Phenquestions
Вступление
Ubuntu - это операционная система Linux, которая довольно популярна среди администраторов серверов из-за расширенных функций, предоставляемых по умолчанию. Одной из таких функций является брандмауэр, который представляет собой систему безопасности, которая отслеживает как входящие, так и исходящие сетевые соединения, чтобы принимать решения в зависимости от заранее определенных правил безопасности. Чтобы определить такие правила, брандмауэр должен быть настроен до его использования, и это руководство демонстрирует, как легко включить и настроить брандмауэр в Ubuntu, а также другие полезные советы по настройке брандмауэра.
Как включить брандмауэр
По умолчанию Ubuntu поставляется с брандмауэром, известным как UFW (несложный брандмауэр), которого достаточно вместе с некоторыми другими сторонними пакетами для защиты сервера от внешних угроз. Однако, поскольку брандмауэр не включен, его необходимо активировать перед любыми действиями. Используйте следующую команду, чтобы включить UFW по умолчанию в Ubuntu.
- Прежде всего, проверьте текущий статус брандмауэра, чтобы убедиться, что он действительно отключен. Чтобы получить подробный статус, используйте его вместе с подробной командой.
sudo ufw статус
подробный статус sudo ufw
- Если он отключен, следующая команда включает его
sudo ufw enable
- После включения брандмауэра перезапустите систему, чтобы изменения вступили в силу. Параметр r используется, чтобы указать, что команда предназначена для перезапуска, параметр now указывает, что перезапуск должен быть выполнен немедленно, без какой-либо задержки.
sudo shutdown -r сейчас
Блокировать весь трафик с помощью брандмауэра
UFW по умолчанию блокирует / разрешает весь трафик, если он не переопределен определенными портами. Как видно на скриншотах выше, ufw блокирует весь входящий трафик и разрешает весь исходящий трафик. Однако с помощью следующих команд можно отключить весь трафик без каких-либо исключений. Что при этом очищает все конфигурации UFW и запрещает доступ к любому соединению.
sudo ufw сбросить
sudo ufw default deny incoming
sudo ufw default deny outgoing
Как включить порт для HTTP?
HTTP означает протокол передачи гипертекста, который определяет, как сообщение форматируется при передаче по любой сети, такой как всемирная сеть, известная как Интернет. Поскольку веб-браузер по умолчанию подключается к веб-серверу по протоколу HTTP для взаимодействия с содержимым, необходимо включить порт, принадлежащий HTTP. Кроме того, если веб-сервер использует SSL / TLS (безопасность уровня защищенных сокетов / транспортного уровня), тогда также необходимо разрешить HTTPS.
sudo ufw разрешить http
sudo ufw разрешить https
Как включить порт для SSH?
SSH означает безопасную оболочку, которая используется для подключения к системе по сети, обычно через Интернет; следовательно, он широко используется для подключения к серверам через Интернет с локального компьютера. Поскольку по умолчанию Ubuntu блокирует все входящие соединения, включая SSH, его необходимо включить, чтобы получить доступ к серверу через Интернет.
sudo ufw разрешить ssh
Если SSH настроен на использование другого порта, тогда необходимо явно указать номер порта вместо имени профиля.
sudo ufw разрешить 1024
Как включить порт для TCP / UDP
TCP, также известный как протокол управления передачей, определяет, как установить и поддерживать сетевой диалог, чтобы приложение могло обмениваться данными. По умолчанию веб-сервер использует протокол TCP; следовательно, он должен быть включен, но, к счастью, включение порта также включает порт для TCP / UDP одновременно. Однако, если конкретный порт предназначен для включения только TCP или UDP, тогда протокол должен быть указан вместе с номером порта / именем профиля.
sudo ufw allow | deny portnumber | profilename / tcp / udp
sudo ufw разрешить 21 / tcp
sudo ufw deny 21 / udp
Как полностью отключить брандмауэр?
