Sådan konfigureres en firewall med ufw på debian 9

Debian inkluderer flere pakker, der indeholder værktøjer til styring af en firewall med iptables installeret som en del af basissystemet. Det kan være kompliceret for begyndere at lære, hvordan man bruger iptables-værktøjet til korrekt konfigurering og styring af en firewall, men UFW forenkler det.

UFW (Uncomplicated Firewall) er en brugervenlig front-end til styring af iptables firewall-regler, og dets hovedmål er at gøre styring af iptables lettere eller som navnet siger ukompliceret.

I denne tutorial vil vi vise dig, hvordan du opretter en firewall med UFW på Debian 9.

Forudsætninger

Før du fortsætter med denne tutorial, skal du sikre dig, at den bruger, du er logget på, har sudo-privilegier.

Installer UFW

UFW er ikke installeret som standard i Debian 9. Du kan installere ufw pakken ved at skrive:

sudo apt install ufw

Kontroller UFW-status

Når installationsprocessen er afsluttet, kan du kontrollere status for UFW med følgende kommando:

sudo ufw status verbose

Outputet ser sådan ud:

Status: inactive

UFW er som standard deaktiveret. Installationen aktiverer ikke firewall'en automatisk for at undgå en lockout fra serveren.

Hvis UFW er aktiveret, ser output ud på følgende måde:

UFW-standardpolitikker

Som standard blokerer UFW alle de indgående forbindelser og tillader alle udgående forbindelser. Dette betyder, at enhver, der forsøger at få adgang til din server, ikke kan oprette forbindelse, medmindre du specifikt åbner porten, mens alle applikationer og tjenester, der kører på din server, vil kunne få adgang til omverdenen.

Standardpolicerne er defineret i filen /etc/default/ufw og kan ændres ved hjælp af sudo ufw default kommando.

Firewall-politikker er grundlaget for opbygning af mere detaljerede og brugerdefinerede regler. I de fleste tilfælde er de oprindelige UFW-standardpolitikker et godt udgangspunkt.

Ansøgningsprofiler

Når du installerer en pakke med apt , tilføjer den en applikationsprofil til /etc/ufw/applications.d der beskriver tjenesten og indeholder UFW-indstillinger.

Sådan vises alle tilgængelige applikationsprofiler på din systemtype:

sudo ufw app list

Afhængig af de pakker, der er installeret på dit system, ser output ud på følgende:

Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…

For at finde mere information om en bestemt profil og inkluderede regler skal du bruge følgende kommando:

sudo ufw app info OpenSSH

Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp

AT output ovenfor fortæller os, at OpenSSH-profilen åbner port 22 .

Tillad SSH-forbindelser

Før vi først aktiverer UFW-firewallen, skal vi tillade indgående SSH-forbindelser.

Hvis du opretter forbindelse til din server fra en ekstern placering, hvilket næsten altid er tilfældet, og du aktiverer UFW-firewallen, før du eksplicit tillader indgående SSH-forbindelser, vil du ikke længere kunne oprette forbindelse til din Debian-server.

For at konfigurere din UFW-firewall til at tillade indgående SSH-forbindelser skal du køre følgende kommando:

sudo ufw allow OpenSSH

Rules updated Rules updated (v6)

Hvis SSH-serveren lytter til en anden port end standardport 22, skal du åbne denne port.

For eksempel lytter din ssh-server på port 8822 , så kan du bruge følgende kommando til at tillade forbindelser på den port:

sudo ufw allow 8822/tcp

Aktivér UFW

Nu hvor din UFW-firewall er konfigureret til at tillade indgående SSH-forbindelser, kan du aktivere den ved at køre:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

Du vil blive advaret om, at aktivering af firewall kan forstyrre eksisterende ssh-forbindelser, bare skriv y og tryk på Enter .

Tilslut forbindelser på andre porte

Afhængigt af de applikationer, der kører på din server og dine specifikke behov, skal du også give indgående adgang til nogle andre porte.

