Kako postaviti i konfigurirati UFW vatrozid na Ubuntu 20.04

Jedan od ključnih kamena svakog operativnog sustava je pravilno konfiguriran vatrozid za potpunu sigurnost sustava. UFW (Nekomplicirani vatrozid) je instaliran na Ubuntu operativnim sustavima prema zadanim postavkama; međutim, nije omogućeno. Jedna od velikih prednosti UFW-a je njegova jednostavnost, naredbeni redak i jednostavan za korištenje, što ga čini izvrsnim za početnike u Linuxu do najnaprednijih naprednih korisnika.

U sljedećem vodiču naučit ćete instalirati i postaviti UFW vatrozid na Ubuntu 20.04 LTS Focal Fossa Desktop ili poslužitelj pomoću naredbenog terminala.

Preduvjeti

  • Preporučeni OS: Ubuntu 20.04
  • Korisnički račun: Korisnički račun sa sudo or root pristup.

Ažurirajte operativni sustav

Ažurirajte svoj Ubuntu operativni sustav kako biste bili sigurni da su svi postojeći paketi ažurirani:

sudo apt update && sudo apt upgrade -y

Tutorial će koristiti sudo naredba i pod pretpostavkom da imate sudo status.

Za provjeru sudo statusa na svom računu:

sudo whoami

Primjer izlaza koji prikazuje sudo status:

[joshua@ubuntu ~]$ sudo whoami
root

Da biste postavili postojeći ili novi sudo račun, posjetite naš vodič na Kako dodati korisnika u Sudoers na Ubuntu.

Za korištenje root račun, upotrijebite sljedeću naredbu s root lozinkom za prijavu.

su

Oglas


Kako omogućiti, instalirati ili ukloniti UFW

Prvi korak u postavljanju UFW vatrozida bit će omogućavanje vatrozida.

sudo ufw enable

Primjer rezultata:

Firewall is active and enabled on system startup

Prema zadanim postavkama, sav dolazni promet je automatski blokiran, a sav odlazni je dopušten nakon što je vatrozid aktivan. To će odmah zaštititi vaš sustav zaustavljanjem bilo koga da se daljinski poveže s vašim sustavom.

Ako je UFW prethodno uklonjen, a želite ponovno instalirati vatrozid pomoću sljedeće naredbe.

sudo apt install ufw -y

Zatim provjerite status UFW-a kako biste bili sigurni da je aktivan i bez pogrešaka.

sudo systemctl status ufw

Primjer rezultata:

Kako postaviti i konfigurirati UFW vatrozid na Ubuntu 20.04

U budućnosti, ako trebate onemogućiti UFW na privremeno vrijeme, upotrijebite sljedeću naredbu.

sudo ufw disable

Da biste u potpunosti uklonili UFW iz vašeg Ubuntu sustava.

sudo apt autoremove ufw --purge

Nemojte uklanjati UFW osim ako nemate solidnu opciju ili ne znate kako koristiti IPTables, osobito kada se izvodi poslužiteljsko okruženje povezano s javnošću. Ovo će biti katastrofalno.

Kako provjeriti UFW status

Nakon što je UFW omogućen, pogledajte status pravila vatrozida i ono što je aktivno koristite sljedeće.

sudo ufw status verbose

Primjer rezultata:

Kako postaviti i konfigurirati UFW vatrozid na Ubuntu 20.04

Gornji primjer koristio je opširnu zastavicu, a alternativna opcija je popis pravila u brojčanom nizu, što je mnogo lakše upravljati kasnije prilikom brisanja pravila.

sudo ufw status numbered

Primjer rezultata:

Kako postaviti i konfigurirati UFW vatrozid na Ubuntu 20.04

Sad jesi [1], [2] brojčane oznake na vašim UFW pravilima za identifikaciju kako ih ima gornji izlaz.


Oglas


Kako postaviti UFW zadane politike

Zadana je politika UFW vatrozida odbijati sve dolazne veze i dopuštati samo odlazne veze na sustav. Obično je najsigurniji zadani način s kojim nitko ne može doći do vašeg poslužitelja osim ako ne dopustite IP adresu/raspone, programe, portove ili kombinacije svega. Vaš sustav prema zadanim postavkama može pristupiti vani, što ne biste trebali prilagođavati osim ako nemate posebne sigurnosne zahtjeve.

Za referencu, zadana pravila UFW vatrozida mogu se pronaći na lokaciji / etc / default / ufw.

