Настройка firewall в Debian 9 (iptables)
Inhoudsopgave:
- voorwaarden
- Installeer UFW
- Controleer UFW-status
- UFW Standaardbeleid
- Toepassingsprofielen
- SSH-verbindingen toestaan
- Schakel UFW in
- Sta verbindingen op andere poorten toe
- Open poort 80 - HTTP
- Open poort 443 - HTTPS
- Open poort 8080
- Poortbereik toestaan
- Specifieke IP-adressen toestaan
- Specifieke IP-adressen op specifieke poort toestaan
- Subnetten toestaan
- Verbindingen met een specifieke netwerkinterface toestaan
- Verbindingen weigeren
- UFW-regels verwijderen
- Schakel UFW uit
- UFW opnieuw instellen
- Conclusie
Debian bevat verschillende pakketten die tools bieden voor het beheren van een firewall met iptables geïnstalleerd als onderdeel van het basissysteem. Het kan voor beginners ingewikkeld zijn om te leren hoe ze de iptables-tool kunnen gebruiken om een firewall correct te configureren en te beheren, maar UFW vereenvoudigt het.
UFW (ongecompliceerde firewall) is een gebruiksvriendelijk front-end voor het beheer van iptables-firewallregels en het belangrijkste doel is het beheer van iptables eenvoudiger te maken of, zoals de naam al zegt, ongecompliceerd.
In deze zelfstudie laten we u zien hoe u een firewall met UFW op Debian 9 instelt.
voorwaarden
Voordat u doorgaat met deze zelfstudie, moet u ervoor zorgen dat de gebruiker waarbij u bent aangemeld sudo-rechten heeft.
Installeer UFW
UFW wordt niet standaard geïnstalleerd in Debian 9. U kunt het
ufw
pakket installeren door te typen:
Controleer UFW-status
Nadat het installatieproces is voltooid, kunt u de status van UFW controleren met de volgende opdracht:
sudo ufw status verbose
De uitvoer ziet er zo uit:
Status: inactive
UFW is standaard uitgeschakeld. De installatie activeert de firewall niet automatisch om te voorkomen dat de server wordt geblokkeerd.
Als UFW is geactiveerd, ziet de uitvoer er als volgt uit:
UFW Standaardbeleid
Standaard blokkeert UFW alle inkomende verbindingen en staan alle uitgaande verbindingen toe. Dit betekent dat iedereen die toegang probeert te krijgen tot uw server, geen verbinding kan maken, tenzij u de poort specifiek opent, terwijl alle toepassingen en services die op uw server worden uitgevoerd toegang hebben tot de buitenwereld.
Het standaardbeleid is gedefinieerd in het bestand
/etc/default/ufw
en kan worden gewijzigd met de
sudo ufw default
Firewall-beleid is de basis voor het opstellen van meer gedetailleerde en door de gebruiker gedefinieerde regels. In de meeste gevallen zijn de initiële UFW-standaardbeleid een goed uitgangspunt.
Toepassingsprofielen
Bij het installeren van een pakket met
apt
zal het een applicatieprofiel toevoegen aan de map
/etc/ufw/applications.d
die de service beschrijft en UFW-instellingen bevat.
Om alle beschikbare applicatieprofielen op uw systeemtype te vermelden:
sudo ufw app list
Afhankelijk van de pakketten die op uw systeem zijn geïnstalleerd, ziet de uitvoer er als volgt uit:
Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…
Gebruik de volgende opdracht voor meer informatie over een specifiek profiel en opgenomen regels:
sudo ufw app info OpenSSH
Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp
AThe output hierboven vertelt ons dat het OpenSSH-profiel poort
22
opent.
SSH-verbindingen toestaan
Voordat we de UFW-firewall inschakelen, moeten we inkomende SSH-verbindingen toestaan.
Als u verbinding maakt met uw server vanaf een externe locatie, wat bijna altijd het geval is en u de UFW-firewall inschakelt voordat u inkomende SSH-verbindingen expliciet toestaat, kunt u geen verbinding meer maken met uw Debian-server.
Voer de volgende opdracht uit om uw UFW-firewall te configureren om inkomende SSH-verbindingen toe te staan:
sudo ufw allow OpenSSH
Rules updated Rules updated (v6)
Als de SSH-server luistert op een andere poort dan de standaardpoort 22, moet u die poort openen.
Uw SSH-server luistert bijvoorbeeld op poort
8822
en vervolgens kunt u de volgende opdracht gebruiken om verbindingen op die poort toe te staan:
Schakel UFW in
Nu uw UFW-firewall is geconfigureerd om inkomende SSH-verbindingen toe te staan, kunt u deze inschakelen door het volgende uit te voeren:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
U wordt gewaarschuwd dat het inschakelen van de firewall bestaande SSH-verbindingen kan verstoren. Typ gewoon
y
en druk op
Enter
.
Sta verbindingen op andere poorten toe
Afhankelijk van de applicaties die op uw server draaien en uw specifieke behoeften, moet u ook inkomende toegang tot sommige andere poorten toestaan.
