Android

Hoe een firewall met ufw op ubuntu 18.04 in te stellen

Ubuntu Server 18.04 Administration Guide Part 11 - Configuring Firewall rules with UFW

Ubuntu Server 18.04 Administration Guide Part 11 - Configuring Firewall rules with UFW

Inhoudsopgave:

Anonim

Een goed geconfigureerde firewall is een van de belangrijkste aspecten van de algehele systeembeveiliging. Ubuntu wordt standaard geleverd met een firewallconfiguratieprogramma genaamd UFW (ongecompliceerde firewall). UFW is een gebruiksvriendelijk front-end voor het beheer van iptables firewall-regels en het belangrijkste doel is om het beheer van iptables eenvoudiger te maken of zoals de naam al zegt ongecompliceerd.

voorwaarden

Voordat u met deze zelfstudie begint, moet u zich aanmelden bij uw server met een gebruikersaccount met sudo-rechten of met de rootgebruiker. De beste praktijk is om beheerdersopdrachten uit te voeren als een sudo-gebruiker in plaats van root. Als u geen sudo-gebruiker op uw Ubuntu-systeem hebt, kunt u er een maken door deze instructies te volgen.

Installeer UFW

Ongecompliceerde firewall moet standaard worden geïnstalleerd in Ubuntu 18.04, maar als deze niet op uw systeem is geïnstalleerd, kunt u het pakket installeren door het volgende te typen:

sudo apt install ufw

Controleer UFW-status

Nadat de installatie is voltooid, kunt u de status van UFW controleren met de volgende opdracht:

sudo ufw status verbose

UFW is standaard uitgeschakeld. Als u nog nooit UFW hebt geactiveerd, ziet de uitvoer er als volgt uit:

Status: inactive

Als UFW is geactiveerd, ziet de uitvoer er als volgt uit:

UFW Standaardbeleid

Standaard blokkeert UFW alle inkomende verbindingen en staan ​​alle uitgaande verbindingen toe. Dit betekent dat iedereen die toegang probeert te krijgen tot uw server, geen verbinding kan maken, tenzij u de poort specifiek opent, terwijl alle toepassingen en services die op uw server worden uitgevoerd toegang hebben tot de buitenwereld.

Het standaardbeleid is gedefinieerd in het bestand /etc/default/ufw en kan worden gewijzigd met de sudo ufw default commando.

Firewall-beleid is de basis voor het opstellen van meer gedetailleerde en door de gebruiker gedefinieerde regels. In de meeste gevallen zijn de initiële UFW-standaardbeleid een goed uitgangspunt.

Toepassingsprofielen

Bij het installeren van een pakket met de opdracht apt voegt het een toepassingsprofiel toe aan de map /etc/ufw/applications.d . Het profiel beschrijft de service en bevat UFW-instellingen.

U kunt alle beschikbare applicatieprofielen op uw server weergeven door te typen:

sudo ufw app list

Afhankelijk van de pakketten die op uw systeem zijn geïnstalleerd, ziet de uitvoer er als volgt uit:

Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission

Gebruik de volgende opdracht voor meer informatie over een specifiek profiel en opgenomen regels:

sudo ufw app info 'Nginx Full'

Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp

Zoals u kunt zien in de uitvoer boven het 'Nginx Full'-profiel opent poort 80 en 443 .

SSH-verbindingen toestaan

Voordat u de UFW-firewall inschakelt, moeten we een regel toevoegen die inkomende SSH-verbindingen toestaat. Als u verbinding maakt met uw server vanaf een externe locatie, wat bijna altijd het geval is en u de UFW-firewall inschakelt voordat u inkomende SSH-verbindingen expliciet toestaat, kunt u geen verbinding meer maken met uw Ubuntu-server.

Typ de volgende opdracht om uw UFW-firewall te configureren om inkomende SSH-verbindingen toe te staan:

sudo ufw allow ssh

Rules updated Rules updated (v6)

Als u de SSH-poort hebt gewijzigd in een aangepaste poort in plaats van poort 22, moet u die poort openen.