Da biste prilagodili pravila upisivanjem sljedeće naredbe:

Za odbijanje svih dolaznih veza:

sudo ufw default deny incoming

Da biste omogućili sve odlazne veze:

sudo ufw default allow outgoing

Ovo je već postavljeno kao zadana pravila kada je omogućeno, ali možete koristiti isti princip da biste ih promijenili tako da odgovaraju vašoj svrsi.

Na primjer, sva dolazna komunikacija je blokirana prema zadanim postavkama, ali želite blokirati sve odlazne i dopustiti samo odobrene odlazne veze, a zatim upotrijebite sljedeću naredbu.

Za blokiranje svih odlaznih veza:

sudo ufw default deny outgoing

Ovo je ekstremna mjera; blokiranje dolaznih veza obično je dovoljno za prosječan poslužitelj i desktop, ali posebna okruženja mogu imati koristi od dodatne sigurnosne mjere. Nedostatak je što morate uključiti sve odlazne veze, što može biti dugotrajno, neprestano postavljajući nova pravila.

Kako vidjeti profile UFW aplikacije

Da biste prikazali sve profile aplikacije, to možete učiniti tako da upišete sljedeće.

sudo ufw app list

Primjer rezultata:

Kako postaviti i konfigurirati UFW vatrozid na Ubuntu 20.04

Gore navedeno je samo primjer, a svi će imati različite popise jer nitko neće imati instalirane iste aplikacije.

Zgodna značajka profila aplikacija je saznanje više o usluzi koja je navedena na UFW popisu aplikacija.

Da biste to učinili, upišite sljedeću naredbu da biste pronašli više informacija o postojećem profilu.

sudo ufw app info CUPS

Primjer rezultata:

Kako postaviti i konfigurirati UFW vatrozid na Ubuntu 20.04

Kao gore, ispis općeg opisa aplikacije i porta koji koristi. Ovo je zgodna značajka kada istražujete otvorene portove i niste sigurni na koje se aplikacije odnose i što aplikacija radi.


Oglas


Kako omogućiti IPv6 na UFW

Ako je vaš Ubuntu sustav konfiguriran s IPv6, morate osigurati da je UFW konfiguriran s podrškom za IPv6 i IPv4. Prema zadanim postavkama, ovo bi trebalo biti automatski omogućeno; međutim, trebali biste ga provjeriti i, ako je potrebno, izmijeniti. To možete učiniti u nastavku.

Otvorite zadanu UFW datoteku vatrozida.

sudo nano /etc/default/ufw

Podesite sljedeći redak na da ako nije postavljeno.

IPV6=yes

CTRL + O za spremanje novih promjena u datoteci, a zatim pritisnite CTRL + X za izlaz iz datoteke.

Sada ponovno pokrenite UFW firewall uslugu kako bi promjene bile aktivne.

sudo systemctl restart ufw

Kako dopustiti UFW SSH veze

Prema zadanim postavkama, UFW ne dopušta SSH veze. Da ste već daljinski omogućili vatrozid, primijetili biste da ste zaključani.

Da biste to popravili, morate postaviti sljedeću SSH konfiguraciju prije nego što omogućite UFW vatrozid, osobito ako ste povezani s udaljenim poslužiteljem.

Prvo omogućite SSH profil aplikacije.

sudo ufw allow ssh

Ako ste postavili prilagođeni port za slušanje za SSH veze osim zadanog porta 22, na primjer, port 3541, otvorit ćete port na UFW vatrozidu upisivanjem sljedećeg.

sudo ufw allow 3541/tcp

Ako želite blokirati sve SSH veze ili promijeniti port i blokirati stare.

Za blokiranje svih SSH veza (Provjerite je li moguć lokalni pristup), koristite sljedeću naredbu.

sudo ufw deny ssh/tcp

Ako mijenjate prilagođeni SSH port, otvorite novi port i zatvorite postojeći; primjer vodiča je port 3541.

sudo ufw deny 3541/tcp 

Oglas


Kako omogućiti UFW portove

Uz UFW, možete otvoriti određene portove u vatrozidu kako biste dopustili veze određene za određenu aplikaciju. Možete postaviti prilagođena pravila za aplikaciju. Izvrstan primjer ovog pravila je postavljanje web poslužitelja koji sluša port 80 (HTTP) i 443 (HTTPS) prema zadanim postavkama.

