Kako postaviti i konfigurirati UFW vatrozid na Debian 10 Busteru

Jedan od ključnih kamena svakog operativnog sustava je pravilno konfiguriran vatrozid za potpunu sigurnost sustava. Popularni sustav vatrozida za Debian je paket koji se zove UFW (Nekomplicirani vatrozid). UFW je popularan sa svojim korisničkim i jednostavnim za korištenje naredbenog retka, što ga čini izvrsnim za početnike u Linuxu do najnaprednijih naprednih korisnika.

Sljedeći vodič će vam pokazati kako instalirati i postaviti UFW vatrozid za Debian 10 kodnog imena Buster.

UFW Preduvjeti

Trebat će vam pristup ili root-u ili korisniku s sudo privilegijama za Debian sustave da instalirate/konfigurirate UFW vatrozid. U našem vodiču koristit ćemo root za konfiguriranje UFW-a.

Unesite root terminal sljedećom naredbom. Imajte na umu da ćete morati unijeti root lozinku:

su

Oglas


UFW instalirati

Prvi korak je instaliranje UFW-a za Debian 10. Prvo ćemo provjeriti je li naš sustav ažuriran, a zatim ga instalirati.

sudo apt update && sudo apt upgrade \
 sudo apt install ufw

UFW provjera statusa

Nakon što ste instalirali UFW vatrozid, provjerite status sljedećom naredbom.

sudo ufw status verbose

Bilo bi najbolje da dobijete sljedeći izlaz:

Status:Inactive

Oglas


UFW Omogući

Nakon instalacije ustanovili ste da je uspješna; međutim, vatrozid je neaktivan. Možete ga omogućiti na sljedeći način.

sudo ufw enable

Nakon što je omogućeno, trebali biste vidjeti novi status ako ponovno upišete opširnu naredbu.

kako instalirati i konfigurirati ufw firewall na debian 10 buster

Ako ga u budućnosti budete trebali onemogućiti iz bilo kojeg razloga, to možete učiniti sljedećom naredbom.

sudo ufw disable

Zadana pravila UFW-a

Zadana je politika UFW vatrozida odbijati sve dolazne veze i dopuštati samo izlazne veze na sustav. Obično je najsigurniji zadani način s kojim nitko ne može doći do vašeg poslužitelja osim ako ne dopustite IP adresu/raspone, programe, portove ili kombinacije svega. Vaš sustav prema zadanim postavkama može pristupiti vani, što ne biste trebali prilagođavati osim ako nemate posebne sigurnosne zahtjeve.

Za referencu, zadana pravila UFW vatrozida mogu se pronaći na lokaciji / etc / default / ufw datoteku i možete li prilagoditi pravila upisivanjem sljedeće naredbe:

sudo ufw default deny incoming && sudo ufw default allow outgoing

Pretpostavimo da želite zabraniti sve dolazne i odlazne veze i dopustiti samo odobrene IP adrese ili raspone. Možete, na primjer, upisati sljedeću naredbu da biste to učinili:

sudo ufw default deny incoming && sudo ufw default deny outgoing

Imajte na umu da se to ne preporučuje osim ako nemate vrlo siguran zahtjev.


Oglas


UFW profili aplikacija

Da biste prikazali sve profile aplikacije, to možete učiniti tako da upišete sljedeće.

sudo ufw app list

Tada ćete vidjeti izlaz. Imajte na umu da će svi imati različite aplikacije, ali će izgledati slično dolje.

popis statusa debian 10 ufw

Također, možete upisati sljedeću naredbu da biste pronašli više informacija o postojećem profilu.

sudo ufw app info qBittorrent

Izlaz bi trebao biti sljedeći:

Profile: qBittorrent
 Title: qBittorrent
 Description: qBittorrent BitTorrent client
 Ports:
   6881/tcp

UFW IPv6 Omogući

Ako je vaš Debian sustav konfiguriran s IPv6, morate provjeriti je li UFW konfiguriran s podrškom za IPv6 i IPv4. Prema zadanim postavkama, ovo bi trebalo biti automatski omogućeno; međutim, trebali biste ga provjeriti i, ako je potrebno, izmijeniti. To možete učiniti u nastavku.

Otvorite zadanu UFW datoteku vatrozida:

sudo nano /etc/default/ufw

Podesite sljedeći redak na da ako nije postavljeno:

IPV6=yes

Control+O za spremanje, zatim Control+X za izlaz nakon završetka. Ako ste promijenili postavke, ponovno pokrenite vatrozid.

sudo systemctl restart ufw

Oglas


UFW Dopusti SSH veze

Prema zadanim postavkama, UFW ne dopušta SSH veze. Da ste već daljinski omogućili vatrozid, primijetili biste da ste zaključani. Da biste to popravili, morate postaviti sljedeću SSH konfiguraciju.

Prvo omogućite SSH profil aplikacije.

sudo ufw allow ssh

Ako ste postavili prilagođeni port za slušanje za SSH veze osim zadanog porta 22, porta 3541, otvorit ćete port na UFW vatrozidu upisivanjem sljedećeg.

sudo ufw allow 3541/tcp

Napomena, ako želite blokirati sve SSH veze ili promijeniti port i blokirati stare. Upišite sljedeće naredbe da biste izmijenili skup pravila.

Blokiraj SSH u potpunosti:

sudo ufw deny ssh/tcp

Blokiraj SSH prilagođeni port:

sudo ufw deny 3541/tcp 

UFW Omogućite portove

Uz UFW, možete otvoriti određene portove u vatrozidu kako biste dopustili veze određene za određenu aplikaciju. Izvrstan primjer ovog pravila je postavljanje web poslužitelja koji prema zadanim postavkama sluša port 80 (HTTP) i 443 HTTPS. Možete postaviti prilagođena pravila za aplikaciju.

