Настройка firewall в Debian 9 (iptables)
Talaan ng mga Nilalaman:
- Mga kinakailangan
- I-install ang UFW
- Suriin ang Katayuan ng UFW
- UFW Default Patakaran
- Mga profile ng Application
- Payagan ang Mga koneksyon sa SSH
- Paganahin ang UFW
- Payagan ang mga koneksyon sa iba pang mga port
- Buksan ang port 80 - HTTP
- Buksan ang port 443 - HTTPS
- Buksan ang port 8080
- Payagan ang Port Ranges
- Payagan ang mga Tukoy na IP Address
- Payagan ang Tiyak na Mga Address ng IP sa Tukoy na port
- Payagan ang mga Subnets
- Payagan ang Mga Koneksyon sa isang Tiyak na Interface ng Network
- Tumanggi ang mga koneksyon
- Tanggalin ang UFW Rules
- Huwag paganahin ang UFW
- I-reset ang UFW
- Konklusyon
Kasama sa Debian ang ilang mga pakete na nagbibigay ng mga tool para sa pamamahala ng isang firewall na may mga iptable na naka-install bilang bahagi ng base system. Maaari itong maging kumplikado para sa mga nagsisimula upang malaman kung paano gamitin ang tool ng iptables upang maayos na mai-configure at pamahalaan ang isang firewall, ngunit pinasimple ito ng UFW.
Ang UFW (Uncomplicated Firewall) ay isang user-friendly front-end para sa pamamahala ng mga iptables na firewall rules at ang pangunahing layunin nito ay gawing mas madali ang pamamahala ng mga iptable o tulad ng sinasabi ng pangalan na hindi kumpleto.
Sa tutorial na ito, ipapakita namin sa iyo kung paano mag-set up ng isang firewall na may UFW sa Debian 9.
Mga kinakailangan
Bago magpatuloy sa tutorial na ito, siguraduhin na ang gumagamit na naka-log in ka ay may mga pribilehiyo ng sudo.
I-install ang UFW
Ang UFW ay hindi mai-install nang default sa Debian 9. Maaari mong i-install ang pakete ng
ufw
pamamagitan ng pag-type:
Suriin ang Katayuan ng UFW
Kapag kumpleto ang proseso ng pag-install, maaari mong suriin ang katayuan ng UFW kasama ang sumusunod na utos:
sudo ufw status verbose
Ang output ay magiging ganito:
Status: inactive
Ang UFW ay hindi pinagana sa pamamagitan ng default. Ang pag-install ay hindi awtomatikong i-activate ang firewall upang maiwasan ang isang lockout mula sa server.
Kung ang UFW ay isinaaktibo, ang output ay magiging katulad ng mga sumusunod:
UFW Default Patakaran
Bilang default, haharangan ng UFW ang lahat ng mga papasok na koneksyon at payagan ang lahat ng mga paparating na koneksyon. Nangangahulugan ito na ang sinumang sumusubok na ma-access ang iyong server ay hindi makakonekta maliban kung partikular na iyong buksan ang port, habang ang lahat ng mga application at serbisyo na tumatakbo sa iyong server ay mai-access sa labas ng mundo.
Ang default na mga polise ay tinukoy sa
/etc/default/ufw
file at maaaring mabago gamit ang
sudo ufw default
Ang mga patakaran sa firewall ang pundasyon para sa pagbuo ng mas detalyado at mga patakaran na tinukoy ng gumagamit. Sa karamihan ng mga kaso, ang paunang mga patakaran ng UFW Default ay isang mahusay na panimulang punto.
Mga profile ng Application
Kapag ang pag-install ng isang package na may
apt
ay magdagdag ito ng isang profile ng application sa
/etc/ufw/applications.d
direktoryo na naglalarawan sa serbisyo at naglalaman ng mga setting ng UFW.
Upang mailista ang lahat ng mga profile ng application na magagamit sa iyong uri ng system:
sudo ufw app list
Depende sa mga pakete na naka-install sa iyong system ang output ay magmukhang katulad sa mga sumusunod:
Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…
Upang makahanap ng karagdagang impormasyon tungkol sa isang tiyak na profile at kasama ang mga patakaran, gamitin ang sumusunod na utos:
sudo ufw app info OpenSSH
Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp
Ang AThe output sa itaas ay nagsasabi sa amin na ang profile ng OpenSSH ay nagbubukas ng port
22
.
Payagan ang Mga koneksyon sa SSH
Bago paganahin ang UFW firewall muna kailangan nating pahintulutan ang mga papasok na koneksyon sa SSH.
