Ki jan yo Enstalasyon ak Konfigirasyon UFW Firewall sou Debian 10 Buster

Youn nan kle yo nan nenpòt sistèm opere se yon firewall byen configuré pou sekirite sistèm konplè. Yon sistèm firewall popilè pou dbyan se yon pake ki rele UFW (Uncomplicated Firewall). UFW se popilè ak liy kòmand ki fasil pou itilize ak fasil pou itilize li yo, ki fè li bon pou débutan nan Linux ak itilizatè ki pi avanse yo.

Gid sa a pral montre w kouman enstale ak mete kanpe yon firewall UFW pou Debian 10 ki gen non kod Buster.

Kondisyon UFW

Ou pral bezwen aksè nan swa rasin oswa yon itilizatè ki gen privilèj sudo pou sistèm Debian yo enstale/konfigure firewall UFW la. Nan gid nou an, nou pral sèvi ak rasin nan konfigirasyon UFW.

Antre nan tèminal rasin lan ak lòd sa a. Remake byen ou pral bezwen antre modpas rasin lan:

su

reklam


UFW Enstale

Premye etap la se enstale UFW pou Debian 10. Nou pral premye asire w ke sistèm nou an se ajou epi enstale li.

sudo apt update && sudo apt upgrade \
 sudo apt install ufw

Tcheke Estati UFW

Apre ou fin enstale firewall UFW la, tcheke estati a ak lòd sa a.

sudo ufw status verbose

Li ta pi bon si ou jwenn pwodiksyon sa a:

Status:Inactive

reklam


Pèmèt UFW

Ou te jwenn apre enstalasyon an ke li gen siksè; sepandan, firewall la inaktif. Ou ka pèmèt li pa sa ki annapre yo.

sudo ufw enable

Yon fwa aktive, ou ta dwe wè yon nouvo estati si ou re-tape kòmandman an detay.

ki jan yo enstale ak konfigirasyon ufw firewall sou Debian 10 buster

Si nan lavni ou bezwen enfim li pou kèlkeswa rezon, ou ka fè sa ak lòd sa a.

sudo ufw disable

Règleman Default UFW

Règleman default firewall UFW la se refize tout koneksyon k ap fèk ap rantre epi sèlman pèmèt koneksyon sortan nan sistèm nan. Tipikman fason ki pi an sekirite default ak pèsonn pa ka rive nan sèvè ou sof si ou pèmèt adrès IP / chenn, pwogram, pò oswa konbinezon de tout. Sistèm ou a, pa default, ka jwenn aksè deyò a, ki ou pa ta dwe ajiste sof si ou gen kondisyon sekirite espesifik.

Pou referans, règleman firewall UFW default yo ka jwenn nan kote a / elatriye / default / ufw dosye epi ou ka ajiste règ yo lè w tape lòd sa a:

sudo ufw default deny incoming && sudo ufw default allow outgoing

Sipoze ou ta renmen refize tout koneksyon fèk ap rantre ak sortan epi sèlman pèmèt adrès IP oswa chenn IP apwouve yo. Ou ka, pou egzanp, tape lòd sa a pou fè sa:

sudo ufw default deny incoming && sudo ufw default deny outgoing

Remake byen, sa a pa rekòmande sof si ou gen yon kondisyon ki trè an sekirite.


reklam


Pwofil aplikasyon UFW

Pou montre tout pwofil aplikasyon yo, ou ka fè sa lè w tape sa ki annapre yo.

sudo ufw app list

Lè sa a, ou pral wè yon pwodiksyon. Remake byen ke tout moun pral gen aplikasyon diferan, men li pral sanble ak pi ba a.

lis estati debian 10 ufw

Epitou, ou ka tape lòd sa a pou jwenn plis enfòmasyon sou yon pwofil ki egziste deja.

sudo ufw app info qBittorrent

Pwodiksyon an ta dwe sa ki annapre yo:

Profile: qBittorrent
 Title: qBittorrent
 Description: qBittorrent BitTorrent client
 Ports:
   6881/tcp

UFW IPv6 Pèmèt

Si sistèm Debian ou a konfigirasyon ak IPv6, ou bezwen asire w ke UFW konfigirasyon ak sipò IPv6 ak IPv4. Pa default, sa a ta dwe otomatikman aktive; sepandan, ou ta dwe tcheke epi, si sa nesesè, modifye li. Ou ka fè sa nan sa ki annapre yo.

