Tulemüüri seadistamine, kasutades UFW [Debian 9]

Collapse
X
 
  • Aeg
  • Show
Puhasta kõik
uued postitused
  • root
    Huviline
    • Oct 2021
    • 318

    Tulemüüri seadistamine, kasutades UFW [Debian 9]

    Debian sisaldab mitmeid pakette, mis pakuvad tööriistu tulemüüri haldamiseks koos baassüsteemi osana paigaldatud iptabeliga.
    Algajatele võib olla keeruline õppida, kuidas iptabeli tööriistaga tulemüüri õigesti konfigureerida ja hallata, kuid UFW lihtsustab seda.

    UFW (Uncomplicated Firewall) on kasutajasõbralik kasutajaliides iptabeli tulemüürireeglite haldamiseks.

    See õpetus näitab, kuidas Debian 9-s UFW-ga tulemüüri seadistada.

    Enne selle õpetusega jätkamist veenduge, et kasutajal, kellena olete sisse logitud, on sudo õigused.

    UFW ei ole Debian 9-s vaikimisi paigaldatud. UFW paketi saate paigaldada järgmise käsuga:
    Kood:
    sudo apt install ufw
    Kui paigaldusprotsess on lõppenud, saate UFW olekut kontrollida järgmise käsuga:
    Kood:
    sudo ufw status verbose
    Väljund näeb välja selline:
    PHP Code:
    Status: inactive 
    
    UFW on vaikimisi keelatud. Paigaldamine ei aktiveeri tulemüüri automaatselt, et vältida serveri blokeerimist.

    Vaikimisi blokeerib UFW kõik sissetulevad ühendused ja lubab kõik väljaminevad ühendused. See tähendab, et kõik kes proovivad teie serverile ligi pääseda, ei saa ühendust luua, kui te spetsiaalselt porti ei ava. Samal ajal kui kõik teie serveris töötavad rakendused ja teenused pääsevad ligi välismaailmale. Vaikepoliitikad on määratletud failis /etc/default/ufw ja neid saab muuta käsuga sudo ufw default <policy> <chain>
    Tulemüüripoliitikad on aluseks üksikasjalikumate ja kasutaja määratletud reeglite koostamisel. Enamikul juhtudel on esialgsed UFW vaikepoliitikad heaks lähtepunktiks.

    Apt-ga paketi paigaldamisel lisab see kataloogi /etc/ufw/applications.d rakenduse profiili, mis kirjeldab teenust ja sisaldab UFW sätteid.

    Kõigi teie süsteemitüübis saadaolevate rakendusprofiilide loetlemiseks käivitage järgmine käsk:
    Kood:
    sudo ufw app list
    Sõltuvalt teie süsteemi paigaldatud pakettidest näeb väljund välja sarnane:
    PHP Code:
    Available applications:
    DNS
    IMAP
    IMAPS
    OpenSSH
    POP3
    POP3S
    Postfix
    Postfix SMTPS
    Postfix Submission
    ... 
    
    Konkreetse profiili ja kaasatud reeglite kohta lisateabe saamiseks kasutage järgmist käsku:
    Kood:
    sudo ufw app info OpenSSH
    Kuvatakse:
    PHP Code:
    Profile: OpenSSH
    Title: Secure shell server, an rshd replacement
    Description: OpenSSH is a free implementation of the Secure Shell protocol.
    
    Port:
    22/tcp 
    
    Ülaltoodud väljund ütleb meile, et OpenSSH profiil avab pordi 22.

    Enne UFW tulemüüri lubamist peame esmalt lubama sissetulevad SSH ühendused.

    Kui loote ühenduse oma serveriga teisest asukohast (mis on peaaegu alati nii) ja lubate enne sissetulevate SSH ühenduste selgesõnalist lubamist UFW tulemüüri, siis ei saa te enam luua Debiani serveriga ühendust.

    UFW tulemüüri konfigureerimiseks sissetulevate SSH ühenduste lubamiseks käivitage järgmine käsk:
    Kood:
    sudo ufw allow OpenSSH
    Kuvatakse:
    PHP Code:
    Rules updated
    Rules updated (v6) 
    
    Kui SSH server kuulab teist porti kui 22 (vaikeport on 22), peate selle pordi avama.

    Näiteks teie SSH server kuulab porti 8822, seejärel saate selles pordis ühenduste lubamiseks kasutada järgmist käsku:
    Kood:
    sudo ufw allow 8822/tcp
    Kui kasutate Virtualmini, mis on 10000 pordi peal, siis tuleks ka see lubada.

