Tweet
Debian sisaldab mitmeid pakette, mis pakuvad tööriistu tulemüüri haldamiseks koos baassüsteemi osana paigaldatud iptabeliga.
Algajatele võib olla keeruline õppida, kuidas iptabeli tööriistaga tulemüüri õigesti konfigureerida ja hallata, kuid UFW lihtsustab seda.
UFW (Uncomplicated Firewall) on kasutajasõbralik kasutajaliides iptabeli tulemüürireeglite haldamiseks.
See õpetus näitab, kuidas Debian 9-s UFW-ga tulemüüri seadistada.
Enne selle õpetusega jätkamist veenduge, et kasutajal, kellena olete sisse logitud, on sudo õigused.
UFW ei ole Debian 9-s vaikimisi paigaldatud. UFW paketi saate paigaldada järgmise käsuga:
Kui paigaldusprotsess on lõppenud, saate UFW olekut kontrollida järgmise käsuga:
Väljund näeb välja selline:
UFW on vaikimisi keelatud. Paigaldamine ei aktiveeri tulemüüri automaatselt, et vältida serveri blokeerimist.
Vaikimisi blokeerib UFW kõik sissetulevad ühendused ja lubab kõik väljaminevad ühendused. See tähendab, et kõik kes proovivad teie serverile ligi pääseda, ei saa ühendust luua, kui te spetsiaalselt porti ei ava. Samal ajal kui kõik teie serveris töötavad rakendused ja teenused pääsevad ligi välismaailmale. Vaikepoliitikad on määratletud failis /etc/default/ufw ja neid saab muuta käsuga sudo ufw default <policy> <chain>
Tulemüüripoliitikad on aluseks üksikasjalikumate ja kasutaja määratletud reeglite koostamisel. Enamikul juhtudel on esialgsed UFW vaikepoliitikad heaks lähtepunktiks.
Apt-ga paketi paigaldamisel lisab see kataloogi /etc/ufw/applications.d rakenduse profiili, mis kirjeldab teenust ja sisaldab UFW sätteid.
Kõigi teie süsteemitüübis saadaolevate rakendusprofiilide loetlemiseks käivitage järgmine käsk:
Sõltuvalt teie süsteemi paigaldatud pakettidest näeb väljund välja sarnane:
Konkreetse profiili ja kaasatud reeglite kohta lisateabe saamiseks kasutage järgmist käsku:
Kuvatakse:
Ülaltoodud väljund ütleb meile, et OpenSSH profiil avab pordi 22.
Enne UFW tulemüüri lubamist peame esmalt lubama sissetulevad SSH ühendused.
Kui loote ühenduse oma serveriga teisest asukohast (mis on peaaegu alati nii) ja lubate enne sissetulevate SSH ühenduste selgesõnalist lubamist UFW tulemüüri, siis ei saa te enam luua Debiani serveriga ühendust.
UFW tulemüüri konfigureerimiseks sissetulevate SSH ühenduste lubamiseks käivitage järgmine käsk:
Kuvatakse:
Kui SSH server kuulab teist porti kui 22 (vaikeport on 22), peate selle pordi avama.
Näiteks teie SSH server kuulab porti 8822, seejärel saate selles pordis ühenduste lubamiseks kasutada järgmist käsku:
Kui kasutate Virtualmini, mis on 10000 pordi peal, siis tuleks ka see lubada.
Nüüd kui teie UFW tulemüür on konfigureeritud lubama sissetulevaid SSH ühendusi, siis saate selle lubada käivitades käsi:
Kuvatakse:
Teid hoiatatakse, et tulemüüri lubamine võib olemasolevaid SSH ühendusi häirida. Kirjutage y ja vajutage enter.
Sõltuvalt teie serveris töötavatest rakendustest ja teie konkreetsetest vajadustest, peate lubama sissetuleva juurdepääsu ka mõnele teisele pordile.
Allpool on mõned näited selle kohta, kuidas lubada sissetulevaid ühendusi mõne kõige levinuma teenusega.
