regel fra brannmur
Regler kan fjernes fra brannmuren. Følgende første kommando stiller opp hver regel i brannmuren med et nummer, og med den andre kommandoen kan regelen slettes ved å spesifisere nummeret som tilhører regelen.
sudo ufw status nummerert
sudo ufw slett 2
Tilbakestill brannmurkonfigurasjon
Til slutt, for å starte på nytt med brannmurkonfigurasjonen, bruk følgende kommando. Dette er ganske nyttig hvis brannmur begynner å fungere merkelig, eller hvis brannmur oppfører seg uventet.
sudo ufw reset
