Ki jan yo Enstalasyon ak Konfigirasyon UFW Firewall sou Ubuntu 20.04

Youn nan kle yo nan nenpòt sistèm opere se yon firewall byen configuré pou sekirite sistèm konplè. UFW (Uncomplicated Firewall) enstale sou default sistèm operasyon Ubuntu; sepandan, li pa pèmèt. Youn nan gwo benefis UFW se senplisite li yo, fasil pou itilize ak fasil-a-itilize liy lòd, ki fè li gwo pou débutan nan Linux ak itilizatè ki pi avanse yo.

Nan leson patikilye sa a, ou pral aprann enstale ak mete kanpe UFW Firewall sou swa Ubuntu 20.04 LTS Focal Fossa Desktop oswa sèvè lè l sèvi avèk tèminal la lòd.

Kondisyon

  • OS rekòmande: Ubentu 20.04
  • Kont itilizatè: Yon kont itilizatè ak sudo or aksè rasin.

Mizajou sistèm operasyon

Mete ajou ou Ubentu sistèm operasyon pou asire tout pakè ki egziste deja yo ajou:

sudo apt update && sudo apt upgrade -y

Tutorial la pral sèvi ak la sudo kòmand ak sipoze ou gen estati sudo.

Pou verifye estati sudo sou kont ou:

sudo whoami

Egzanp pwodiksyon ki montre estati sudo:

[joshua@ubuntu ~]$ sudo whoami
root

Pou mete kanpe yon kont sudo ki deja egziste oswa nouvo, vizite leson patikilye nou an sou Ki jan yo ajoute yon itilizatè nan Sudoers sou Ubuntu.

Pou itilize kont rasin, sèvi ak lòd sa a ak modpas rasin lan pou konekte.

su

reklam


Ki jan yo pèmèt, enstale oswa retire UFW

Premye etap la nan mete kanpe yon firewall UFW pral pèmèt firewall la.

sudo ufw enable

Egzanp pwodiksyon:

Firewall is active and enabled on system startup

Pa default, tout trafik fèk ap rantre yo bloke otomatikman, epi tout soti yo pèmèt yon fwa firewall la ap viv. Sa a imedyatman pral pwoteje sistèm ou a pa sispann nenpòt moun ki soti nan konekte adistans nan sistèm ou a.

Si UFW te retire deja, epi ou ta renmen réinstaller firewall la lè l sèvi avèk lòd sa a.

sudo apt install ufw -y

Apre sa, verifye estati UFW pou asire w li aktif epi san erè.

sudo systemctl status ufw

Egzanp pwodiksyon:

Ki jan yo Enstalasyon ak Konfigirasyon UFW Firewall sou Ubuntu 20.04

Nan lavni an, si ou bezwen enfim UFW pou yon peryòd tan tanporè, sèvi ak lòd sa a.

sudo ufw disable

Pou retire UFW tout ansanm nan sistèm Ubuntu ou a.

sudo apt autoremove ufw --purge

Pa retire UFW sof si ou gen yon opsyon solid oswa konnen ki jan yo sèvi ak IPTables, espesyalman lè w ap kouri yon anviwònman sèvè ki konekte ak piblik la. Sa a pral yon dezas.

Ki jan yo tcheke estati UFW

Yon fwa UFW aktive, wè estati règ firewall ak sa ki aktif sèvi ak sa ki annapre yo.

sudo ufw status verbose

Egzanp pwodiksyon:

Ki jan yo Enstalasyon ak Konfigirasyon UFW Firewall sou Ubuntu 20.04

Egzanp ki anwo a te itilize drapo pwolib la, ak yon opsyon altènatif se lis règ yo nan sekans nimewo, ki se pi fasil jere pita lè w ap efase règ yo.

sudo ufw status numbered

Egzanp pwodiksyon:

Ki jan yo Enstalasyon ak Konfigirasyon UFW Firewall sou Ubuntu 20.04

Ou genyen kounye a [1], [2] etikèt nimewo sou règ UFW ou pou idantifikasyon kòm pwodiksyon ki anwo a genyen li.


reklam


Ki jan yo mete Règleman Default UFW

Règleman default firewall UFW la se refize tout koneksyon k ap fèk ap rantre epi sèlman pèmèt koneksyon sortan nan sistèm nan. Tipikman fason ki pi an sekirite default ak pèsonn pa ka rive nan sèvè ou sof si ou pèmèt adrès IP / chenn, pwogram, pò, oswa konbinezon de tout. Sistèm ou a, pa default, ka jwenn aksè deyò a, ki ou pa ta dwe ajiste sof si ou gen kondisyon sekirite espesifik.