Dopusti HTTP port 80

Dopusti prema profilu aplikacije:

sudo ufw allow 'Nginx HTTP'

Dopusti po nazivu usluge:

sudo ufw allow http

Dopusti prema broju porta:

sudo ufw allow 80/tcp

Dopusti HTTPS port 443

Dopusti prema profilu aplikacije:

sudo ufw allow 'Nginx HTTPS'

Dopusti po nazivu usluge:

sudo ufw allow https

Dopusti prema broju porta:

sudo ufw allow 443/tcp

Napomena, možete omogućiti sva pravila zajedno prema zadanim postavkama pomoću sljedeće naredbe.

sudo ufw allow 'Nginx Full'

UFW Dopusti raspon portova

UFW može dopustiti pristup rasponima portova. Napomena, kada otvarate raspon portova, morate identificirati protokol porta.

Dopusti raspon portova s ​​TCP i UDP:

sudo ufw allow 6500:6800/tcp
sudo ufw allow 6500:6800/udp

Alternativno, možete dopustiti više portova u jednom učitavanju, ali dopuštanje raspona može biti pristupačnije kao gore.

sudo ufw allow 6500, 6501, 6505, 6509/tcp
sudo ufw allow 6500, 6501, 6505, 6509/udp

Kako dopustiti udaljene veze na UFW

UFW Dopusti određenu IP adresu

Na primjer, da biste omogućili određene IP adrese, nalazite se na internoj mreži i zahtijevate da sustavi komuniciraju zajedno, upotrijebite sljedeću naredbu.

sudo ufw allow from 192.168.55.131

UFW Dopusti određenu IP adresu na određenom portu

Da biste omogućili IP povezivanje s vašim sustavom na definiranom portu (primjer porta “3900”), upišite sljedeće.

sudo ufw allow from 192.168.55.131 to any port 3900

Dopustite podmrežne veze na određeni priključak

Ako vam je potreban cijeli niz veza od podmreže IP raspona do određenog porta, možete to omogućiti stvaranjem sljedećeg pravila.

sudo ufw allow from 192.168.1.0/24 to any port 3900

To će omogućiti svim IP adresama od 192.168.1.1 do 192.168.1.254 da se povežu na port 3900.

Dopusti specifično mrežno sučelje

Na primjer, dopustite veze na određeno mrežno sučelje, “eth2” na određeni port 3900. To možete postići stvaranjem sljedećeg pravila.

sudo ufw allow in on eth2 to any port 3900

Oglas


Kako zabraniti udaljene veze na UFW-u

Prema zadanoj politici postavljanja UFW-a, kada je instaliran, sve dolazne veze su postavljene na "zanijekati." Time se odbija sav dolazni promet osim ako ne stvorite pravilo koje dopušta prolazak veza.

Međutim, primijetili ste u svojim zapisnicima određenu IP adresu koja vas stalno napada. Blokirajte ga sljedećim.

sudo ufw deny from 203.13.56.121

Haker koristi više IP adresa iz iste podmreže pokušavajući vas hakirati. Napravite sljedeće za blokiranje.

sudo ufw deny from 203.13.56.121/24

Možete stvoriti određena pravila ako želite zabraniti pristup određenim portovima. Upišite sljedeći primjer.

sudo ufw deny from 203.13.56.121/24 to any port 80
sudo ufw deny from 203.13.56.121/24 to any port 443

Kako izbrisati UFW pravila

Stvorili ste i odbili pravila, ali ih trebate izbrisati jer vam više nisu potrebna. To se može postići na dva različita načina.

Prvo, da biste izbrisali UFW pravilo pomoću broja pravila, morate navesti brojeve pravila upisivanjem sljedećeg.

sudo ufw status numbered

Primjer rezultata:

Kako postaviti i konfigurirati UFW vatrozid na Ubuntu 20.04

Primjer će izbrisati četvrto pravilo za IP adresu 1.1.1.1 koje je istaknuto iznad.

Upišite sljedeće u svoj terminal.

sudo ufw delete 1

Drugo, možete izbrisati UFW pravilo korištenjem samog pravila.

sudo ufw delete allow 80/tcp

Kada se pravila izbrišu i budu uspješna, dobit ćete sljedeći izlaz.

Rule deleted
Rule deleted (v6)

Oglas


Kako pristupiti i pregledati UFW zapisnike

Prema zadanim postavkama, UFW zapisivanje je postavljeno na nisko. To je u redu za većinu desktop sustava. Međutim, poslužitelji mogu zahtijevati višu razinu zapisivanja.

