Phenquestions
Тази статия ви показва как да инсталирате и използвате UFW на вашия Ubuntu 20.04 LTS система.
Инсталация
UFW се предлага предварително инсталиран на повечето системи на Ubuntu. Ако във вашата компилация тази програма вече не е инсталирана, можете да я инсталирате, като използвате или мениджърите на snap или apt пакет.$ sudo snap инсталиране ufw
$ sudo apt install ufwАз лично предпочитам да използвам мениджъра на пакети apt, за да направя това, защото snap е по-малко популярен и не искам да имам тази допълнителна сложност. По време на това писане, версията, публикувана за UFW, е 0.36 за 20.04 освобождаване.
Входящи срещу. Изходящ трафик
Ако сте начинаещ в света на мрежите, първото нещо, което трябва да изясните, е разликата между входящия и изходящия трафик.
Когато инсталирате актуализации с помощта на apt-get, сърфирате в интернет или проверявате имейла си, това, което правите, е да изпращате „изходящи“ заявки до сървъри като Ubuntu, Google и т.н. За достъп до тези услуги дори не се нуждаете от публичен IP. Обикновено се предоставя един публичен IP адрес, да речем, за домашна широколентова връзка и всяко устройство получава свой собствен частен IP. След това рутерът обработва трафика, използвайки нещо, известно като NAT, или Превод на мрежови адреси.
Подробностите за NAT и частните IP адреси са извън обхвата на тази статия, но видеото, свързано по-горе, е отлична отправна точка. Връщайки се към UFW, по подразбиране UFW ще разреши целия редовен изходящ уеб трафик. Вашите браузъри, мениджъри на пакети и други програми избират произволен номер на порт - обикновено число над 3000 - и по този начин всяко приложение може да следи връзката (ите).
Когато използвате сървъри в облака, те обикновено идват с публичен IP адрес и горните правила за разрешаване на изходящия трафик все още са налице. Тъй като все още ще използвате помощни програми, като мениджъри на пакети, които говорят с останалия свят като „клиент“, UFW позволява това по подразбиране.
Забавлението започва с входящ трафик. Приложения, като сървъра OpenSSH, който използвате за влизане във вашата виртуална машина, слушат на определени портове (като 22) за входящи заявки, както и други приложения. Уеб сървърите се нуждаят от достъп до портове 80 и 443.
Част от работата на защитната стена е да позволява на конкретни приложения да прослушват определен входящ трафик, като същевременно блокират всички ненужни. Може да имате сървър за база данни, инсталиран на вашата виртуална машина, но обикновено не е необходимо да слуша входящи заявки в интерфейса с публичен IP. Обикновено той просто слуша в интерфейса за обратна връзка за заявки.
В мрежата има много ботове, които непрекъснато бомбардират сървъри с фалшиви заявки за груб насилствен път или за извършване на обикновена атака за отказ на услуга. Добре конфигурираната защитна стена трябва да може да блокира повечето от тези манипулации с помощта на приставки на трети страни като Fail2ban.
Засега ще се съсредоточим върху много елементарна настройка.
Основна употреба
След като вече сте инсталирали UFW на вашата система, ще разгледаме някои основни приложения за тази програма. Тъй като правилата на защитната стена се прилагат за цялата система, командите по-долу се изпълняват като root потребител. Ако предпочитате, можете да използвате sudo с подходящи привилегии за тази процедура.
# ufw статусСъстояние: неактивно
По подразбиране UFW е в неактивно състояние, което е добре. Не искате да блокирате целия входящ трафик на порт 22, който е SSH портът по подразбиране. Ако сте влезли в отдалечен сървър чрез SSH и блокирате порт 22, ще бъдете блокирани от сървъра.
UFW ни улеснява да пробием дупка само за OpenSSH. Изпълнете командата по-долу:
[имейл защитен]: ~ # ufw списък с приложенияНалични приложения:
OpenSSH
Забележете, че все още не съм активирал защитната стена. Сега ще добавим OpenSSH към нашия списък с разрешени приложения и след това ще активираме защитната стена. За да направите това, въведете следните команди:
# ufw позволи OpenSSHПравилата са актуализирани
Актуализирани правила (v6)
# ufw активиране
Командата може да наруши съществуващите SSH връзки. Продължете с операцията (y | n)? у.
Защитната стена вече е активна и активирана при стартиране на системата.
Поздравления, UFW вече е активен и работи. UFW вече позволява само OpenSSH да слуша входящите заявки на порт 22. За да проверите състоянието на вашата защитна стена по всяко време, изпълнете следния код:
# ufw статусСъстояние: активен
Към действие от
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) РАЗРЕШЕТЕ навсякъде (v6)
Както можете да видите, OpenSSH вече може да получава заявки от всяко място в Интернет, при условие че го достигне на порт 22. Линията v6 показва, че правилата се прилагат и за IPv6.
Можете, разбира се, да забраните определени диапазони на IP или да разрешите само определен диапазон от IP, в зависимост от ограниченията за сигурност, в които работите.
Добавяне на приложения
За най-популярните приложения командата ufw списък с приложения автоматично актуализира своя списък с политики при инсталиране. Например при инсталиране на уеб сървъра Nginx ще видите следните нови опции:
# apt инсталирайте nginx# ufw списък с приложения
Налични приложения:
Nginx Пълен
Nginx HTTP
Nginx HTTPS
OpenSSH
Продължете и опитайте да експериментирате с тези правила. Имайте предвид, че можете просто да разрешите номера на портове, вместо да чакате профила на приложението да се покаже. Например, за да разрешите порт 443 за HTTPS трафик, просто използвайте следната команда:
# ufw позволяват 443# ufw статус
Състояние: активен
Към действие от
-- ------ ----
OpenSSH ALLOW Anywhere
443 РАЗРЕШЕТЕ навсякъде
OpenSSH (v6) РАЗРЕШЕТЕ навсякъде (v6)
443 (v6) РАЗРЕШЕТЕ навсякъде (v6)
Заключение
След като са сортирани основите на UFW, можете да изследвате други мощни възможности на защитната стена, започвайки от разрешаване и блокиране на диапазони на IP. Наличието на ясни и сигурни политики на защитната стена ще запази вашите системи в безопасност и защита.