HTTP ühendusi (port 80) saab lubada järgmise käsuga:
http asemel võite kasutada pordi numbrit 80:
HTTPS ühendusi saab lubada järgmise käsuga:
Sama saavutamiseks võite https asemel kasutada pordi numbrit 443:
Kui kasutate Tomcati või mõnda muud rakendust, mis kuulab porti 8080, saate lubada sissetulevaid ühendusi:
UFW-ga saate lubada juurdepääsu ka pordivahemikele. UFW-ga pordivahemike lubamisel peate määrama protokolli, kas tcp või udp.
Näiteks pordide 7100–7200 lubamiseks nii tcp-l kui ka udp-l käivitage järgmine käsk:
Kui soovite lubada juurdepääsu kõikidele portidele konkreetselt IP aadressilt, kasutage käsku ufw allow from, millele järgneb IP-aadress:
Juurdepääsu lubamiseks konkreetsele pordile, kui teie töömasina port 22 IP aadress 64.61.72.60 kasutage järgmist käsku:
IP aadresside alamvõrgust ühenduse lubamise käsk on sama, mis ühe IP aadressi kasutamisel. Ainus erinevus on see, et peate määrama võrgumaski.
Näiteks kui soovite lubada juurdepääsu IP aadressidele vahemikus 192.168.1.1 kuni 192.168.1.254 kuni pordini 3360 (MySQL), käivitage järgmine käsk:
UFW reeglite kustutamiseks on kaks erinevat viisi: reegli numbri järgi ja tegeliku reegli täpsustamine.
UFW reeglite kustutamine reegli numbri järgi on lihtsam, eriti kui olete UFW-ga alles alustanud.
Reegli kustutamiseks reegli numbri järgi peate esmalt leidma kustutatava reegli numbri. Selleks käivitage järgmine käsk:
Kuvatakse:
Näiteks reegli nr 3 kustutamiseks, reegli, mis võimaldab ühendusi pordiga 8080, sisestage:
Teine meetod on reegli kustutamine, kus täpsustate tegeliku reegli. Näiteks kui lisasite reegli pordi 8069 avamiseks, saate selle kustutada järgmiselt:
Kui soovite mingil põhjusel UFW peatada ja kõik reeglid desaktiveerida, sisestage järgmine käsk:
Kui soovite hiljem UFW uuesti lubada ja kõik reeglid aktiveerida, sisestage järgmine käsk:
UFW lähtestamine keelab UFW ja kustutab kõik aktiivsed reeglid. See on kasulik, kui soovite kõik muudatused ennistada ja alustada uuesti.
UFW lähtestamiseks sisestage järgmine käsk:
Olete õppinud, kuidas paigaldada ja konfigureerida oma Debian 9 masinasse UFW tulemüüri. Lubage kindlasti kõik sissetulevad ühendused, mis on vajalikud teie süsteemi nõuetekohaseks toimimiseks, piirates samas kõiki mittevajalikke ühendusi.
Algajatele võib olla keeruline õppida, kuidas iptabeli tööriistaga tulemüüri õigesti konfigureerida ja hallata, kuid UFW lihtsustab seda.
UFW (Uncomplicated Firewall) on kasutajasõbralik kasutajaliides iptabeli tulemüürireeglite haldamiseks.
See õpetus näitab, kuidas Debian 9-s UFW-ga tulemüüri seadistada.
Enne selle õpetusega jätkamist veenduge, et kasutajal, kellena olete sisse logitud, on sudo õigused.
UFW ei ole Debian 9-s vaikimisi paigaldatud. UFW paketi saate paigaldada järgmise käsuga:
Kood:
sudo apt install ufw
Kood:
sudo ufw status verbose
PHP Code:
Status: inactive
Vaikimisi blokeerib UFW kõik sissetulevad ühendused ja lubab kõik väljaminevad ühendused. See tähendab, et kõik kes proovivad teie serverile ligi pääseda, ei saa ühendust luua, kui te spetsiaalselt porti ei ava. Samal ajal kui kõik teie serveris töötavad rakendused ja teenused pääsevad ligi välismaailmale. Vaikepoliitikad on määratletud failis /etc/default/ufw ja neid saab muuta käsuga sudo ufw default <policy> <chain>
Tulemüüripoliitikad on aluseks üksikasjalikumate ja kasutaja määratletud reeglite koostamisel. Enamikul juhtudel on esialgsed UFW vaikepoliitikad heaks lähtepunktiks.
