Arbeider med Debian Firewalls

Arbeider med Debian Firewalls
Ukomplisert brannmur (UFW) er en frontend for iptables, programvaren vi ofte bruker for å administrere netfilter som er en filtreringsfunksjon inkludert i Linux -kjernen. Siden administrering av iptables krever fra midten til avansert nettverksadministrasjon, er det utviklet frontender for å gjøre oppgaven enklere, ukomplisert brannmur er en av dem og vil bli forklart i denne opplæringen.

Merk: For denne opplæringen nettverksgrensesnittet ENP2S0 og IP -adresse 192.168.0.2/7 ble brukt som eksempel, erstatt dem for de riktige.

Installere UFW:

For å installere UFW på Debian Run:

Apt installer UFW

For å aktivere UFW -løp:

UFW Aktiver

For å deaktivere UFW -løp:

UFW deaktiverer

Hvis du vil utføre en rask sjekk på brannmurstatusløpet:

UFW -status

Hvor:

Status: informerer om brannmuren er aktiv.
Til: viser porten eller tjenesten
Handling: viser policyen
Fra: viser mulige trafikkilder.

Vi kan også sjekke brannmurstatusen med verbositet ved å løpe:

UFW -status Verbose

Denne andre kommandoen for å se brannmurstatusen vil også vise standard policyer og trafikkretning.

I tillegg til informative skjermer med "UFW -status" eller "UFW Status Verbose" kan vi skrive ut alle regler nummerert hvis det hjelper til å administrere dem som du vil se senere. For å få en nummerert liste over brannmurreglene dine kjøres:

UFW -status nummerert

På alle trinn kan vi tilbakestille UFW -innstillinger til standardkonfigurasjonen ved å kjøre:

UFW Reset

Når du tilbakestiller UFW -regler, vil den be om bekreftelse. trykk Y å bekrefte.

Kort introduksjon til brannmurer:

Med hver brannmur kan vi bestemme en standard policy, sensitive nettverk kan anvende en restriktiv policy som betyr å nekte eller blokkere all trafikk bortsett fra den spesifikt tillatte. I motsetning til en restriktiv politikk, vil en tillatt brannmur godta all trafikk bortsett fra den spesifikt blokkerte.

Hvis vi for eksempel har en webserver og vi ikke vil at serveren skal tjene mer enn et enkelt nettsted, kan vi bruke en restriktiv policy som blokkerer alle porter unntatt porter 80 (HTTP) og 443 (HTTPS), det vil være en restriktiv policy For som standard er alle portene blokkert med mindre du fjerner blokkering av en spesifikk en. Et tillatt brannmureksempel vil være en ubeskyttet server der vi bare blokkerer påloggingsporten, for eksempel 443 og 22 for Plesk -servere som bare blokkerte porter. I tillegg kan vi bruke UFW for å tillate eller nekte videresending.

Bruke restriktive og tillatte retningslinjer med UFW:

For å begrense all innkommende trafikk som standard ved hjelp av UFW RUN:

ufw standard nekt innkommende

For å gjøre det motsatte som tillater all innkommende trafikkløp:

UFW standard tillater innkommende


For å blokkere all utgående trafikk fra nettverket vårt er syntaksen lik, for å gjøre det kjørt:

For å tillate all utgående trafikk erstatter vi bare “benekte”For“tillate”, For å tillate utgående trafikk ubetinget kjørt:

Vi kan også tillate eller nekte trafikk for spesifikke nettverksgrensesnitt, holde forskjellige regler for hvert grensesnitt, for å blokkere all innkommende trafikk fra Ethernet -kortet mitt jeg ville kjørt:

UFW nektet på enp2s0

Hvor:

ufw= Ringer programmet
benekte= definerer policyen
i= Innkommende trafikk
ENP2S0= Ethernet -grensesnittet mitt

Nå vil jeg bruke en standard restriktiv policy for innkommende trafikk og deretter tillate bare porter 80 og 22:

ufw standard nekt innkommende
UFW tillater 22
UFW tillater http

Hvor:
Den første kommandoen blokkerer all innkommende trafikk, mens den andre tillater innkommende tilkoblinger til port 22 og den tredje kommandoen tillater innkommende tilkoblinger til port 80. Noter det UFW lar oss ringe tjenesten med standardport- eller tjenestenavn. Vi kan godta eller nekte tilkoblinger til port 22 eller SSH, port 80 eller HTTP.

Kommandoen “UFW -status verbose”Vil vise resultatet:

All innkommende trafikk nektes mens de to tjenestene (22 og http) vi tillot er tilgjengelige.

Hvis vi ønsker å fjerne en spesifikk regel, kan vi gjøre det med parameteren “slett”. For å fjerne vår siste regel slik at innkommende trafikk kan port HTTP RUN:

ufw slett tillat http

La oss sjekke om HTTP -tjenestene fortsetter tilgjengelig eller blokkert ved å løpe UFW -status Verbose:

Port 80 vises ikke lenger som et unntak, og er Port 22 den eneste.

Du kan også slette en regel ved å bare påberope seg den numeriske ID -en som er gitt av kommandoen "UFW -status nummerert”Nevnt før, i dette tilfellet vil jeg fjerne BENEKTE Politikk for innkommende trafikk til Ethernet -kortet ENP2S0:

UFW slett 1

Det vil be om bekreftelse og vil fortsette hvis det er bekreftet.

I tillegg til BENEKTE Vi kan bruke parameteren Avvise som vil informere den andre siden tilkoblingen ble nektet, til Avvise Tilkoblinger til SSH vi kan kjøre:

UFW avviser 22


Hvis noen prøver å få tilgang til porten vår 22, vil han bli varslet tilkoblingen ble nektet som på bildet nedenfor.

På et hvilket som helst trinn kan vi sjekke de ekstra reglene over standardkonfigurasjonen ved å kjøre:

UFW Show lagt til

Vi kan nekte alle tilkoblinger mens jeg tillater spesifikke IP -adresser, i følgende eksempel vil jeg avvise alle tilkoblinger til port 22 bortsett fra IP 192.168.0.2 som vil være den eneste i stand til å koble til:

UFW nekter 22
UFW tillater fra 192.168.0.2


Hvis vi sjekker UFW -status, vil du se all innkommende trafikk til port 22 nektes (regel 1) mens du tillater den spesifiserte IP (regel 2)

Vi kan begrense påloggingsforsøkene for å forhindre brute kraftangrep ved å sette en grense i gang:
UFW -begrensning SSH

For å avslutte denne opplæringen og lære å sette pris på UFWs generøsitet, la oss huske måten vi kan nekte all trafikk bortsett fra en enkelt IP ved å bruke iptables:

iptables -a inngang -S 192.168.0.2 -j aksepterer
iptables -a output -D 192.168.0.2 -j aksepterer
iptables -p inngangsfall
iptables -p utgangsfall

Det samme kan gjøres med bare 3 kortere og enkleste linjer ved å bruke UFW:

ufw standard nekt innkommende
UFW standard nekt avtropp
UFW tillater fra 192.168.0.2


Jeg håper du fant denne introduksjonen til UFW nyttig. Før noen henvendelse om UFW eller Linux -relaterte spørsmål ikke nøl med å kontakte oss gjennom støttekanalen vår på https: // support.Linuxhint.com.

Relaterte artikler

Iptables for nybegynnere
Konfigurer snort ID -er og opprett regler