Kung kumokonekta ka sa iyong server mula sa isang liblib na lokasyon, na halos palaging nangyayari at pinagana mo ang UFW firewall bago malinaw na pinahihintulutan ang mga papasok na koneksyon sa SSH hindi ka na makakonekta sa iyong Debian server.
Upang mai-configure ang iyong UFW firewall upang payagan ang mga papasok na koneksyon sa SSH, patakbuhin ang sumusunod na utos:
sudo ufw allow OpenSSH
Rules updated Rules updated (v6)
Kung ang SSH server ay nakikinig sa isang port maliban sa default port 22, kakailanganin mong buksan ang port na iyon.
Halimbawa, nakikinig ang iyong ssh server sa port
8822
, pagkatapos ay maaari mong gamitin ang sumusunod na utos upang payagan ang mga koneksyon sa port na iyon:
Paganahin ang UFW
Ngayon na ang iyong UFW firewall ay na-configure upang payagan ang mga papasok na koneksyon sa SSH, maaari mo itong paganahin sa pamamagitan ng pagpapatakbo:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Babalaan ka na ang pagpapagana ng firewall ay maaaring makagambala sa umiiral na mga koneksyon sa ssh, i-type lamang
y
at pindutin ang
Enter
.
Payagan ang mga koneksyon sa iba pang mga port
Depende sa mga application na tumatakbo sa iyong server at sa iyong mga tiyak na pangangailangan kailangan mo ring payagan ang papasok na pag-access sa ilang iba pang mga port.
Nasa ibaba ang ilang mga halimbawa kung paano pahintulutan ang mga papasok na koneksyon sa ilan sa mga pinaka-karaniwang serbisyo:
Buksan ang port 80 - HTTP
Maaaring payagan ang mga koneksyon sa HTTP kasama ang sumusunod na utos:
sudo ufw allow
Sa halip na ang profile ng
http
, maaari mong gamitin ang numero ng port,
80
:
Buksan ang port 443 - HTTPS
Maaaring payagan ang mga koneksyon sa HTTP kasama ang sumusunod na utos:
sudo ufw allow
Upang makamit ang parehong sa halip na
https
maaari mong gamitin ang numero ng port,
443
:
Buksan ang port 8080
Payagan ang Port Ranges
Sa UFW maaari mo ring payagan ang pag-access sa mga saklaw ng port. Kapag pinapayagan ang mga saklaw ng port na may UFW, dapat mong tukuyin ang protocol, alinman sa
tcp
o
udp
.
Halimbawa, upang payagan ang mga port mula
7100
hanggang
7200
sa parehong
tcp
at
udp
, patakbuhin ang sumusunod na utos:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Payagan ang mga Tukoy na IP Address
sudo ufw allow from 64.63.62.61
Payagan ang Tiyak na Mga Address ng IP sa Tukoy na port
Upang payagan ang pag-access sa isang tiyak na daungan, sabihin nating port 22 mula sa iyong makina ng trabaho na may IP address na 64.63.62.61 gamitin ang sumusunod na utos:
sudo ufw allow from 64.63.62.61 to any port 22
Payagan ang mga Subnets
Ang utos para sa pagpapahintulot ng koneksyon sa isang subnet ng mga IP address ay pareho tulad ng kapag gumagamit ng isang solong IP address, ang pagkakaiba lamang ay kailangan mong tukuyin ang netmask. Halimbawa, kung nais mong payagan ang pag-access para sa mga IP address mula sa 192.168.1.1 hanggang 192.168.1.254 hanggang port 3360 (MySQL) maaari mong gamitin ang utos na ito:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Payagan ang Mga Koneksyon sa isang Tiyak na Interface ng Network
Upang payagan ang pag-access sa isang tukoy na port sabihin nating port 3360 lamang sa mga tiyak na network interface
eth2
, gamitin ang
allow in on
at ang pangalan ng network interface:
sudo ufw allow in on eth2 to any port 3306
Tumanggi ang mga koneksyon
Ang default na patakaran para sa lahat ng mga papasok na koneksyon ay nakatakda upang
deny
na nangangahulugang pipigilan ng UFW ang lahat ng papasok na koneksyon maliban kung partikular na binuksan mo ang koneksyon.
Sabihin nating binuksan mo ang mga port
80
at
443
at ang iyong server ay nasa ilalim ng pag-atake mula sa
23.24.25.0/24
network. Upang tanggihan ang lahat ng mga koneksyon mula sa
23.24.25.0/24
, gamitin ang sumusunod na utos:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Ang mga patakaran sa pagtanggi sa pagsusulat ay pareho ng mga pahintulot sa pagsulat, kailangan mo lamang palitan ang
allow
may
deny
.
