Ubuntu Server 18.04 Administration Guide Part 11 - Configuring Firewall rules with UFW
Talaan ng mga Nilalaman:
- Mga kinakailangan
- I-install ang UFW
- Suriin ang Katayuan ng UFW
- UFW Default Patakaran
- Mga profile ng Application
- Payagan ang Mga koneksyon sa SSH
- Paganahin ang UFW
- Payagan ang mga koneksyon sa iba pang mga port
- Buksan ang port 80 - HTTP
- Buksan ang port 443 - HTTPS
- Buksan ang port 8080
- Payagan ang Port Ranges
- Payagan ang mga Tukoy na IP Address
- Payagan ang Tiyak na Mga Address ng IP sa Tukoy na port
- Payagan ang mga Subnets
- Payagan ang Mga Koneksyon sa isang Tiyak na Interface ng Network
- Tumanggi ang mga koneksyon
- Tanggalin ang UFW Rules
- Huwag paganahin ang UFW
- I-reset ang UFW
- Konklusyon
Ang isang maayos na na-configure na firewall ay isa sa pinakamahalagang aspeto ng pangkalahatang seguridad ng system. Bilang default, ang Ubuntu ay may isang tool ng pagsasaayos ng firewall na tinatawag na UFW (Uncomplicated Firewall). Ang UFW ay isang user-friendly na front-end para sa pamamahala ng mga iptables na mga patakaran sa firewall at ang pangunahing layunin nito ay gawing mas madali ang pamamahala ng mga iptable o tulad ng sinasabi ng pangalan na hindi kumpleto.
Mga kinakailangan
Bago ka magsimula sa tutorial na ito, siguraduhing naka-log in ka sa iyong server gamit ang isang account sa gumagamit na may mga pribilehiyo ng sudo o sa root user. Ang pinakamahusay na kasanayan ay upang magpatakbo ng mga utos ng administratibo bilang isang gumagamit ng sudo sa halip na ugat. Kung wala kang isang gumagamit ng sudo sa iyong Ubuntu system maaari kang lumikha ng isa sa pamamagitan ng pagsunod sa mga tagubiling ito.
I-install ang UFW
Ang hindi kumpletong Firewall ay dapat na mai-install sa pamamagitan ng default sa Ubuntu 18.04, ngunit kung hindi ito mai-install sa iyong system, maaari mong mai-install ang package sa pamamagitan ng pag-type:
Suriin ang Katayuan ng UFW
Kapag nakumpleto ang pag-install maaari mong suriin ang katayuan ng UFW kasama ang sumusunod na utos:
sudo ufw status verbose
Ang UFW ay hindi pinagana sa pamamagitan ng default. Kung hindi mo pa aktibo ang UFW, ang hitsura nito ay magiging ganito:
Status: inactive
Kung ang UFW ay isinaaktibo, ang output ay magiging katulad ng mga sumusunod:
UFW Default Patakaran
Bilang default, haharangan ng UFW ang lahat ng mga papasok na koneksyon at payagan ang lahat ng mga paparating na koneksyon. Nangangahulugan ito na ang sinumang sumusubok na ma-access ang iyong server ay hindi makakonekta maliban kung partikular na iyong buksan ang port, habang ang lahat ng mga application at serbisyo na tumatakbo sa iyong server ay mai-access sa labas ng mundo.
Ang default na mga polise ay tinukoy sa
/etc/default/ufw
file at maaaring mabago gamit ang
sudo ufw default
Ang mga patakaran sa firewall ang pundasyon para sa pagbuo ng mas detalyado at mga patakaran na tinukoy ng gumagamit. Sa karamihan ng mga kaso, ang paunang mga patakaran ng UFW Default ay isang mahusay na panimulang punto.
Mga profile ng Application
Kapag ang pag-install ng isang package kasama ang
apt
utos ay magdagdag ito ng isang profile ng application sa
/etc/ufw/applications.d
direktoryo. Inilalarawan ng profile ang serbisyo at naglalaman ng mga setting ng UFW.
Maaari mong ilista ang lahat ng mga profile ng application na magagamit sa iyong server sa pamamagitan ng pag-type:
sudo ufw app list
Depende sa mga pakete na naka-install sa iyong system ang output ay magmukhang katulad sa mga sumusunod:
Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission
Upang makahanap ng karagdagang impormasyon tungkol sa isang tiyak na profile at kasama ang mga patakaran, gamitin ang sumusunod na utos:
sudo ufw app info 'Nginx Full'
Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp
Tulad ng nakikita mo mula sa output sa itaas ng profile ng 'Nginx Full' ay nagbubukas ng port
80
at
443
.