Dopusti HTTP port 80

Dopusti prema profilu aplikacije:

sudo ufw allow 'Apache'

Dopusti po nazivu usluge:

sudo ufw allow http

Dopusti prema broju porta:

sudo ufw allow 80/tcp

Dopusti HTTPS port 443

Dopusti prema profilu aplikacije:

sudo ufw allow 'Apache Secure'

Dopusti po nazivu usluge:

sudo ufw allow https

Dopusti prema broju porta:

sudo ufw allow 443/tcp

Napomena, možete omogućiti sva pravila zajedno prema zadanim postavkama pomoću sljedeće naredbe.

sudo ufw allow 'Apache Full'

Oglas


UFW Dopusti raspon portova

UFW može dopustiti pristup rasponima portova. Napomena, kada otvarate raspon portova, morate identificirati protokol porta.

Dopusti raspon portova s ​​TCP i UDP:

sudo ufw allow 6500:6800/tcp && sudo ufw allow 6500:6800/udp

UFW Dopusti određenu IP adresu

Na primjer, da biste omogućili određene IP adrese, nalazite se na internoj mreži. Želite omogućiti određenim sustavima da komuniciraju zajedno dolazno/izlazno, a zatim možete odrediti da dopustite sljedećom naredbom.

Primjer internog IP-a, 192.168.55.X:

sudo ufw allow from 192.168.55.131

Oglas


UFW Dopusti određenu IP adresu na određenom portu

Da biste omogućili IP da se poveže s vašim sustavom na definiranom portu (primjer port “3900”), upišite sljedeće.

sudo ufw allow from 192.168.55.131 to any port 3900

UFW Dopusti mrežne podmreže

Dopustite podmrežne veze na određeni priključak

Ako vam je potreban cijeli niz veza od podmreže IP raspona do određenog porta, možete to omogućiti stvaranjem sljedećeg pravila.

sudo ufw allow from 192.168.1.0/24 to any port 3900

To će omogućiti svim IP adresama od 192.168.1.1 do 192.168.1.254 da se povežu na port 3900.

Dopusti specifično mrežno sučelje

Na primjer, dopustite veze na određeno mrežno sučelje, “eth2” na određeni port 3900. To možete postići stvaranjem sljedećeg pravila.

sudo ufw allow in on eth2 to any port 3900

Oglas


UFW Deny Connections

Prema zadanoj politici postavljanja UFW-a, kada je instaliran, sve dolazne veze su postavljene na "deny". Time se odbija sav dolazni promet osim ako ne stvorite pravilo koje dopušta prolazak veza.

Međutim, primijetili ste u svojim zapisnicima određenu IP adresu koja vas stalno napada. Blokirajte ga sljedećim.

sudo ufw deny from 203.13.56.121

Haker koristi više IP adresa iz iste podmreže pokušavajući vas hakirati. Napravite sljedeće za blokiranje.

sudo ufw deny from 203.13.56.121/24

Možete stvoriti određena pravila ako želite zabraniti pristup određenim portovima. Upišite sljedeći primjer.

sudo ufw deny from 203.13.56.121/24 to any port 80 \
 sudo ufw deny from 203.13.56.121/24 to any port 443

UFW Pravila brisanja

Stvorili ste i odbili pravila, ali trebate izbrisati neka pravila jer vam više nisu potrebna. To se može postići na dva različita načina.

Prvo, da biste izbrisali UFW pravilo pomoću broja pravila, trebate navesti brojeve pravila tako što ćete upisati sljedeće.

sudo ufw status numbered

Primjer izlaza:

Status: active
  To                         Action      From  --                         ------      ----
 [ 1] Anywhere                   DENY IN    203.13.56.121
 [ 2] Anywhere                   DENY IN    205.15.100.3
 [ 3] 23/tcp                     ALLOW IN   Anywhere

Želite li izbrisati prvo pravilo za IP adresu 203.13.56.121, upišite sljedeće.

sudo ufw delete 1

Drugo, možete izbrisati UFW pravilo korištenjem samog pravila.

sudo ufw delete allow 23/tcp

Oglas


UFW pravila trčanja na suho

Vrlo kritični sustavi, dobra opcija kada se igrate s postavkama vatrozida, mogu dodati oznaku –dry-run. To omogućuje da se vidi primjer promjena koje bi se dogodile, ali se ne obrađuju.

sudo ufw --dry-run enable

UFW Reset Firewall

Ako iz bilo kojeg razloga trebate resetirati svoj vatrozid u prvobitno stanje sa svim dolaznim blokiranim i odlaznim postavljenim na dopuštenje, upišite sljedeće za resetiranje.

sudo ufw reset

Potvrdite resetiranje, unesite sljedeće:

sudo ufw status

Izlaz bi trebao biti:

Status: inactive 

Uz resetiranje UFW vatrozida, možete ponovno konfigurirati svoja pravila i postavke prema početku našeg vodiča.


Oglas


Komentari i zaključak

Vodič vam je uspješno pokazao kako instalirati i konfigurirati UFW za Debian 10. Korištenje UFW-a se toplo preporučuje jer je to jednostavan sustav vatrozida za korištenje za Debian u usporedbi s drugim opcijama koje mogu biti previše zbunjujuće za nenadmašne korisnike. S obzirom na porast kibernetičkog kriminala i hakiranja, to je siguran brz način da zaštitite svoj sustav.

Ostavite komentar