Tanggalin ang UFW Rules
Mayroong dalawang magkakaibang paraan upang tanggalin ang mga patakaran ng UFW, sa pamamagitan ng numero ng panuntunan at sa pamamagitan ng pagtukoy ng aktwal na patakaran.
Ang pagtanggal ng mga patakaran ng UFW sa pamamagitan ng numero ng panuntunan ay mas madali lalo na kung bago ka sa UFW.
Upang tanggalin ang isang panuntunan sa pamamagitan ng isang numero ng panuntunan kailangan mo upang mahanap ang bilang ng mga panuntunan na nais mong tanggalin. Upang gawin iyon tumakbo kasunod ng utos:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
Upang matanggal ang rule number 3, ang panuntunan na nagpapahintulot sa mga koneksyon sa port 8080, maaari mong gamitin ang sumusunod na utos:
sudo ufw delete 2
Ang pangalawang pamamaraan ay ang pagtanggal ng isang panuntunan sa pamamagitan ng pagtukoy ng aktwal na patakaran. Halimbawa, kung nagdagdag ka ng isang patakaran upang buksan ang port
8069
maaari mong tanggalin ito gamit ang:
Huwag paganahin ang UFW
Kung sa anumang kadahilanan nais mong itigil ang UFW at i-deactivate ang lahat ng mga patakaran na tumakbo:
sudo ufw disable
Mamaya kung nais mong muling paganahin ang UTF at isaaktibo ang lahat ng mga patakaran na i-type lamang:
I-reset ang UFW
Ang pag-reset ng UFW ay hindi paganahin ang UFW, at tatanggalin ang lahat ng mga aktibong patakaran. Nakatutulong ito kung nais mong ibalik ang lahat ng iyong mga pagbabago at magsimulang bago.
Upang i-reset ang UFW simpleng i-type ang sumusunod na utos:
Konklusyon
Nalaman mo kung paano i-install at i-configure ang UFW firewall sa iyong Debian 9 machine. Siguraduhing pahintulutan ang lahat ng mga papasok na koneksyon na kinakailangan para sa wastong paggana ng iyong system, habang nililimitahan ang lahat ng hindi kinakailangang koneksyon.
ufw firewall iptables debian securityHabang ang Apple - at partikular na iPhone - ang mga tsismis ay isang dosenang isang dosenang, ang isang ito ay maaaring may merito. Para sa AT & T, ang isang mas mura na plano sa serbisyo sa antas ng entry ay maaaring humimok sa mga mamimili na nasa-bakod na nagmamahal sa iPhone ngunit hindi ang mga buwanang bayad na kasama nito. Ang isang $ 10 na diskwento ay maaaring hindi mukhang magkano, ngunit maaari itong maakit ang mga bagong tagasuskribi, lalo na kung sinamahan ng isang mas murang iPhon
[Karagdagang pagbabasa: Ang pinakamahusay na mga teleponong Android para sa bawat badyet. ]
Ang isang operating system ay isang kernel, isang pagsuporta sa cast ng mga programa, at isang konsepto. Para sa ilang mga komersyal na entity, ito rin ay isang kampanya sa marketing, hype at kita. Ngunit, ang Linux operating system ay isa pang lasa ng sistemang operating ng Unix? Oo. Kung gusto mo, bilang isang may-ari ng negosyo, nais malaman kung ang Linux ay sapat na tulad ng Unix na maaari mong lumipat mula sa isang komersyal na lasa ng Unix sa Linux na may pinakamaliit na problema at gasto
[Karagdagang pagbabasa: 4 Mga proyektong Linux para sa mga newbies at intermediate users]
Ang Eurocom ay nagpapadala ng isang laptop na may hanggang sa 4TB ng imbakan at isang Intel anim Ang isang tagagawa ng Canadian PC ay nag-aalok ng isang laptop na may napakalaking 4TB ng imbakan at pinakamabilis na anim na core ng Intel na processor, isang bihirang kumbinasyon ng naturang mga high-end na bahagi para sa isang portable computer.
Ang Panther 2.0 ay dinisenyo upang maging isang workstation kapalit para sa pagpapatakbo ng mga high-end na graphics at CAD (computer-aided na disenyo ng mga programa), PC tagagawa Eurocom sinabi sa kanyang website, kung saan ito ay nagsimula pagkuha preorders para sa makina.