Payagan ang Mga koneksyon sa SSH
Bago paganahin ang UFW firewall kailangan naming magdagdag ng isang patakaran na magpapahintulot sa mga papasok na koneksyon sa SSH. Kung kumokonekta ka sa iyong server mula sa isang malayong lokasyon, na halos palaging nangyayari at pinapagana mo ang UFW firewall bago malinaw na pinahihintulutan ang mga papasok na koneksyon sa SSH hindi ka na makakonekta sa iyong Ubuntu server.
Upang mai-configure ang iyong UFW firewall upang payagan ang mga papasok na koneksyon sa SSH, i-type ang sumusunod na utos:
sudo ufw allow ssh
Rules updated Rules updated (v6)
Kung binago mo ang SSH port sa isang pasadyang port sa halip na port 22, kakailanganin mong buksan ang port na iyon.
Halimbawa, kung ang iyong ssh daemon ay nakikinig sa port
4422
, pagkatapos ay maaari mong gamitin ang sumusunod na utos upang payagan ang mga koneksyon sa port na ito:
Paganahin ang UFW
Ngayon na ang iyong UFW firewall ay na-configure upang payagan ang mga papasok na koneksyon sa SSH, maaari naming paganahin ito sa pamamagitan ng pag-type:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Babalaan ka na ang pagpapagana ng firewall ay maaaring makagambala sa umiiral na mga koneksyon sa ssh, i-type lamang
y
at pindutin ang
Enter
.
Payagan ang mga koneksyon sa iba pang mga port
Depende sa mga application na tumatakbo sa iyong server at sa iyong mga tiyak na pangangailangan kailangan mo ring payagan ang papasok na pag-access sa ilang iba pang mga port.
Sa ibaba ay magpapakita kami sa iyo ng ilang mga halimbawa kung paano pahihintulutan ang mga papasok na koneksyon sa ilan sa mga karaniwang serbisyo:
Buksan ang port 80 - HTTP
Maaaring payagan ang mga koneksyon sa HTTP kasama ang sumusunod na utos:
sudo ufw allow
sa halip na http maaari mong gamitin ang numero ng port, 80:
sudo ufw allow 80/tcp
o maaari mong gamitin ang profile ng aplikasyon, sa kasong ito, 'Nginx
Buksan ang port 443 - HTTPS
Maaaring payagan ang mga koneksyon sa HTTP kasama ang sumusunod na utos:
sudo ufw allow
Upang makamit ang parehong sa halip na profile ng
https
maaari mong gamitin ang numero ng port,
443
:
sudo ufw allow 443/tcp
o maaari mong gamitin ang profile ng aplikasyon, 'Nginx
Buksan ang port 8080
Payagan ang Port Ranges
Sa halip na pahintulutan ang pag-access sa mga solong port ay pinapayagan ka ng UFW na mag-access sa mga saklaw ng port. Kapag pinapayagan ang mga saklaw ng port na may UFW, dapat mong tukuyin ang protocol, alinman sa
tcp
o
udp
. Halimbawa, kung nais mong payagan ang mga port mula
7100
hanggang
7200
sa parehong
tcp
at
udp
pagkatapos ay patakbuhin ang sumusunod na utos:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Payagan ang mga Tukoy na IP Address
Upang payagan ang pag-access sa lahat ng mga port mula sa iyong home machine na may IP address na 64.63.62.61, tukuyin
from
sinusundan ng IP address na nais mong maputi ng whitelist:
sudo ufw allow from 64.63.62.61
Payagan ang Tiyak na Mga Address ng IP sa Tukoy na port
Upang payagan ang pag-access sa isang tukoy na port sabihin nating port 22 mula sa iyong makina ng trabaho na may IP address na 64.63.62.61, gamitin
to any port
sinusundan ng numero ng port:
sudo ufw allow from 64.63.62.61 to any port 22
Payagan ang mga Subnets
Ang utos para sa pagpapahintulot ng koneksyon sa isang subnet ng mga IP address ay pareho tulad ng kapag gumagamit ng isang solong IP address, ang pagkakaiba lamang ay kailangan mong tukuyin ang netmask. Halimbawa, kung nais mong payagan ang pag-access para sa mga IP address mula sa 192.168.1.1 hanggang 192.168.1.254 hanggang port 3360 (MySQL) maaari mong gamitin ang utos na ito:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Payagan ang Mga Koneksyon sa isang Tiyak na Interface ng Network
Upang payagan ang pag-access sa isang tukoy na port sabihin natin ang port 3360 lamang sa mga tiyak na network interface ng
eth2
, pagkatapos ay kailangan mong tukuyin ang
allow in on
eth2
at ang pangalan ng interface ng network:
sudo ufw allow in on eth2 to any port 3306
Tumanggi ang mga koneksyon
Ang default na patakaran para sa lahat ng mga papasok na koneksyon ay nakatakda upang
deny
at kung hindi mo pa ito binago, haharangan ng UFW ang lahat ng papasok na koneksyon maliban kung partikular mong binuksan ang koneksyon.
