Installere og sette opp UFW i Ubuntu Topp 10.Topp 10 LTS
Denne artikkelen viser deg hvordan du installerer og bruker UFW på Ubuntu 20.04 LTS -system.
Installasjon
UFW kommer forhåndsinstallert på de fleste Ubuntu-systemer. Hvis byggingen din ikke har dette programmet allerede installert, kan du installere det ved hjelp av SNAP eller APT -pakkeledere.$ sudo snap install ufw
$ sudo apt install ufw
Jeg foretrekker personlig å bruke Apt Package Manager til å gjøre dette fordi Snap er mindre populær og jeg vil ikke ha denne ekstra kompleksiteten. På dette tidspunktet er versjonen publisert for UFW 0.36 for 20.04 Utgivelse.
Innkommende vs. Utgående trafikk
Hvis du er en nybegynner i nettverksverdenen, er det første du trenger å avklare forskjellen mellom innkommende og utgående trafikk.
Når du installerer oppdateringer ved hjelp av apt-get, bla gjennom internett, eller sjekk e-posten din, er det du gjør å sende "utgående" forespørsler til servere, for eksempel Ubuntu, Google, etc. For å få tilgang til disse tjenestene, trenger du ikke engang en offentlig IP. Vanligvis er en enkelt offentlig IP -adresse tildelt for, for eksempel en hjemmelkoblingstilkobling, og hver enhet får sin egen private IP. Ruteren håndterer deretter trafikken ved hjelp av noe kjent som NAT, eller nettverksadresseoversettelse.
Detaljene om NAT og private IP -adresser er utenfor omfanget av denne artikkelen, men videoen som er koblet over er et utmerket utgangspunkt. Kommer tilbake til UFW, som standard, vil UFW tillate alle vanlige utgående netttrafikk. Nettleserne, pakkeledere og andre programmer velger et tilfeldig portnummer - vanligvis et tall over 3000 - og det er slik hver applikasjon kan holde rede på tilkoblingen (e).
Når du kjører servere i skyen, kommer de vanligvis med en offentlig IP -adresse, og de ovennevnte reglene for å tillate utgående trafikk holder fortsatt. Fordi du fremdeles vil bruke verktøy, som pakkeledere, som snakker med resten av verden som en 'klient', tillater UFW dette som standard.
Moroa begynner med innkommende trafikk. Programmer, som OpenSSH -serveren du bruker for å logge inn på VM, lytt på spesifikke porter (som 22) for Innkommende Forespørsler, som også andre applikasjoner. Nettservere trenger tilgang til porter 80 og 443.
Det er en del av jobben til en brannmur å la spesifikke applikasjoner lytte til på en viss innkommende trafikk mens du blokkerer alle unødvendige. Du kan ha en databaseserver installert på VM, men den trenger vanligvis ikke å lytte etter innkommende forespørsler på grensesnittet med en offentlig IP. Vanligvis lytter det bare inn på loopback -grensesnittet for forespørsler.
Det er mange roboter ute på nettet, som stadig bombarderer servere med falske forespørsler om å bryte seg inn, eller for å gjøre et enkelt benektelse av serviceangrep. En godt konfigurert brannmur skal kunne blokkere de fleste av disse shenanigansene ved hjelp av tredjeparts plugins som fail2ban.
Men foreløpig vil vi fokusere på et veldig grunnleggende oppsett.
Grunnleggende bruk
Nå som du har installert UFW på systemet ditt, vil vi se på noen grunnleggende bruksområder for dette programmet. Siden brannmurregler er anvendt systemomfattende, kjøres kommandoene nedenfor som rotbrukeren. Hvis du foretrekker det, kan du bruke sudo med riktige privilegier for denne prosedyren.
# UFW -status
Status: inaktiv
Som standard er UFW i en inaktiv tilstand, noe som er en god ting. Du ønsker ikke å blokkere all innkommende trafikk på port 22, som er standard SSH -port. Hvis du er logget på en ekstern server via SSH og du blokkerer port 22, vil du bli låst ut av serveren.
UFW gjør det enkelt for oss å pirke et hull bare for OpenSsh. Kjør kommandoen nedenfor:
root@testubuntu: ~# ufw appliste
Tilgjengelige applikasjoner:
OpenSSH
Legg merke til at jeg fremdeles ikke har aktivert brannmuren. Vi vil nå legge OpenSsh til listen over tillatte apper og deretter aktivere brannmuren. For å gjøre det, skriv inn følgende kommandoer:
# UFW tillater openssh
Regler oppdatert
Regler oppdatert (V6)
# UFW Aktiver
Kommandoen kan forstyrre eksisterende SSH -tilkoblinger. Fortsett med drift (y | n)? y.
Brannmuren er nå aktiv og aktivert ved oppstart av systemet.
Gratulerer, UFW er nå aktiv og kjører. UFW lar nå bare OpenSh lytte på innkommende forespørsler i Port 22. For å sjekke statusen til brannmuren din når som helst, kjør følgende kode:
# UFW -status
Status: aktiv
Til handling fra
-- ------ ----
OpenSSH tillater hvor som helst
OpenSSH (V6) Tillat hvor som helst (V6)
Som du kan se, kan OpenSSH nå motta forespørsler fra hvor som helst på internett, forutsatt at den når den på port 22. V6 -linjen indikerer at reglene også blir brukt for IPv6.
Du kan selvfølgelig forby spesielle IP -områder, eller bare tillate et bestemt utvalg av IP -er, avhengig av sikkerhetsbegrensningene du jobber innenfor.
Legge til applikasjoner
For de mest populære applikasjonene oppdaterer UFW App List -kommandoen automatisk listen over retningslinjer ved installasjon. Ved installasjon av NGINX -webserveren vil du for eksempel se følgende nye alternativer vises:
# Apt Installer Nginx
# UFW App List
Tilgjengelige applikasjoner:
Nginx full
Nginx http
Nginx https
OpenSSH
Gå videre og prøv å eksperimentere med disse reglene. Merk at du ganske enkelt kan tillate portnumre, i stedet for å vente på at en applikasjonsprofil dukker opp. For å tillate port 443 for HTTPS -trafikk, bruker du bare følgende kommando:
# UFW Tillat 443
# UFW -status
Status: aktiv
Til handling fra
-- ------ ----
OpenSSH tillater hvor som helst
443 Tillat hvor som helst
OpenSSH (V6) Tillat hvor som helst (V6)
443 (V6) Tillat hvor som helst (V6)
Konklusjon
Nå som du har det grunnleggende om UFW -sortert, kan du utforske andre kraftige brannmurfunksjoner, fra og med å tillate og blokkere IP -områder. Å ha klare og sikre brannmurpolitikker vil holde systemene dine trygge og beskyttet.