Hieronder vindt u enkele voorbeelden van het toestaan van inkomende verbindingen met enkele van de meest voorkomende services:
Open poort 80 - HTTP
HTTP-verbindingen kunnen worden toegestaan met de volgende opdracht:
sudo ufw allow
In plaats van het
http
profiel kunt u het poortnummer
80
:
Open poort 443 - HTTPS
HTTP-verbindingen kunnen worden toegestaan met de volgende opdracht:
sudo ufw allow
Om hetzelfde te bereiken in plaats van
https
, kunt u het poortnummer
443
:
Open poort 8080
Poortbereik toestaan
Met UFW kunt u ook toegang verlenen tot poortbereiken. Wanneer u poortbereiken met UFW toestaat, moet u het protocol opgeven, hetzij
tcp
of
udp
.
Voer bijvoorbeeld de volgende opdracht uit om poorten van
7100
tot
7200
op zowel
tcp
als
udp
staan:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Specifieke IP-adressen toestaan
sudo ufw allow from 64.63.62.61
Specifieke IP-adressen op specifieke poort toestaan
Om toegang op een specifieke poort toe te staan, laten we zeggen poort 22 van uw werkmachine met IP-adres van 64.63.62.61 met de volgende opdracht:
sudo ufw allow from 64.63.62.61 to any port 22
Subnetten toestaan
De opdracht voor het toestaan van verbinding met een subnet van IP-adressen is hetzelfde als bij het gebruik van een enkel IP-adres, het enige verschil is dat u het netmasker moet opgeven. Als u bijvoorbeeld toegang wilt toestaan voor IP-adressen van 192.168.1.1 tot 192.168.1.254 tot poort 3360 (MySQL), kunt u deze opdracht gebruiken:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Verbindingen met een specifieke netwerkinterface toestaan
Om toegang op een specifieke poort toe te staan, laten we zeggen poort 3360 alleen tot specifieke netwerkinterface
eth2
, gebruikt u
allow in on
en de naam van de netwerkinterface:
sudo ufw allow in on eth2 to any port 3306
Verbindingen weigeren
Het standaardbeleid voor alle inkomende verbindingen is ingesteld om te
deny
wat betekent dat UFW alle inkomende verbindingen blokkeert, tenzij u de verbinding specifiek opent.
Stel dat u de poorten
80
en
443
hebt geopend en dat uw server wordt aangevallen door het
23.24.25.0/24
. Gebruik de volgende opdracht om alle verbindingen van
23.24.25.0/24
te weigeren:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Regels voor weigeren schrijven is hetzelfde als regels voor schrijven toestaan, u hoeft alleen te vervangen door
deny
.
UFW-regels verwijderen
Er zijn twee verschillende manieren om UFW-regels te verwijderen, op regelnummer en door de daadwerkelijke regel op te geven.
Het verwijderen van UFW-regels op regelnummer is eenvoudiger, vooral als u nieuw bent bij UFW.
Om een regel op regelnummer te verwijderen, moet u het nummer vinden van de regel die u wilt verwijderen. Om dat te doen, voer je het volgende commando uit:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
Om regel nummer 3, de regel die verbindingen met poort 8080 toestaat, te verwijderen, kunt u de volgende opdracht gebruiken:
sudo ufw delete 2
De tweede methode is om een regel te verwijderen door de daadwerkelijke regel op te geven. Als u bijvoorbeeld een regel hebt toegevoegd om poort
8069
te openen, kunt u deze verwijderen met:
Schakel UFW uit
Als u om welke reden dan ook UFW wilt stoppen en alle uitgevoerde regels wilt deactiveren:
sudo ufw disable
Als u later UTF opnieuw wilt inschakelen en alle regels wilt activeren, typt u:
UFW opnieuw instellen
Als u UFW opnieuw instelt, wordt UFW uitgeschakeld en worden alle actieve regels verwijderd. Dit is handig als u al uw wijzigingen wilt terugdraaien en opnieuw wilt beginnen.
Typ de volgende opdracht om UFW te resetten:
Conclusie
U hebt geleerd hoe u de UFW-firewall op uw Debian 9-machine kunt installeren en configureren. Zorg ervoor dat u alle inkomende verbindingen toestaat die nodig zijn voor een goede werking van uw systeem, terwijl u alle onnodige verbindingen beperkt.
ufw firewall iptables debian beveiligingEen zachte Larry-pagina verrast bij Google I / O
Er werd niet verwacht dat de pagina op I / O sprak, deels omdat hij last had van een probleem met de stembanden dat hij uiteindelijk opende over deze week. Op woensdag sprak hij zacht maar duidelijk in een handheld-microfoon.
Het paneel voor wiskundige invoer gebruikt de wiskundige herkenning die is ingebouwd in Windows 7 om handgeschreven wiskundige uitdrukkingen te herkennen. U kunt het dan gemakkelijk gebruiken met tekstverwerkers of computertabellen. Het paneel voor wiskundige invoer is ontworpen om te worden gebruikt met een tabletpen op een tablet-pc, maar u kunt het ook gebruiken met elk invoerapparaat, zoals een aanraakscherm of zelfs een muis.
Het paneel voor wiskundige invoer gebruikt de wiskundige herkenner die in Windows is ingebouwd 7 om handgeschreven wiskundige uitdrukkingen te herkennen. Je kunt het dan gemakkelijk gebruiken met tekstverwerkers of computertabellen.
Hoe een firewall met ufw op ubuntu 18.04 in te stellen
Ubuntu wordt standaard geleverd met een firewallconfiguratieprogramma genaamd UFW (ongecompliceerde firewall). UFW is een gebruiksvriendelijk front-end voor het beheer van iptables firewall-regels en het belangrijkste doel is om het beheer van iptables eenvoudiger te maken of zoals de naam al zegt ongecompliceerd.