Sabihin nating binuksan mo ang mga port
80
at
443
at ang iyong server ay nasa ilalim ng pag-atake mula sa
23.24.25.0/24
network. Upang tanggihan ang lahat ng mga koneksyon mula sa
23.24.25.0/24
maaari mong gamitin ang sumusunod na utos:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Ang mga patakaran sa pagtanggi sa pagsusulat ay pareho ng mga pahintulot sa pagsulat, kailangan mo lamang palitan ang
allow
may
deny
.
Tanggalin ang UFW Rules
Mayroong dalawang magkakaibang paraan upang tanggalin ang mga patakaran ng UFW, sa pamamagitan ng numero ng panuntunan at sa pamamagitan ng pagtukoy ng aktwal na patakaran.
Ang pagtanggal ng mga patakaran ng UFW sa pamamagitan ng numero ng panuntunan ay mas madali lalo na kung bago ka sa UFW. Upang matanggal ang isang panuntunan sa pamamagitan ng isang numero ng panuntunan kailangan mo upang mahanap ang bilang ng mga panuntunan na nais mong tanggalin, magagawa mo ito sa sumusunod na utos:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
Upang matanggal ang panuntunan numero 3, ang panuntunan na nagpapahintulot sa mga koneksyon sa port 8080, gamitin ang sumusunod na utos:
sudo ufw delete 3
Ang pangalawang pamamaraan ay ang pagtanggal ng isang patakaran sa pamamagitan ng pagtukoy ng aktwal na panuntunan, halimbawa kung nagdagdag ka ng isang patakaran upang buksan ang port
8069
maaari mong tanggalin ito gamit ang:
Huwag paganahin ang UFW
Kung sa anumang kadahilanan nais mong itigil ang UFW at i-deactivate ang lahat ng mga patakaran na maaari mong gamitin:
sudo ufw disable
Mamaya kung nais mong muling paganahin ang UTF at isaaktibo ang lahat ng mga patakaran na i-type lamang:
I-reset ang UFW
Ang pag-reset ng UFW ay hindi paganahin ang UFW, at tatanggalin ang lahat ng mga aktibong patakaran. Nakatutulong ito kung nais mong ibalik ang lahat ng iyong mga pagbabago at magsimulang bago.
Upang i-reset ang UFW simpleng i-type ang sumusunod na utos:
Konklusyon
Nalaman mo kung paano i-install at i-configure ang UFW firewall sa iyong server ng Ubuntu 18.04. Siguraduhing pahintulutan ang lahat ng mga papasok na koneksyon na kinakailangan para sa wastong paggana ng iyong system, habang nililimitahan ang lahat ng hindi kinakailangang koneksyon.
ufw firewall iptables ubuntu securityHabang ang Apple - at partikular na iPhone - ang mga tsismis ay isang dosenang isang dosenang, ang isang ito ay maaaring may merito. Para sa AT & T, ang isang mas mura na plano sa serbisyo sa antas ng entry ay maaaring humimok sa mga mamimili na nasa-bakod na nagmamahal sa iPhone ngunit hindi ang mga buwanang bayad na kasama nito. Ang isang $ 10 na diskwento ay maaaring hindi mukhang magkano, ngunit maaari itong maakit ang mga bagong tagasuskribi, lalo na kung sinamahan ng isang mas murang iPhon
[Karagdagang pagbabasa: Ang pinakamahusay na mga teleponong Android para sa bawat badyet. ]
Ang isang operating system ay isang kernel, isang pagsuporta sa cast ng mga programa, at isang konsepto. Para sa ilang mga komersyal na entity, ito rin ay isang kampanya sa marketing, hype at kita. Ngunit, ang Linux operating system ay isa pang lasa ng sistemang operating ng Unix? Oo. Kung gusto mo, bilang isang may-ari ng negosyo, nais malaman kung ang Linux ay sapat na tulad ng Unix na maaari mong lumipat mula sa isang komersyal na lasa ng Unix sa Linux na may pinakamaliit na problema at gasto
[Karagdagang pagbabasa: 4 Mga proyektong Linux para sa mga newbies at intermediate users]
Ang Eurocom ay nagpapadala ng isang laptop na may hanggang sa 4TB ng imbakan at isang Intel anim Ang isang tagagawa ng Canadian PC ay nag-aalok ng isang laptop na may napakalaking 4TB ng imbakan at pinakamabilis na anim na core ng Intel na processor, isang bihirang kumbinasyon ng naturang mga high-end na bahagi para sa isang portable computer.
Ang Panther 2.0 ay dinisenyo upang maging isang workstation kapalit para sa pagpapatakbo ng mga high-end na graphics at CAD (computer-aided na disenyo ng mga programa), PC tagagawa Eurocom sinabi sa kanyang website, kung saan ito ay nagsimula pagkuha preorders para sa makina.