Ubuntu tulemüüri Howto

Sissejuhatus

Ubuntu on Linuxi operatsioonisüsteem, mis on vaikimisi pakutavate täiustatud funktsioonide tõttu serverihaldurite seas üsna populaarne. Üks selline funktsioon on tulemüür, mis on turvasüsteem, mis jälgib nii sissetulevaid kui ka väljuvaid võrguühendusi, et teha otsuseid sõltuvalt eelnevalt määratletud turvaeeskirjadest. Selliste reeglite määratlemiseks tuleb tulemüür enne selle kasutamist konfigureerida ja see juhend näitab koos tulemüüri konfigureerimise muude kasulike näpunäidetega, kuidas hõlpsalt lubada ja konfigureerida tulemüüri Ubuntus.

Kuidas lubada tulemüüri

Vaikimisi on Ubuntu kaasas tulemüür, tuntud kui UFW (tüsistusteta tulemüür), mis on piisav koos mõne muu kolmanda osapoole paketiga serveri kaitsmiseks väliste ohtude eest. Kuna aga tulemüür pole lubatud, peab see olema lubatud enne midagi. Vaikimisi UFW lubamiseks Ubuntu kasutage järgmist käsku.

1. Kõigepealt kontrollige tulemüüri praegust olekut ja veenduge, et see oleks tõesti keelatud. Üksikasjaliku oleku saamiseks kasutage seda koos paljusõnalise käsuga.
   sudo ufw olek
   sudo ufw olek verbose

2. Kui see on keelatud, lubab selle järgmine käsk
   sudo ufw lubada

3. Kui tulemüür on lubatud, taaskäivitage süsteem muudatuste jõustumiseks. Parameetrit r kasutatakse käsu taaskäivitamiseks, nüüd parameeter taaskäivitamise märkimiseks tuleb teha viivitamata.
   sudo väljalülitamine -r nüüd

Blokeerige kõik trafikud tulemüüriga

UFW blokeerib / lubab vaikimisi kõik liiklused, välja arvatud juhul, kui see on konkreetsete portidega alistatud. Nagu ülaltoodud ekraanipiltidel näha, blokeerib ufw kõik sissetulevad liiklused ja võimaldab kogu väljaminevat liiklust. Järgmiste käskude abil saab kogu liikluse eranditeta keelata. Mida see teeb, puhastab kõik UFW konfiguratsioonid ja keelab juurdepääsu mis tahes ühendusele.

          sudo ufw lähtestamine

          sudo ufw vaikimisi keelab sissetuleku

          sudo ufw vaikimisi keelab väljamineku

Kuidas lubada porti HTTP jaoks?

HTTP tähistab hüperteksti ülekandeprotokolli, mis määrab sõnumi vormindamise edastamisel mis tahes võrgus, näiteks ülemaailmses võrgus ehk Internetis. Kuna veebibrauser ühendub sisuga suhtlemiseks vaikimisi veebiserveriga HTTP-protokolli kaudu, peab HTTP-le kuuluv port olema lubatud. Lisaks, kui veebiserver kasutab SSL / TLS-i (turvaline soklikihi / transpordikihi turvalisus), tuleb lubada ka HTTPS-i.

          sudo ufw lubab http

          sudo ufw lubab https-i

Kuidas lubada porti SSH jaoks?

SSH tähistab turvalist kestat, mida kasutatakse süsteemiga ühenduse loomiseks võrgu kaudu, tavaliselt Interneti kaudu; seega kasutatakse seda laialdaselt kohalikust masinast Interneti kaudu serveritega ühenduse loomiseks. Kuna vaikimisi blokeerib Ubuntu kõik sissetulevad ühendused, sealhulgas SSH, peab see Interneti kaudu serverile juurdepääsemiseks olema lubatud.

          sudo ufw lubab ssh-i

Kui SSH on konfigureeritud kasutama mõnda muud pordi, tuleb profiili nime asemel selgesõnaliselt öelda pordi number.

          sudo ufw luba 1024

Kuidas lubada port TCP / UDP jaoks

TCP, ehk edastusjuhtimisprotokoll, määratleb, kuidas luua ja säilitada võrguvestlust, et rakendus saaks andmeid vahetada. Vaikimisi kasutab veebiserver TCP-protokolli; seega peab see olema lubatud, kuid õnneks lubab pordi lubamine ka pordi korraga nii TCP / UDP jaoks. Kui aga konkreetne port on mõeldud ainult TCP või UDP lubamiseks, tuleb protokoll koos pordi numbri / profiili nimega määrata.

          sudo ufw allow | deny portnumber | profiilinimi / tcp / udp

          sudo ufw lubab 21 / tcp

          sudo ufw eita 21 / udp

Kuidas tulemüür täielikult keelata?