Pou referans, règleman firewall UFW default yo ka jwenn nan kote a / elatriye / default / ufw.

Pou ajiste règ yo pa tape lòd sa a:

Pou refize tout koneksyon k ap rantre:

sudo ufw default deny incoming

Pou pèmèt tout koneksyon sortan:

sudo ufw default allow outgoing

Sa a deja fikse kòm règ yo default lè li aktive, men ou ka itilize menm prensip la pou chanje yo nan adapte objektif ou.

Pa egzanp, tout kominikasyon k ap fèk ap rantre yo bloke pa default, men ou vle tout moun ki sòti bloke epi pèmèt sèlman koneksyon ki apwouve yo ki soti, Lè sa a, sèvi ak lòd sa a.

Pou bloke tout koneksyon sortan yo:

sudo ufw default deny outgoing

Sa a se yon mezi ekstrèm; bloke koneksyon fèk ap rantre yo anjeneral ase pou sèvè an mwayèn ak Desktop, men anviwònman espesifik ka benefisye de prekosyon sekirite siplemantè a. Dezavantaj la se ou bezwen prensipal tout koneksyon sortan, ki ka pran tan, toujou ap fikse nouvo règ.

Ki jan yo wè pwofil aplikasyon UFW yo

Pou montre tout pwofil aplikasyon yo, ou ka fè sa lè w tape sa ki annapre yo.

sudo ufw app list

Egzanp pwodiksyon:

Ki jan yo Enstalasyon ak Konfigirasyon UFW Firewall sou Ubuntu 20.04

Pi wo a se jis yon egzanp, ak tout moun pral gen lis diferan kòm pèsonn pa pral gen aplikasyon yo menm enstale.

Yon karakteristik pratik nan pwofil aplikasyon yo se jwenn plis enfòmasyon sou sèvis ki nan lis aplikasyon UFW la.

Pou fè sa, tape lòd sa a pou jwenn plis enfòmasyon sou yon pwofil ki egziste deja.

sudo ufw app info CUPS

Egzanp pwodiksyon:

Ki jan yo Enstalasyon ak Konfigirasyon UFW Firewall sou Ubuntu 20.04

Menm jan pi wo a, enprime deskripsyon jeneral aplikasyon an ak pò li itilize a. Sa a se yon karakteristik sou la men lè w ap mennen ankèt sou pò louvri epi yo pa sèten ki aplikasyon yo gen rapò ak sa aplikasyon an fè.


reklam


Ki jan yo aktive IPv6 sou UFW

Si sistèm Ubuntu ou a konfigirasyon ak IPv6, ou bezwen asire UFW konfigirasyon ak sipò IPv6 ak IPv4. Pa default, sa a ta dwe otomatikman aktive; sepandan, ou ta dwe tcheke epi, si sa nesesè, modifye li. Ou ka fè sa nan sa ki annapre yo.

Louvri dosye default UFW firewall.

sudo nano /etc/default/ufw

Ajiste liy sa a nan wi si li pa mete.

IPV6=yes

CTRL + O pou konsève pou nouvo chanjman yo nan dosye a, epi peze Ctrl + X pou sòti nan fichye a.

Koulye a, rekòmanse sèvis pare-feu UFW pou fè chanjman yo aktif.

sudo systemctl restart ufw

Ki jan yo pèmèt UFW SSH Koneksyon

Pa default, UFW pa pèmèt koneksyon SSH. Si ou te deja pèmèt firewall la adistans, ou ta remake tèt ou fèmen deyò.

Pou ranje sa a, ou bezwen mete konfigirasyon SSH sa a anvan ou pèmèt UFW firewall, sitou si konekte ak yon sèvè aleka.