    Nüüd kui teie UFW tulemüür on konfigureeritud lubama sissetulevaid SSH ühendusi, siis saate selle lubada käivitades käsi:
    Kood:
    sudo ufw enable
    Kuvatakse:
    PHP Code:
    Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
    Firewall is active and enabled on system startup 
    
    Teid hoiatatakse, et tulemüüri lubamine võib olemasolevaid SSH ühendusi häirida. Kirjutage y ja vajutage enter.



    Sõltuvalt teie serveris töötavatest rakendustest ja teie konkreetsetest vajadustest, peate lubama sissetuleva juurdepääsu ka mõnele teisele pordile.
    Allpool on mõned näited selle kohta, kuidas lubada sissetulevaid ühendusi mõne kõige levinuma teenusega.

    HTTP ühendusi (port 80) saab lubada järgmise käsuga:
    Kood:
    sudo ufw allow http
    http asemel võite kasutada pordi numbrit 80:
    Kood:
    sudo ufw allow 80/tcp
    HTTPS ühendusi saab lubada järgmise käsuga:
    Kood:
    sudo ufw allow https
    Sama saavutamiseks võite https asemel kasutada pordi numbrit 443:
    Kood:
    sudo ufw allow 443/tcp
    Kui kasutate Tomcati või mõnda muud rakendust, mis kuulab porti 8080, saate lubada sissetulevaid ühendusi:
    Kood:
    sudo ufw allow 8080/tcp

    UFW-ga saate lubada juurdepääsu ka pordivahemikele. UFW-ga pordivahemike lubamisel peate määrama protokolli, kas tcp või udp.

    Näiteks pordide 7100–7200 lubamiseks nii tcp-l kui ka udp-l käivitage järgmine käsk:
    Kood:
    sudo ufw allow 7100:7200/udp
    Kui soovite lubada juurdepääsu kõikidele portidele konkreetselt IP aadressilt, kasutage käsku ufw allow from, millele järgneb IP-aadress:
    Kood:
    sudo ufw allow from 64.61.72.60
    Juurdepääsu lubamiseks konkreetsele pordile, kui teie töömasina port 22 IP aadress 64.61.72.60 kasutage järgmist käsku:
    Kood:
    sudo ufw allow from 64.63.62.61 to any port 22
    IP aadresside alamvõrgust ühenduse lubamise käsk on sama, mis ühe IP aadressi kasutamisel. Ainus erinevus on see, et peate määrama võrgumaski.
    Näiteks kui soovite lubada juurdepääsu IP aadressidele vahemikus 192.168.1.1 kuni 192.168.1.254 kuni pordini 3360 (MySQL), käivitage järgmine käsk:
    Kood:
    sudo ufw allow from 192.168.1.0/24 to any port 3306

    UFW reeglite kustutamiseks on kaks erinevat viisi: reegli numbri järgi ja tegeliku reegli täpsustamine.
    UFW reeglite kustutamine reegli numbri järgi on lihtsam, eriti kui olete UFW-ga alles alustanud.

    Reegli kustutamiseks reegli numbri järgi peate esmalt leidma kustutatava reegli numbri. Selleks käivitage järgmine käsk:
    Kood:
    sudo ufw status numbered
    Kuvatakse:
    PHP Code:
    Status: active
    
    To Action From
    -- ------ ----
    [ 1] 22/tcp ALLOW IN Anywhere
    [ 2] 80/tcp ALLOW IN Anywhere
    [ 3] 8080/tcp ALLOW IN Anywhere 
    
    Näiteks reegli nr 3 kustutamiseks, reegli, mis võimaldab ühendusi pordiga 8080, sisestage:
    Kood:
    sudo ufw delete 3
    Teine meetod on reegli kustutamine, kus täpsustate tegeliku reegli. Näiteks kui lisasite reegli pordi 8069 avamiseks, saate selle kustutada järgmiselt:
    Kood:
    sudo ufw delete allow 8069

    Kui soovite mingil põhjusel UFW peatada ja kõik reeglid desaktiveerida, sisestage järgmine käsk:
    Kood:
    sudo ufw disable
    Kui soovite hiljem UFW uuesti lubada ja kõik reeglid aktiveerida, sisestage järgmine käsk:
    Kood:
    sudo ufw enable
    UFW lähtestamine keelab UFW ja kustutab kõik aktiivsed reeglid. See on kasulik, kui soovite kõik muudatused ennistada ja alustada uuesti.
    UFW lähtestamiseks sisestage järgmine käsk:
    Kood:
    sudo ufw reset

    Olete õppinud, kuidas paigaldada ja konfigureerida oma Debian 9 masinasse UFW tulemüüri. Lubage kindlasti kõik sissetulevad ühendused, mis on vajalikud teie süsteemi nõuetekohaseks toimimiseks, piirates samas kõiki mittevajalikke ühendusi.








Töötlen...