Mõnikord tuleb vaiketulemüür võrgu testimiseks või mõne muu tulemüüri installimiseks keelata. Järgmine käsk keelab tulemüüri täielikult ja lubab kõik sissetulevad ja väljuvad ühendused tingimusteta. See ei ole soovitatav, välja arvatud juhul, kui eeltoodud kavatsused on puude põhjuseks. Tulemüüri keelamine ei lähtesta ega kustuta selle konfiguratsioone; seega saab seda uuesti lubada eelmiste sätetega.

          sudo ufw keelata

Luba vaikepoliitika

Vaikepoliitikad määravad, kuidas tulemüür reageerib ühendusele, kui ükski reegel ei vasta sellele, näiteks kui tulemüür lubab vaikimisi kõik sissetulevad ühendused, kuid kui pordi number 25 on sissetulevate ühenduste jaoks blokeeritud, töötavad ülejäänud pordid endiselt sissetulevate ühenduste korral välja arvatud pordi number 25, kuna see alistab vaikeside. Järgmised käsud keelavad sissetulevad ühendused ja lubavad vaikimisi väljuvad ühendused.

          sudo ufw vaikimisi keelab sissetuleku

          sudo ufw lubab vaikimisi väljamineku

Luba konkreetne pordivahemik

Pordivahemik määrab, millistele portidele tulemüüri reegel kehtib. Vahemik on esitatud startPort: endPort vormingus, järgneb sellele ühendusprotokoll, mis on antud antud juhul ülesandeks.

          sudo ufw lubab 6000: 6010 / tp

          sudo ufw lubab 6000: 6010 / udp

Luba / luba konkreetne IP-aadress / aadressid

Väljamineva või sissetuleva puhul saab lubada või keelata mitte ainult konkreetset porti, vaid ka IP-aadressi. Kui reeglis on määratud IP-aadress, allutatakse selle konkreetse IP-i kõikidele taotlustele täpselt määratud reegel, näiteks järgmise käsuga lubab see kõiki päringuid 67-lt.205.171.204 IP-aadress, siis lubab see kõiki taotlusi 67-lt.205.171.204 nii pordile 80 kui ka 443, mis tähendab, et iga selle IP-ga seade saab edukaid päringuid serverile saata, ilma et neid keelataks, kui vaikereegel blokeerib kõik sissetulevad ühendused. See on üsna kasulik eraserverite jaoks, mida kasutab üks isik või konkreetne võrk.

          sudo ufw lubada alates 67.205.171.204

          sudo ufw lubada alates 67.205.171.204 suvalisse sadamasse 80

          sudo ufw lubada alates 67.205.171.204 suvalisse sadamasse 443

Luba logimine

Logimisfunktsioon logib iga serverisse saadetud päringu tehnilised üksikasjad. See on kasulik silumise eesmärgil; seetõttu on soovitatav see sisse lülitada.

          sudo ufw sisse logimine

Spetsiifilise alamvõrgu lubamine / keelamine

Kui tegemist on IP-aadresside vahemikuga, on iga IP-aadressi kirjet tulemüüri reeglisse käsitsi lisada keelamiseks või lubamiseks ja seega saab IP-aadresside vahemikud määrata CIDR-i noodis, mis tavaliselt koosneb IP-aadressist ja summast selles sisalduvate hostide arv ja iga hosti IP.

Järgmises näites kasutab see kahte järgmist käsku. Esimeses näites kasutab / 24 netmask ja seega reegel kehtib 192-st.168.1.1 kuni 192.168.1.254 IP-aadressi. Teises näites kehtib sama reegel ainult pordi numbri 25 puhul. Nii et kui sissetulevad päringud on vaikimisi blokeeritud, on nüüd nimetatud IP-aadressidel lubatud päringuid saata serveri pordi numbrile 25.

           sudo ufw lubama alates 192.168.1.1/24

           sudo ufw lubama alates 192.168.1.1/24 suvalisse porti 25

Reegli kustutamine tulemüürist

Reegleid saab tulemüürist eemaldada. Järgmine esimene käsk reastab tulemüüri iga reegli numbriga, seejärel saab teise käsu korral reegli kustutada, määrates reeglile kuuluva numbri.

          sudo ufw olek nummerdatud

          sudo ufw kustuta 2

Lähtesta tulemüüri konfiguratsioon

Lõpuks kasutage tulemüüri seadistamise alustamiseks järgmist käsku. See on üsna kasulik, kui tulemüür hakkab veidralt töötama või kui tulemüür käitub ootamatult.

          sudo ufw lähtestamine