Phenquestions
Примечание: для этого руководства сетевой интерфейс enp2s0 и IP-адрес 192.168.0.2/7 использовались в качестве примера, замените их на правильные.
Установка ufw:
Чтобы установить ufw на Debian, запустите:
подходящая установка ufw
Чтобы включить запуск UFW:
ufw включить
Чтобы отключить запуск UFW:
ufw отключить
Если вы хотите быстро проверить статус вашего брандмауэра, запустите:
статус ufw
Где:
Статус: информирует, активен ли брандмауэр.
К: показывает порт или службу
Действие: показывает политику
Из: показывает возможные источники трафика.
Мы также можем подробно проверить статус брандмауэра, выполнив:
подробный статус ufw
Эта вторая команда для просмотра состояния брандмауэра также отображает политики по умолчанию и направление трафика.
В дополнение к информативным экранам с «ufw status» или «ufw status verbose» мы можем напечатать все правила, пронумерованные, если это поможет управлять ими, как вы увидите позже. Чтобы получить нумерованный список правил вашего брандмауэра, выполните:
Статус ufw пронумерован
На любом этапе мы можем сбросить настройки UFW до конфигурации по умолчанию, запустив:
сброс ufw
При сбросе правил ufw он запросит подтверждение. Нажмите Y подтвердить.
Краткое введение в политики межсетевых экранов:
С каждым брандмауэром мы можем определить политику по умолчанию, чувствительные сети могут применять ограничительную политику, что означает запрет или блокировку всего трафика, кроме специально разрешенного. В отличие от ограничительной политики, разрешающий брандмауэр будет принимать весь трафик, кроме специально заблокированного.
Например, если у нас есть веб-сервер, и мы не хотим, чтобы этот сервер обслуживал больше, чем простой веб-сайт, мы можем применить ограничительную политику, блокирующую все порты, кроме портов 80 (http) и 443 (https), это будет ограничительной политикой. потому что по умолчанию все порты заблокированы, если вы не разблокируете конкретный. Примером разрешающего брандмауэра может быть незащищенный сервер, на котором мы блокируем только порт входа в систему, например 443 и 22 для серверов Plesk, как только заблокированные порты. Кроме того, мы можем использовать ufw, чтобы разрешить или запретить пересылку.
Применение ограничительных и разрешительных политик с помощью ufw:
Чтобы ограничить весь входящий трафик по умолчанию с помощью ufw run:
ufw по умолчанию запрещает входящие
Чтобы сделать наоборот, разрешив весь входящий трафик:
ufw по умолчанию разрешить входящие
Чтобы заблокировать весь исходящий трафик из нашей сети, синтаксис аналогичен, для этого выполните:
Чтобы разрешить весь исходящий трафик, мы просто заменяем "отказываться от" для "позволять”, Чтобы безоговорочно разрешить исходящий трафик:
Мы также можем разрешить или запретить трафик для определенных сетевых интерфейсов, сохраняя разные правила для каждого интерфейса, чтобы заблокировать весь входящий трафик с моей карты Ethernet, которую я бы запускал:
UFW запретить вход на enp2s0
Где:
ufw= вызывает программу
отказываться от= определяет политику
в= входящий трафик
enp2s0= мой интерфейс Ethernet
Теперь я применю ограничительную политику по умолчанию для входящего трафика, а затем разрешу только порты 80 и 22:
ufw по умолчанию запрещает входящиеufw разрешить 22
ufw разрешить http
Где:
Первая команда блокирует весь входящий трафик, вторая разрешает входящие соединения на порт 22, а третья команда разрешает входящие соединения на порт 80. Обратите внимание, что ufw позволяет нам вызывать службу по ее порту или имени службы по умолчанию. Мы можем принимать или запрещать подключения к порту 22 или ssh, порту 80 или http.
Команда "статус ufw подробный”Покажет результат:
Весь входящий трафик запрещен, пока доступны две разрешенные нами службы (22 и http).
Если мы хотим удалить определенное правило, мы можем сделать это с помощью параметра «Удалить”. Чтобы удалить наше последнее правило, разрешающее входящему трафику на порт http, выполните:
ufw удалить разрешить http
Давайте проверим, доступны ли службы http или заблокированы, запустив подробный статус ufw:
Порт 80 больше не является исключением, поскольку порт 22 является единственным.
Вы также можете удалить правило, просто вызвав его числовой идентификатор, предоставленный командой «Статус ufw пронумерованУпоминалось ранее, в этом случае я удалю ОТКАЗЫВАТЬСЯ ОТ политика по входящему трафику на карту Ethernet enp2s0:
ufw удалить 1
Он запросит подтверждение и будет продолжен, если он будет подтвержден.
Дополнительно к ОТКАЗЫВАТЬСЯ ОТ мы можем использовать параметр ОТКЛОНЯТЬ который проинформирует другую сторону, что соединение было отклонено, чтобы ОТКЛОНЯТЬ подключения к ssh мы можем запустить:
ufw отклонить 22 
Затем, если кто-то попытается получить доступ к нашему порту 22, он получит уведомление о том, что в соединении было отказано, как на изображении ниже.
На любом этапе мы можем проверить добавленные правила по умолчанию, запустив:
добавлено шоу ufw
Мы можем запретить все подключения, разрешив при этом определенные IP-адреса, в следующем примере я отклоню все подключения к порту 22, кроме IP 192.168.0.2, которые смогут подключиться только:
ufw отрицать 22ufw разрешить от 192.168.0.2
Теперь, если мы проверим статус ufw, вы увидите, что весь входящий трафик на порт 22 запрещен (правило 1), но разрешен для указанного IP (правило 2)
Мы можем ограничить попытки входа в систему, чтобы предотвратить атаки методом грубой силы, установив ограничение на выполнение:
ufw limit ssh
Чтобы завершить это руководство и научиться ценить щедрость ufw, давайте вспомним способ, которым мы могли запретить весь трафик, кроме одного IP, с помощью iptables:
iptables -A ВЫХОД -d 192.168.0.2 -j ПРИНЯТЬ
iptables -P ПАДЕНИЕ ВВОДА
iptables -P ВЫХОДНОЕ УДАЛЕНИЕ
То же самое можно сделать с помощью всего 3-х более коротких и простых строк, используя ufw:
ufw по умолчанию запрещает входящиеufw по умолчанию запретить исходящие
ufw разрешить от 192.168.0.2
Надеюсь, вы нашли это введение в ufw полезным. Перед любыми вопросами о UFW или Linux не стесняйтесь обращаться к нам через наш канал поддержки по адресу https: // support.linuxhint.ком.
Статьи по Теме
Iptables для начинающих
Настроить Snort IDS и создать правила
