Du-te de la ferestre la linux ufw

Administratorii de sistem preferă să spună: "Să lucrezi fără un firewall este ca un sex neprotejat". Este inutil să ne certăm despre utilitatea firewall-ului, este ca și în cazul copierii de rezervă - până când acesta "stinge", nu este necesar și, atunci când este necesar, este necesar. Și nu vă fie teamă: dacă înainte, configurarea firewall-ului a fost foarte dificilă, dar acum există utilități speciale, inclusiv grafică, care vă permit să faceți totul elementar. Vom vorbi despre una dintre aceste utilități astăzi.

(Imaginea pentru a atrage atenția.)

Deci, hai să ne ocupăm de asta. La început, terminologia: iptables - firewall-ul în sine este o configurație foarte complexă, UFW - un utilitar pentru configurarea iptables simplu, Gufw - o interfață grafică pentru UFW. Acum, un pic mai complicat: permite, nega, respinge - este o acțiune (permite, nega, respinge), care se aplică în cazul conexiunilor specifice, de intrare / ieșire - este direcția de conectare (amonte / aval), app - în acest context, este o aplicație cu un anumit set de reguli . Ni se pare, acest lucru ar trebui să fie suficient pentru un început.

Voiam să vă spun despre Gufw. dar mi-am dat seama că totul este atât de intuitiv încât nu există nimic de spus. Imaginea de mai sus arată că există doar câteva cuplaje și, de fapt, regulile. Starea este starea firewall-ului, pornită / oprită. Incoming este politica implicită pentru conexiunile primite, ieșire pentru conexiuni de ieșire. De obicei, în mod implicit, conexiunile de intrare sunt dezactivate și conexiunile de ieșire sunt permise. Apoi vine un set de reguli, totul este simplu: portul prin care se fac conexiunile; acțiune și direcție (permite / respinge / respinge intrarea / ieșirea); unde se face conexiunea (de exemplu, aici puteți specifica IP-ul pentru care să refuzați accesul). Asta e tot.

Hai să mergem direct la ufw și să luăm în considerare caracteristicile. În primul rând, citiți omul ufw (nu am nici o dorință să îl rescriu aici). Pentru a economisi timp, iată ce nu puteți face:

• Activați paravanul de protecție (activare ufw) fără preconfigurare - aceasta poate duce la blocarea completă a aparatului, cu excepția accesului local ("server rămas bun!");
• de fapt, aproape la fel ca primul punct, dar este foarte important: nu te bloca! - dacă vă conectați la server folosind SSH, în primul rând permiteți conexiuni la portul 22 (implicit): ufw permite 22 / tcp sau ufw permite ssh;
• Sunt serios! ufw permite proto tcp de la orice la orice port 22;
• amintiți-vă că regulile sunt aplicate secvențial, deci dacă interziceți ceva și apoi rezolvați totul, totul va fi permis.

Vreau să notez câteva puncte care trebuie înțelese și care nu pot fi uitate. Adesea puteți scrie reguli nu prin numărul portului, ci prin numele serviciului. Serviciile sunt listate în fișierul / etc / services. de exemplu, există ssh, care este legat la portul 22, ceea ce înseamnă că puteți scrie ufw permite ssh. Dar, există o nuanță. De exemplu, ați atârnat ssh pe portul 1022, corectat / etc / services. și ufw permit ssh să fi fost scrise în regulă, dar se poate întâmpla teribil: sistemul a decis să actualizeze / etc / services. și puneți portul 22 acolo din nou. Ca urmare, sistemul nu mai este disponibil (portul 22 este deschis, iar ssh este suspendat pe portul 1022). Prin urmare, eu personal sunt întotdeauna responsabil pentru portarea directă - aveți nevoie pentru a deschide 80 port, scrie: ufw permite 80