Иногда необходимо отключить брандмауэр по умолчанию, чтобы протестировать сеть, или когда предполагается установить другой брандмауэр. Следующая команда полностью отключает брандмауэр и безоговорочно разрешает все входящие и исходящие соединения. Это не рекомендуется, если вышеупомянутые намерения не являются причиной отключения. Отключение брандмауэра не сбрасывает и не удаляет его конфигурации; следовательно, его снова можно включить с предыдущими настройками.
sudo ufw отключить
Включить политики по умолчанию
Политики по умолчанию определяют, как брандмауэр реагирует на соединение, когда ему не соответствует ни одно правило, например, если брандмауэр разрешает все входящие соединения по умолчанию, но если порт номер 25 заблокирован для входящих соединений, остальные порты по-прежнему работают для входящих соединений. за исключением порта номер 25, поскольку он отменяет соединение по умолчанию. Следующие команды запрещают входящие соединения и разрешают исходящие соединения по умолчанию.
sudo ufw default deny incoming
sudo ufw по умолчанию разрешить исходящие
Включить определенный диапазон портов
Диапазон портов указывает, к каким портам применяется правило брандмауэра. Диапазон указан в startPort: endPort формат, за ним следует протокол соединения, который должен указывать в этом случае.
sudo ufw разрешить 6000: 6010 / tcp
sudo ufw разрешить 6000: 6010 / udp
Разрешить / запретить определенный IP-адрес / адреса
Не только конкретный порт может быть разрешен или запрещен для исходящего или входящего, но также и IP-адрес. Когда IP-адрес указан в правиле, любой запрос с этого конкретного IP-адреса подчиняется только указанному правилу, например, в следующей команде он разрешает все запросы от 67.205.171.204 IP-адрес, тогда он разрешает все запросы от 67.205.171.204 на порты 80 и 443, это означает, что любое устройство с этим IP-адресом может отправлять успешные запросы на сервер без отказа в случае, когда правило по умолчанию блокирует все входящие соединения. Это очень полезно для частных серверов, которые используются одним человеком или определенной сетью.
sudo ufw разрешить от 67.205.171.204
sudo ufw разрешить от 67.205.171.204 на любой порт 80
sudo ufw разрешить от 67.205.171.204 на любой порт 443
Включить ведение журнала
Функция ведения журнала регистрирует технические подробности каждого запроса к серверу и от него. Это полезно для отладки; поэтому рекомендуется включить его.
sudo ufw вход в систему
Разрешить / запретить определенную подсеть
Когда задействован диапазон IP-адресов, трудно вручную добавить каждую запись IP-адреса в правило брандмауэра, чтобы либо запретить, либо разрешить, и, таким образом, диапазоны IP-адресов могут быть указаны в нотации CIDR, которая обычно состоит из IP-адреса и количества хостов, которые он содержит, и IP каждого хоста.
В следующем примере используются следующие две команды. В первом примере используется сетевая маска / 24, поэтому правило действует с 192.168.1.От 1 до 192.168.1.254 IP-адреса. Во втором примере то же правило действует только для порта с номером 25. Таким образом, если входящие запросы заблокированы по умолчанию, теперь указанные IP-адреса могут отправлять запросы на порт номер 25 сервера.
sudo ufw разрешить от 192.168.1.1/24
sudo ufw разрешить от 192.168.1.1/24 в любой порт 25
Удалить правило из брандмауэра
Правила можно удалить из брандмауэра. Следующая первая команда выстраивает каждое правило в брандмауэре с номером, затем с помощью второй команды правило можно удалить, указав номер, принадлежащий правилу.
sudo ufw статус пронумерован
sudo ufw удалить 2
Сбросить конфигурацию брандмауэра
Наконец, чтобы начать настройку брандмауэра, используйте следующую команду. Это очень полезно, если брандмауэр начинает работать странно или если брандмауэр ведет себя неожиданным образом.
sudo ufw сбросить