Als uw ssh-daemon bijvoorbeeld luistert op poort 4422 , kunt u de volgende opdracht gebruiken om verbindingen op die poort toe te staan:

sudo ufw allow 4422/tcp

Schakel UFW in

Nu uw UFW-firewall is geconfigureerd om inkomende SSH-verbindingen toe te staan, kunnen we deze inschakelen door te typen:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

U wordt gewaarschuwd dat het inschakelen van de firewall bestaande SSH-verbindingen kan verstoren. Typ gewoon y en druk op Enter .

Sta verbindingen op andere poorten toe

Afhankelijk van de applicaties die op uw server draaien en uw specifieke behoeften, moet u ook inkomende toegang tot sommige andere poorten toestaan.

Hieronder laten we u enkele voorbeelden zien van hoe u inkomende verbindingen met enkele van de meest voorkomende services kunt toestaan:

Open poort 80 - HTTP

HTTP-verbindingen kunnen worden toegestaan ​​met de volgende opdracht:

sudo ufw allow

in plaats van http kunt u het poortnummer 80 gebruiken:

sudo ufw allow 80/tcp

of u kunt het applicatieprofiel gebruiken, in dit geval 'Nginx

sudo ufw allow 'Nginx

Open poort 443 - HTTPS

HTTP-verbindingen kunnen worden toegestaan ​​met de volgende opdracht:

sudo ufw allow

Om hetzelfde in plaats van een https profiel te bereiken, kunt u het poortnummer 443 :

sudo ufw allow 443/tcp

of u kunt het applicatieprofiel 'Nginx HTTPS' gebruiken:

sudo ufw allow 'Nginx

Open poort 8080

sudo ufw allow 8080/tcp

Poortbereik toestaan

In plaats van toegang tot enkele poorten toe te staan, stelt UFW ons in staat toegang tot poortbereiken toe te staan. Wanneer u poortbereiken met UFW toestaat, moet u het protocol opgeven, hetzij tcp of udp . Als u bijvoorbeeld poorten van 7100 tot 7200 op zowel tcp als udp wilt toestaan, voert u de volgende opdracht uit:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

Specifieke IP-adressen toestaan

Om toegang toe te staan ​​op alle poorten van uw thuismachine met een IP-adres van 64.63.62.61, geeft u op from gevolgd door het IP-adres dat u op de witte lijst wilt zetten:

sudo ufw allow from 64.63.62.61

Specifieke IP-adressen op specifieke poort toestaan

Om toegang tot een specifieke poort toe te staan, laten we zeggen poort 22 vanaf uw werkmachine met een IP-adres van 64.63.62.61, gebruikt to any port gevolgd door het poortnummer:

sudo ufw allow from 64.63.62.61 to any port 22

Subnetten toestaan

De opdracht voor het toestaan ​​van verbinding met een subnet van IP-adressen is hetzelfde als bij het gebruik van een enkel IP-adres, het enige verschil is dat u het netmasker moet opgeven. Als u bijvoorbeeld toegang wilt toestaan ​​voor IP-adressen van 192.168.1.1 tot 192.168.1.254 tot poort 3360 (MySQL), kunt u deze opdracht gebruiken:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Verbindingen met een specifieke netwerkinterface toestaan

Om toegang op een specifieke poort toe te staan, laten we zeggen poort 3360 alleen tot specifieke netwerkinterface eth2 , moet u allow in on opgeven en de naam van de netwerkinterface:

sudo ufw allow in on eth2 to any port 3306

Verbindingen weigeren

Het standaardbeleid voor alle inkomende verbindingen is ingesteld om te deny en als u het niet hebt gewijzigd, blokkeert UFW alle inkomende verbindingen, tenzij u de verbinding specifiek opent.

Stel dat u de poorten 80 en 443 hebt geopend en dat uw server wordt aangevallen door het 23.24.25.0/24 . Om alle verbindingen vanaf 23.24.25.0/24 te weigeren, kunt u de volgende opdracht gebruiken:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

Regels voor weigeren schrijven is hetzelfde als regels voor schrijven toestaan, u hoeft alleen te vervangen door deny .

UFW-regels verwijderen

Er zijn twee verschillende manieren om UFW-regels te verwijderen, op regelnummer en door de daadwerkelijke regel op te geven.