Acum puteți face față aplicațiilor (aplicație). Vedeți lista: lista de aplicații ufw - enumeră numele profilurilor de aplicații. Pot exista multe lucruri care sunt în sistem, de exemplu: apache2, nginx, serverul openssh și așa mai departe. Ideea este să le folosim, precum și serviciile - să scriem reguli într-o formă mai simplă. Dar, există o dificultate în modul în care UFW aplică și actualizează aceste reguli. În manual se spune: "Politica de aplicații implicită este săriți. ceea ce înseamnă că actualizarea --add-nouă comandă va face nimic »- acest lucru înseamnă că este imposibil să se aplice noua cerere prin intermediul profilului de actualizare --add-nou implicit. Cu alte cuvinte, aveți nevoie pentru a urmări actualizările și noile profiluri de aplicații și prelucrate în moduri diferite: pentru noi profiluri UFW permite | nega | respinge APPNAME. și pentru versiunea modificată: ufw app app update name. În general, acest lucru nu va fi niciodată amintit. Este mai ușor să nu le folosiți. Există un alt punct, care constă în eliminarea tuturor regulilor atunci când porniți firewall-ul. Empiric, am constatat că, dacă acordați orice conexiune prin profilurile de aplicații (de tip: UFW permit OpenSSH), precum și alte reglementări nu (și știm despre aplicațiile omitere-politică), atunci când activați firewall-ul va bloca totul. În general, chestia e utilă dacă ai multe programe pe server ... Multe. În alte cazuri nu recomand acest lucru.

A fost vorba despre trist, acum despre binele: chiar dacă aveți multe reguli, acestea pot fi administrate în mod convenabil fără a folosi "simpli". Ajutați-ne să numerotăm regulile. Pe scurt: pentru fiecare regulă i se atribuie un număr și puteți gestiona această regulă după număr. De exemplu, pentru a șterge regula 3, trebuie să faceți: ufw delete 3. Puteți vedea lista de reguli cu numere cu comanda: statusul ufw numerotat

Un alt punct pe care aș vrea să-l concentrez: diferența dintre respingere și respingere. M-am saturat sa ma repet, dar este, de asemenea, foarte simplu: nega nu face nimic, doar nu da acces, resping imediat trimite răspunsul "Conexiunea refuzată". De fapt, acestea ar trebui să fie utilizate în acest fel: dacă trebuie să "ascundeți" un serviciu, se va refuza dacă este necesar să se arate că serviciul este acolo, dar accesul la acesta este închis, apoi este respinsă. De exemplu, dacă utilizați un paravan de protecție pentru a proteja împotriva parolelor, atunci trebuie să trimiteți respingerea și dacă aveți nevoie să ascundeți un serviciu, de exemplu, FTP de la toți utilizatorii, cu excepția celor locale, atunci se va refuza. O altă negație este mai bună atunci când se protejează împotriva scanării portului - scanerul vede că portul este închis (nu este deschis) și îl "omite", iar dacă vede respingerea, atunci aceasta este o scuză pentru a examina mai îndeaproape acest server.

Total, pentru o utilizare simplă, este suficient să cunoașteți următoarele:

1. puteți seta regulile implicite utilizând următoarele comenzi:
   Valoarea implicită implicită ignoră intrarea
   Valoarea implicită ufw permite ieșirea
2. Permiteți conexiunile la un anumit port:
   ufw permite 22
   ufw permite 80 / tcp
3. Dezactivați conexiunile la un anumit port:
   ufw deny 21
4. respingeți conexiunile pe un anumit port:
   ufw respinge 7
5. porniți paravanul de protecție (și adăugați la pornire):
   ufw enable
6. vizualizați starea (și regulile) paravanului de protecție:
   statutul ufw
   ufw status verbose
   Statutul ufw numerotat
7. dezactivați firewall-ul (și eliminați de la pornire):
   ufw dezactivează

Articole similare

• Instalarea linux de lângă Windows 10 cum se instalează versiunile de ubuntu, mint, kali, kubuntu, rosa,

• Cum se partajează fișierele între ferestre, mac și linux, zilele lucrătoare de suport tehnic

• Cum de a Russify Windows Server 2018 r2, configurarea ferestrelor și a serverelor linux

Trimiteți-le prietenilor: