Phenquestions
Denne artikel viser dig, hvordan du installerer og bruger UFW på din Ubuntu 20.04 LTS-system.
Installation
UFW leveres forudinstalleret på de fleste Ubuntu-systemer. Hvis dit build ikke allerede har dette program installeret, kan du installere det ved hjælp af snap- eller apt-pakkehåndteringen.$ sudo snap installation ufw
$ sudo apt installere ufwJeg foretrækker personligt at bruge apt pakkehåndtering til at gøre dette, fordi snap er mindre populært, og jeg vil ikke have denne ekstra kompleksitet. På dette tidspunkt er den version, der blev offentliggjort for UFW, 0.36 til de 20.04 frigivelse.
Indgående vs. Udgående trafik
Hvis du er nybegynder i netværksverdenen, er det første, du skal afklare, forskellen mellem indgående og udgående trafik.
Når du installerer opdateringer ved hjælp af apt-get, surfer på internettet eller tjekker din e-mail, er det, du laver, at sende "udgående" anmodninger til servere, såsom Ubuntu, Google osv. For at få adgang til disse tjenester behøver du ikke engang en offentlig IP. Normalt tildeles en enkelt offentlig IP-adresse til f.eks. En bredbåndsforbindelse til hjemmet, og hver enhed får sin egen private IP. Routeren håndterer derefter trafikken ved hjælp af noget kendt som NAT eller Network Address Translation.
Detaljerne om NAT og private IP-adresser ligger uden for denne artikels anvendelsesområde, men videoen, der er linket ovenfor, er et glimrende udgangspunkt. Kommer tilbage til UFW, vil UFW som standard tillade al regelmæssig udgående webtrafik. Dine browsere, pakkeadministratorer og andre programmer vælger et tilfældigt portnummer - normalt et nummer over 3000 - og det er sådan, hver applikation kan holde styr på sin forbindelse (r).
Når du kører servere i skyen, leveres de normalt med en offentlig IP-adresse og ovenstående regler for tilladelse til udgående trafik stadig. Fordi du stadig vil bruge hjælpeprogrammer, som pakkeadministratorer, der taler med resten af verden som en 'klient', tillader UFW dette som standard.
Sjovet begynder med indgående trafik. Applikationer, som OpenSSH-serveren, som du bruger til at logge ind på din VM, skal du lytte til specifikke porte (som 22) efter indgående anmodninger, ligesom andre applikationer. Webservere har brug for adgang til port 80 og 443.
Det er en del af jobbet med en firewall at tillade specifikke applikationer at lytte ind på bestemt indgående trafik, mens de blokerer alle de unødvendige. Du kan have en databaseserver installeret på din VM, men det behøver normalt ikke at lytte efter indgående anmodninger på grænsefladen med en offentlig IP. Normalt lytter den bare ind i loopback-grænsefladen for anmodninger.
Der er mange bots på nettet, som konstant bombarderer servere med falske anmodninger om at tvinge sig ind eller gøre et simpelt Denial of Service-angreb. En velkonfigureret firewall skal kunne blokere de fleste af disse shenanigans ved hjælp af tredjeparts plugins som Fail2ban.
Men for nu vil vi fokusere på en meget grundlæggende opsætning.
Grundlæggende brug
Nu hvor du har UFW installeret på dit system, vil vi se på nogle grundlæggende anvendelser til dette program. Da firewallregler anvendes hele systemet, køres nedenstående kommandoer som rodbruger. Hvis du foretrækker det, kan du bruge sudo med de rette privilegier til denne procedure.
# ufw statusStatus: inaktiv
UFW er som standard i en inaktiv tilstand, hvilket er en god ting. Du ønsker ikke at blokere al indgående trafik på port 22, som er standard SSH-porten. Hvis du er logget ind på en ekstern server via SSH, og du blokerer port 22, bliver du låst ude af serveren.
UFW gør det let for os at stikke et hul kun til OpenSSH. Kør nedenstående kommando:
[e-mail-beskyttet]: ~ # ufw app-listeTilgængelige applikationer:
OpenSSH
Bemærk, at jeg stadig ikke har aktiveret firewallen. Vi vil nu tilføje OpenSSH til vores liste over tilladte apps og derefter aktivere firewall. For at gøre dette skal du indtaste følgende kommandoer:
# ufw tillader OpenSSHRegler opdateret
Regler opdateret (v6)
# ufw aktiver
Kommandoen kan forstyrre eksisterende SSH-forbindelser. Fortsæt med betjening (y | n)? y.
Firewall er nu aktiv og aktiveret ved systemstart.
Tillykke, UFW er nu aktiv og kører. UFW tillader nu kun OpenSSH at lytte ind på indgående anmodninger i port 22. For at kontrollere status for din firewall til enhver tid skal du køre følgende kode:
# ufw statusStatus: aktiv
Til handling fra
-- ------ ----
OpenSSH ALLOW hvor som helst
OpenSSH (v6) ALLOW Anywhere (v6)
Som du kan se, kan OpenSSH nu modtage anmodninger fra hvor som helst på Internettet, forudsat at det når det i port 22. V6-linjen angiver, at reglerne også anvendes til IPv6.
Du kan selvfølgelig forbyde bestemte IP-intervaller eller kun tillade et bestemt IP-interval afhængigt af de sikkerhedsbegrænsninger, du arbejder inden for.
Tilføjelse af applikationer
For de mest populære applikationer opdaterer ufw-applistekommandoen automatisk sin liste over politikker efter installationen. For eksempel, efter installation af Nginx-webserveren, vil du se følgende nye muligheder vises:
# apt install nginx# ufw app-liste
Tilgængelige applikationer:
Nginx Fuld
Nginx HTTP
Nginx HTTPS
OpenSSH
Gå videre og prøv at eksperimentere med disse regler. Bemærk, at du simpelthen kan tillade portnumre i stedet for at vente på, at en applikations profil vises. For eksempel, for at tillade port 443 til HTTPS-trafik skal du blot bruge følgende kommando:
# ufw tillad 443# ufw status
Status: aktiv
Til handling fra
-- ------ ----
OpenSSH ALLOW hvor som helst
443 TILLAD hvor som helst
OpenSSH (v6) ALLOW Anywhere (v6)
443 (v6) ALLOW Anywhere (v6)
Konklusion
Nu hvor du har sorteret det grundlæggende i UFW, kan du udforske andre kraftfulde firewall-funktioner, startende fra at tillade og blokere IP-intervaller. At have klare og sikre firewall-politikker holder dine systemer sikre og beskyttede.