Za postavljanje UFW zapisivanja na nisko (zadano):

sudo ufw logging low

Za postavljanje UFW zapisivanja na srednje:

sudo ufw logging medium

Za postavljanje UFW zapisivanja na visoko:

sudo ufw logging high

Posljednja opcija je potpuno onemogućiti bilježenje, budite sigurni da ste zadovoljni s tim i da nećete zahtijevati provjeru dnevnika.

sudo ufw logging off

Za pregled UFW zapisnika, oni se čuvaju na zadanom mjestu /var/log/ufw.log.

Jednostavan, brz način za pregled živih dnevnika je korištenje naredbe tail.

sudo ufw tail -f /var/log/ufw.log

Alternativno, možete ispisati određenu količinu nedavnih redaka pomoću -n.

sudo ufw tail /var/log/ufw.log -n 30

Ovo će ispisati zadnjih 30 redaka dnevnika. Možete dodatno fino podesiti pomoću GREP-a i drugih naredbi za razvrstavanje.

Kako testirati UFW pravila

Vrlo kritični sustavi, dobra opcija kada se igrate s postavkama vatrozida, mogu dodati – zastava na suhom. To omogućuje da se vidi primjer promjena koje bi se dogodile, ali se ne obrađuju.

sudo ufw --dry-run enable

Da biste onemogućili – zastava na suhom, koristite sljedeću naredbu.

sudo ufw --dry-run disable

Oglas


Kako resetirati UFW pravila

Da biste vratili svoj vatrozid u prvobitno stanje sa svim dolaznim blokiranim i odlaznim postavljenim na dopuštenje, upišite sljedeće za resetiranje.

sudo ufw reset

Potvrdite resetiranje, unesite sljedeće:

sudo ufw status

Izlaz bi trebao biti:

Status: inactive 

Uz resetiranje UFW vatrozida, sada ćete morati ponovno omogućiti vatrozid i pokrenuti cijeli proces dodavanja pravila. Naredbu za resetiranje treba koristiti štedljivo ako je moguće.

Kako pronaći sve otvorene portove (sigurnosna provjera)

Većina sustava ne shvaća da mogu imati otvorene portove. U doba kada se svaka IP adresa na internetu svakodnevno skenira, ključno je pratiti što se događa iza kulisa.

Najbolja opcija je instalirati Nmap, a zatim pomoću ove poznate aplikacije popisati otvorene portove.

sudo apt install nmap

Zatim pronađite internu IP adresu sustava.

hostname -I

Primjer rezultata:

192.168.50.45

Sada koristite sljedeću Nmap naredbu s IP adresom poslužitelja.

sudo nmap 192.168.50.45

Primjer rezultata:

Kako postaviti i konfigurirati UFW vatrozid na Ubuntu 20.04

Kao što je gore navedeno, port 9090 i 80 su otvoreni. Prije nego što blokirate portove, prvo istražite koji su oni ako niste sigurni.

Od ove točke možete stvoriti prilagođena UFW pravila koja ste naučili u vodiču za zatvaranje ili ograničavanje otvorenih portova.


Oglas


Komentari i zaključak

Vodič vam je uspješno pokazao kako postaviti i konfigurirati UFW za desktop ili poslužitelj na Ubuntu 20.04 LTS Focal Fossa.

Općenito, korištenje UFW-a se jako preporučuje jer je to jednostavan sustav vatrozida za korištenje u usporedbi s drugim opcijama koje mogu biti previše zbunjujuće za nenamične korisnike. S obzirom na porast kibernetičkog kriminala i hakiranja, to je siguran brz način da zaštitite svoj sustav.

Jedno područje koje će UFW-u početi nedostajati su glavni skupovi pravila i crne liste IP-a, gdje možete imati stotine tisuća, ako ne i milijune blokiranih IP-ova. Druge alternative mogu biti potrebne, ali to neće utjecati na većinu korisnika jer ti poslužitelji obično imaju spremnu dobru opciju.

1 misao o “Kako postaviti i konfigurirati UFW vatrozid na Ubuntu 20.04”

  1. ufw je zastario i može koristiti samo iptrables sučelje. Sva kul djeca sada koriste firewalld, koji se također povezuje s nftablesima koji zamjenjuju iptables.

    odgovor

Ostavite komentar