Nedenfor er flere eksempler på, hvordan du tillader indgående forbindelser til nogle af de mest almindelige tjenester:

Åben port 80 - HTTP

HTTP-forbindelser kan tillades med følgende kommando:

sudo ufw allow

I stedet for http profilen kan du bruge portnummeret, 80 :

sudo ufw allow 80/tcp

Åben port 443 - HTTPS

HTTP-forbindelser kan tillades med følgende kommando:

sudo ufw allow

For at opnå det samme i stedet for https kan du bruge portnummeret, 443 :

sudo ufw allow 443/tcp

Åben port 8080

sudo ufw allow 8080/tcp

Tillad portområder

Med UFW kan du også give adgang til portområder. Når du tillader portintervaller med UFW, skal du specificere protokollen, enten tcp eller udp .

For eksempel at tillade porte fra 7100 til 7200 på både tcp og udp , skal du køre følgende kommando:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

Tillad specifikke IP-adresser

sudo ufw allow from 64.63.62.61

Tillad specifikke IP-adresser på den specifikke port

For at give adgang på en bestemt port, lad os sige, at port 22 fra din arbejdsmaskine med IP-adresse på 64.63.62.61 bruger følgende kommando:

sudo ufw allow from 64.63.62.61 to any port 22

Tillad undernet

Kommandoen for at tillade forbindelse til et subnet med IP-adresser er den samme som når du bruger en enkelt IP-adresse, den eneste forskel er, at du har brug for at specificere netmasken. Hvis du f.eks. Vil give adgang til IP-adresser, der spænder fra 192.168.1.1 til 192.168.1.254 til port 3360 (MySQL), kan du bruge denne kommando:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Tilslut forbindelser til en bestemt netværksgrænseflade

For at tillade adgang på en bestemt port, lad os sige port 3360 kun til specifik netværksgrænseflade eth2 , brug allow in on og navnet på netværksgrænsefladen:

sudo ufw allow in on eth2 to any port 3306

Nægt forbindelser

Standardpolitikken for alle indgående forbindelser er indstillet til at deny hvilket betyder, at UFW blokerer for alle indgående forbindelser, medmindre du specifikt åbner forbindelsen.

Lad os sige, at du åbnede portene 80 og 443 og din server er under angreb fra 23.24.25.0/24 . Brug følgende kommando til at afvise alle forbindelser fra 23.24.25.0/24 :

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

Regler for skriveafbrydelse er det samme som regler for skrivetilladelse, du behøver kun at erstatte allow med deny .

Slet UFW-regler

Der er to forskellige måder at slette UFW-regler, efter regelnummer og ved at specificere den faktiske regel.

Sletning af UFW-regler efter regelnummer er lettere, især hvis du er ny med UFW.

For først at slette en regel ved et reglenummer skal du finde nummeret på den regel, du vil slette. Sådan køres følgende kommando:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

For at slette regel nummer 3, den regel, der tillader forbindelser til port 8080, kan du bruge følgende kommando:

sudo ufw delete 2

Den anden metode er at slette en regel ved at specificere den faktiske regel. Hvis du f.eks. Tilføjede en regel til at åbne port 8069 , kan du slette den med:

sudo ufw delete allow 8069

Deaktiver UFW

Hvis du af en eller anden grund ønsker at stoppe UFW og deaktivere alle kørsler:

sudo ufw disable

Senere, hvis du vil aktivere UTF igen og aktivere alle regler, skal du bare skrive:

sudo ufw enable

Nulstil UFW

Nulstilling af UFW deaktiverer UFW og sletter alle aktive regler. Dette er nyttigt, hvis du vil vende tilbage til alle dine ændringer og begynde på ny.

For at nulstille UFW skal du blot indtaste følgende kommando:

sudo ufw reset

Konklusion

Du har lært, hvordan du installerer og konfigurerer UFW-firewall på din Debian 9-maskine. Sørg for at tillade alle indgående forbindelser, der er nødvendige for korrekt funktion af dit system, mens du begrænser alle unødvendige forbindelser.

ufw firewall iptables debian sikkerhed