Premyèman, pèmèt pwofil aplikasyon SSH.

sudo ufw allow ssh

Si ou te mete kanpe yon pò koute koutim pou koneksyon SSH lòt pase pò a default 22, pou egzanp, pò 3541, ou pral louvri pò a sou firewall UFW la lè w tape sa ki annapre yo.

sudo ufw allow 3541/tcp

Si ou vle bloke tout koneksyon SSH oswa chanje pò a epi bloke ansyen yo.

Pou bloke tout koneksyon SSH (Asire w ke aksè lokal posib), sèvi ak lòd sa a.

sudo ufw deny ssh/tcp

Si w ap chanje pò SSH koutim lan, louvri yon nouvo pò epi fèmen pò a ki deja egziste; egzanp leson patikilye se pò 3541.

sudo ufw deny 3541/tcp 

reklam


Ki jan yo pèmèt UFW Ports

Avèk UFW, ou ka louvri pò espesifik nan firewall la pou pèmèt koneksyon espesifye pou yon aplikasyon an patikilye. Ou ka mete règ Customized pou aplikasyon an. Yon egzanp ekselan nan règ sa a se mete kanpe yon sèvè entènèt ki koute sou pò 80 (HTTP) ak 443 (HTTPS) pa defo.

Pèmèt HTTP Port 80

Pèmèt pa pwofil aplikasyon an:

sudo ufw allow 'Nginx HTTP'

Pèmèt pa non sèvis:

sudo ufw allow http

Pèmèt pa nimewo pò:

sudo ufw allow 80/tcp

Pèmèt HTTPS Port 443

Pèmèt pa pwofil aplikasyon an:

sudo ufw allow 'Nginx HTTPS'

Pèmèt pa non sèvis:

sudo ufw allow https

Pèmèt pa nimewo pò:

sudo ufw allow 443/tcp

Remake byen, ou ka pèmèt tout règ yo ansanm pa default lè w sèvi ak lòd sa a.

sudo ufw allow 'Nginx Full'

UFW Pèmèt Port Ranges

UFW ka pèmèt aksè nan ranje pò. Remake byen, lè w ap louvri yon seri pò, ou dwe idantifye pwotokòl pò a.

Pèmèt seri pò ak TCP & UDP:

sudo ufw allow 6500:6800/tcp
sudo ufw allow 6500:6800/udp

Altènativman, ou ka pèmèt plizyè pò nan yon sèl frape, men pèmèt allant ka pi aksesib jan pi wo a.

sudo ufw allow 6500, 6501, 6505, 6509/tcp
sudo ufw allow 6500, 6501, 6505, 6509/udp

Ki jan yo pèmèt Koneksyon Remote sou UFW

UFW Pèmèt adrès IP espesifik

Pou egzanp, pou pèmèt pou adrès IP espesifye, ou sou yon rezo entèn epi mande pou sistèm yo kominike ansanm, sèvi ak lòd sa a.

sudo ufw allow from 192.168.55.131

UFW pèmèt espesifik adrès IP sou pò espesifik

Pou pèmèt yon IP konekte ak sistèm ou a sou yon pò defini (egzanp pò "3900"), tape sa ki annapre yo.

sudo ufw allow from 192.168.55.131 to any port 3900

Pèmèt Koneksyon Subnet nan yon Pò Espesifye

Si ou bezwen yon seri antye de koneksyon soti nan yon subnet ranje IP nan yon pò patikilye, ou ka pèmèt sa a lè w kreye règ sa a.

sudo ufw allow from 192.168.1.0/24 to any port 3900

Sa a pral pèmèt tout adrès IP soti nan 192.168.1.1 rive nan 192.168.1.254 konekte ak pò 3900.

Pèmèt espesifik rezo entèfas

Pou egzanp, pèmèt koneksyon nan yon koòdone rezo patikilye, "eth2" nan yon pò espesifye 3900. Ou ka reyalize sa a lè w kreye règ sa a.

sudo ufw allow in on eth2 to any port 3900

reklam


Ki jan yo refize Koneksyon Remote sou UFW

Dapre règleman konfigirasyon default UFW, lè enstale, tout koneksyon fèk ap rantre yo mete sou "refize." Sa a rejte tout trafik k ap rantre sof si ou kreye yon règ pou pèmèt koneksyon yo rive.