Apt-ga paketi paigaldamisel lisab see kataloogi /etc/ufw/applications.d rakenduse profiili, mis kirjeldab teenust ja sisaldab UFW sätteid.
Kõigi teie süsteemitüübis saadaolevate rakendusprofiilide loetlemiseks käivitage järgmine käsk:
Kood:
sudo ufw app list
PHP Code:
Available applications:
DNS
IMAP
IMAPS
OpenSSH
POP3
POP3S
Postfix
Postfix SMTPS
Postfix Submission
...
Kood:
sudo ufw app info OpenSSH
PHP Code:
Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.
Port:
22/tcp
Enne UFW tulemüüri lubamist peame esmalt lubama sissetulevad SSH ühendused.
Kui loote ühenduse oma serveriga teisest asukohast (mis on peaaegu alati nii) ja lubate enne sissetulevate SSH ühenduste selgesõnalist lubamist UFW tulemüüri, siis ei saa te enam luua Debiani serveriga ühendust.
UFW tulemüüri konfigureerimiseks sissetulevate SSH ühenduste lubamiseks käivitage järgmine käsk:
Kood:
sudo ufw allow OpenSSH
PHP Code:
Rules updated
Rules updated (v6)
Näiteks teie SSH server kuulab porti 8822, seejärel saate selles pordis ühenduste lubamiseks kasutada järgmist käsku:
Kood:
sudo ufw allow 8822/tcp
Nüüd kui teie UFW tulemüür on konfigureeritud lubama sissetulevaid SSH ühendusi, siis saate selle lubada käivitades käsi:
Kood:
sudo ufw enable
PHP Code:
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
Sõltuvalt teie serveris töötavatest rakendustest ja teie konkreetsetest vajadustest, peate lubama sissetuleva juurdepääsu ka mõnele teisele pordile.
Allpool on mõned näited selle kohta, kuidas lubada sissetulevaid ühendusi mõne kõige levinuma teenusega.
HTTP ühendusi (port 80) saab lubada järgmise käsuga:
Kood:
sudo ufw allow http
Kood:
sudo ufw allow 80/tcp
Kood:
sudo ufw allow https
Kood:
sudo ufw allow 443/tcp
Kood:
sudo ufw allow 8080/tcp
UFW-ga saate lubada juurdepääsu ka pordivahemikele. UFW-ga pordivahemike lubamisel peate määrama protokolli, kas tcp või udp.
Näiteks pordide 7100–7200 lubamiseks nii tcp-l kui ka udp-l käivitage järgmine käsk:
Kood:
sudo ufw allow 7100:7200/udp
Kood:
sudo ufw allow from 64.61.72.60
Kood:
sudo ufw allow from 64.63.62.61 to any port 22
Näiteks kui soovite lubada juurdepääsu IP aadressidele vahemikus 192.168.1.1 kuni 192.168.1.254 kuni pordini 3360 (MySQL), käivitage järgmine käsk:
Kood:
sudo ufw allow from 192.168.1.0/24 to any port 3306
UFW reeglite kustutamiseks on kaks erinevat viisi: reegli numbri järgi ja tegeliku reegli täpsustamine.
UFW reeglite kustutamine reegli numbri järgi on lihtsam, eriti kui olete UFW-ga alles alustanud.
Reegli kustutamiseks reegli numbri järgi peate esmalt leidma kustutatava reegli numbri. Selleks käivitage järgmine käsk:
Kood:
sudo ufw status numbered
PHP Code:
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 8080/tcp ALLOW IN Anywhere
Kood:
sudo ufw delete 3
Kood:
sudo ufw delete allow 8069
Kui soovite mingil põhjusel UFW peatada ja kõik reeglid desaktiveerida, sisestage järgmine käsk:
Kood:
sudo ufw disable
Kood:
sudo ufw enable
UFW lähtestamiseks sisestage järgmine käsk:
Kood:
sudo ufw reset
Olete õppinud, kuidas paigaldada ja konfigureerida oma Debian 9 masinasse UFW tulemüüri. Lubage kindlasti kõik sissetulevad ühendused, mis on vajalikud teie süsteemi nõuetekohaseks toimimiseks, piirates samas kõiki mittevajalikke ühendusi.