Louvri dosye default UFW firewall:

sudo nano /etc/default/ufw

Ajiste liy sa a nan wi si li pa mete:

IPV6=yes

Kontwòl + O pou konsève pou, Lè sa a, Kontwòl + X pou sòti yon fwa fini. Si ou te chanje paramèt, rekòmanse firewall la.

sudo systemctl restart ufw

reklam


UFW pèmèt koneksyon SSH

Pa default, UFW pa pèmèt koneksyon SSH. Si ou deja pèmèt firewall la adistans, ou ta remake tèt ou fèmen deyò. Pou ranje sa a, ou bezwen mete konfigirasyon SSH sa a.

Premyèman, pèmèt pwofil aplikasyon SSH.

sudo ufw allow ssh

Si ou te mete kanpe yon pò koute koutim pou koneksyon SSH lòt pase pò a default 22, pò 3541, ou pral louvri pò a sou firewall UFW la lè w tape sa ki annapre yo.

sudo ufw allow 3541/tcp

Remake byen, si ou vle bloke tout koneksyon SSH oswa chanje pò a epi bloke ansyen yo. Tape kòmandman sa yo pou modifye règ la.

Bloke SSH an antye:

sudo ufw deny ssh/tcp

Bloke SSH pò koutim:

sudo ufw deny 3541/tcp 

UFW pèmèt pò

Avèk UFW, ou ka louvri pò espesifik nan firewall la pou pèmèt koneksyon espesifye pou yon aplikasyon an patikilye. Yon egzanp ekselan nan règ sa a se mete kanpe yon sèvè entènèt ki koute sou pò 80 (HTTP) ak 443 HTTPS) pa default. Ou ka mete règ Customized pou aplikasyon an.

Pèmèt HTTP Port 80

Pèmèt pa pwofil aplikasyon an:

sudo ufw allow 'Apache'

Pèmèt pa non sèvis:

sudo ufw allow http

Pèmèt pa nimewo pò:

sudo ufw allow 80/tcp

Pèmèt HTTPS Port 443

Pèmèt pa pwofil aplikasyon an:

sudo ufw allow 'Apache Secure'

Pèmèt pa non sèvis:

sudo ufw allow https

Pèmèt pa nimewo pò:

sudo ufw allow 443/tcp

Remake byen, ou ka pèmèt tout règ yo ansanm pa default lè w sèvi ak lòd sa a.

sudo ufw allow 'Apache Full'

reklam


UFW Pèmèt Port Ranges

UFW ka pèmèt aksè nan ranje pò. Remake byen, lè w ap louvri yon seri pò, ou dwe idantifye pwotokòl pò a.

Pèmèt seri pò ak TCP & UDP:

sudo ufw allow 6500:6800/tcp && sudo ufw allow 6500:6800/udp

UFW Pèmèt adrès IP espesifik

Pou pèmèt pou adrès IP espesifye, pou egzanp, ou se sou yon rezo entèn. Ou vle pèmèt sistèm espesifik yo kominike ansanm Anthrax/sortant, ak Lè sa a, ou ka presize pèmèt ak lòd sa a.

Egzanp IP Entèn, 192.168.55.X:

sudo ufw allow from 192.168.55.131

reklam


UFW pèmèt espesifik adrès IP sou pò espesifik

Pou pèmèt yon IP konekte ak sistèm ou a sou yon pò defini (egzanp pò "3900"), tape sa ki annapre yo.

sudo ufw allow from 192.168.55.131 to any port 3900

UFW pèmèt sous-rezo rezo

Pèmèt Koneksyon Subnet nan yon Pò Espesifye

Si ou bezwen yon seri antye de koneksyon soti nan yon subnet ranje IP nan yon pò patikilye, ou ka pèmèt sa a lè w kreye règ sa a.

sudo ufw allow from 192.168.1.0/24 to any port 3900

Sa a pral pèmèt tout adrès IP soti nan 192.168.1.1 rive nan 192.168.1.254 konekte ak pò 3900.