Het verwijderen van UFW-regels op regelnummer is eenvoudiger, vooral als u nieuw bent bij UFW. Om een ​​regel met een regelnummer te verwijderen, moet u eerst het nummer vinden van de regel die u wilt verwijderen. Dit kunt u doen met de volgende opdracht:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

Gebruik de volgende opdracht om regel nummer 3, de regel die verbindingen met poort 8080 toestaat, te verwijderen:

sudo ufw delete 3

De tweede methode is om een ​​regel te verwijderen door de daadwerkelijke regel op te geven, bijvoorbeeld als u een regel hebt toegevoegd om poort 8069 te openen, kunt u deze verwijderen met:

sudo ufw delete allow 8069

Schakel UFW uit

Als u om welke reden dan ook UFW wilt stoppen en alle regels wilt deactiveren die u kunt gebruiken:

sudo ufw disable

Als u later UTF opnieuw wilt inschakelen en alle regels wilt activeren, typt u:

sudo ufw enable

UFW opnieuw instellen

Als u UFW opnieuw instelt, wordt UFW uitgeschakeld en worden alle actieve regels verwijderd. Dit is handig als u al uw wijzigingen wilt terugdraaien en opnieuw wilt beginnen.

Typ de volgende opdracht om UFW te resetten:

sudo ufw reset

Conclusie

U hebt geleerd hoe u de UFW-firewall op uw Ubuntu 18.04-server kunt installeren en configureren. Zorg ervoor dat u alle inkomende verbindingen toestaat die nodig zijn voor een goede werking van uw systeem, terwijl u alle onnodige verbindingen beperkt.

ufw firewall iptables ubuntu-beveiliging

Een zachte Larry-pagina verrast bij Google I / O

Een zachte Larry-pagina verrast bij Google I / O <Google-CEO Larry Page van Google maakte een verrassingsverschijning Woensdag op de Google I / O-conferentie, waar hij problemen met zijn keel overwon om vragen van ontwikkelaars in het publiek bijna een uur te beantwoorden. <Larry Page Google CEO Larry maakte woensdag een verrassingsverschijning op de Google I / O-conferentie, waar hij overwon problemen met zijn keel om bijna een uur lang vragen van ontwikkelaars in het publiek te beantwoorden.

Er werd niet verwacht dat de pagina op I / O sprak, deels omdat hij last had van een probleem met de stembanden dat hij uiteindelijk opende over deze week. Op woensdag sprak hij zacht maar duidelijk in een handheld-microfoon.

Het paneel voor wiskundige invoer gebruikt de wiskundige herkenning die is ingebouwd in Windows 7 om handgeschreven wiskundige uitdrukkingen te herkennen. U kunt het dan gemakkelijk gebruiken met tekstverwerkers of computertabellen. Het paneel voor wiskundige invoer is ontworpen om te worden gebruikt met een tabletpen op een tablet-pc, maar u kunt het ook gebruiken met elk invoerapparaat, zoals een aanraakscherm of zelfs een muis.

Het paneel voor wiskundige invoer gebruikt de wiskundige herkenning die is ingebouwd in Windows 7 om handgeschreven wiskundige uitdrukkingen te herkennen. U kunt het dan gemakkelijk gebruiken met tekstverwerkers of computertabellen. Het paneel voor wiskundige invoer is ontworpen om te worden gebruikt met een tabletpen op een tablet-pc, maar u kunt het ook gebruiken met elk invoerapparaat, zoals een aanraakscherm of zelfs een muis.

Het paneel voor wiskundige invoer gebruikt de wiskundige herkenner die in Windows is ingebouwd 7 om handgeschreven wiskundige uitdrukkingen te herkennen. Je kunt het dan gemakkelijk gebruiken met tekstverwerkers of computertabellen.

Hoe een firewall met ufw op debian 9 in te stellen

Hoe een firewall met ufw op debian 9 in te stellen

UFW (ongecompliceerde firewall) is een gebruiksvriendelijk front-end voor het beheer van iptables-firewallregels en het belangrijkste doel is het beheer van iptables eenvoudiger te maken of, zoals de naam al zegt, ongecompliceerd. In deze zelfstudie laten we u zien hoe u een firewall met UFW op Debian 9 instelt.