Pèmèt espesifik rezo entèfas

Pou egzanp, pèmèt koneksyon nan yon koòdone rezo patikilye, "eth2" nan yon pò espesifye 3900. Ou ka reyalize sa a lè w kreye règ sa a.

sudo ufw allow in on eth2 to any port 3900

reklam


UFW refize koneksyon

Dapre règleman konfigirasyon default UFW, lè enstale, tout koneksyon k ap fèk ap rantre yo mete nan "refize". Sa a rejte tout trafik k ap rantre sof si ou kreye yon règ pou pèmèt koneksyon yo rive.

Sepandan, ou remake nan mòso bwa ou yo yon adrès IP patikilye ki kontinye atake ou. Bloke li ak sa ki annapre yo.

sudo ufw deny from 203.13.56.121

Yon pirate ap itilize plizyè adrès IP ki soti nan menm subnet la ap eseye pirate w. Kreye sa ki annapre yo pou bloke.

sudo ufw deny from 203.13.56.121/24

Ou ka kreye règ espesifik si ou vle refize aksè nan pò patikilye. Tape egzanp sa a.

sudo ufw deny from 203.13.56.121/24 to any port 80 \
 sudo ufw deny from 203.13.56.121/24 to any port 443

UFW Efase Règ

Ou te kreye epi refize règ, men ou bezwen efase kèk règ paske ou pa bezwen yo ankò. Sa a ka reyalize nan de fason diferan.

Premyèman, pou efase yon règ UFW lè l sèvi avèk nimewo règ la, ou bezwen lis nimewo règ yo lè w tape sa ki annapre yo.

sudo ufw status numbered

Egzanp pwodiksyon:

Status: active
  To                         Action      From  --                         ------      ----
 [ 1] Anywhere                   DENY IN    203.13.56.121
 [ 2] Anywhere                   DENY IN    205.15.100.3
 [ 3] 23/tcp                     ALLOW IN   Anywhere

Ou vle efase premye règ pou adrès IP 203.13.56.121, tape sa ki annapre yo.

sudo ufw delete 1

Dezyèmman, ou ka efase yon règ UFW lè w itilize règ aktyèl la tèt li.

sudo ufw delete allow 23/tcp

reklam


Règ UFW Dry Run

Sistèm ki trè kritik, yon bon opsyon lè w ap jwe ak paramèt pare-feu, ka ajoute drapo -dry-run la. Sa a pèmèt wè yon egzanp chanjman ki ta rive men li pa trete li.

sudo ufw --dry-run enable

UFW Reyajiste firewall

Si, pou nenpòt rezon, ou bezwen Reyajiste pare-feu ou tounen nan eta orijinal li ak tout fèk ap rantre bloke ak sòtan mete yo pèmèt, tape sa ki annapre yo Reyajiste.

sudo ufw reset

Konfime reset, antre sa ki annapre yo:

sudo ufw status

Pwodiksyon an ta dwe:

Status: inactive 

Avèk reset pare-feu UFW, ou ka rkonfigure règ ou yo ak paramèt yo dapre kòmansman gid nou an.


reklam


Kòmantè ak konklizyon

Gid la montre w kouman pou w enstale ak konfigirasyon UFW pou Debian 10. Sèvi ak UFW trè rekòmande paske li se yon sistèm firewall senp pou itilize pou Debian konpare ak lòt opsyon ki ka twò konfizyon pou itilizatè ki pa gen pouvwa. Etandone ogmantasyon sibèrkrim ak piratage, li se yon fason rapid asire w pou pwoteje sistèm ou an.

Ban-m pran abònman
Notifye nan
0 kòmantè
Aliye komantè
Wè tout kòmantè
0
Ta renmen panse ou, tanpri fè kòmantè.x