Sepandan, ou remake nan mòso bwa ou yo yon adrès IP patikilye ki kontinye atake ou. Bloke li ak sa ki annapre yo.

sudo ufw deny from 203.13.56.121

Yon pirate ap itilize plizyè adrès IP ki soti nan menm subnet la ap eseye pirate w. Kreye sa ki annapre yo pou bloke.

sudo ufw deny from 203.13.56.121/24

Ou ka kreye règ espesifik si ou vle refize aksè nan pò patikilye. Tape egzanp sa a.

sudo ufw deny from 203.13.56.121/24 to any port 80
sudo ufw deny from 203.13.56.121/24 to any port 443

Ki jan yo efase règ UFW yo

Ou te kreye epi refize règ, men ou bezwen efase yo paske ou pa bezwen yo ankò. Sa a ka reyalize nan de fason diferan.

Premyèman, pou efase yon règ UFW lè l sèvi avèk nimewo règ la, ou dwe lis nimewo règ yo lè w tape sa ki annapre yo.

sudo ufw status numbered

Egzanp pwodiksyon:

Ki jan yo Enstalasyon ak Konfigirasyon UFW Firewall sou Ubuntu 20.04

Egzanp lan pral efase katriyèm règ pou adrès IP 1.1.1.1 ki make pi wo a.

Tape sa ki annapre yo nan tèminal ou a.

sudo ufw delete 1

Dezyèmman, ou ka efase yon règ UFW lè w itilize règ aktyèl la tèt li.

sudo ufw delete allow 80/tcp

Lè règ yo efase ak siksè, ou pral jwenn pwodiksyon sa a.

Rule deleted
Rule deleted (v6)

reklam


Ki jan yo jwenn aksè ak Wè UFW Logs

Pa default, anrejistreman UFW yo mete sou ba. Sa a se bon pou pifò sistèm Desktop. Sepandan, serveurs ka mande pou yon pi wo nivo de journalisation.

Pou mete enregistrement UFW ba (Default):

sudo ufw logging low

Pou mete log UFW sou mwayen:

sudo ufw logging medium

Pou mete logging UFW a wo:

sudo ufw logging high

Opsyon ki sot pase a se enfim anrejistreman tout ansanm, asire w ke ou kontan ak sa a epi yo pa pral mande pou tcheke boutèy demi lit.

sudo ufw logging off

Pou wè mòso bwa UFW yo, yo kenbe yo nan kote defo a /var/log/ufw.log.

Yon fason fasil, rapid pou wè mòso bwa ap viv se sèvi ak lòd la ke.

sudo ufw tail -f /var/log/ufw.log

Altènativman, ou ka enprime soti yon kantite kantite liy ki sot pase ak la -n.

sudo ufw tail /var/log/ufw.log -n 30

Sa a pral enprime 30 dènye liy boutèy la. Ou ka amelyore plis ak GREP ak lòt kòmandman klasman.

Ki jan yo teste Règ UFW

Sistèm trè kritik, yon bon opsyon lè w ap jwe ak paramèt pare-feu, ka ajoute –drapo sèk-kouri. Sa a pèmèt wè yon egzanp chanjman ki ta rive men li pa trete li.

sudo ufw --dry-run enable

Enfim la –drapo sèk-kouri, sèvi ak lòd sa a.

sudo ufw --dry-run disable

reklam


Ki jan yo Reyajiste Règ UFW yo

Pou Reyajiste firewall ou tounen nan eta orijinal li ak tout fèk ap rantre bloke ak sòtan mete pou pèmèt, tape sa ki annapre yo retabli.

sudo ufw reset

Konfime reset, antre sa ki annapre yo:

sudo ufw status

Pwodiksyon an ta dwe:

Status: inactive 

Avèk reset firewall UFW la, ou pral bezwen kounye a re-aktive firewall la epi kòmanse tout pwosesis la pou ajoute règ. Kòmand reset la ta dwe itilize ti kras si sa posib.

Ki jan yo jwenn tout pò louvri (tcheke sekirite)

Pifò sistèm pa reyalize ke yo ka gen pò louvri. Nan laj la nan chak adrès IP sou entènèt la tcheke chak jou, li enpòtan yo gade sa k ap pase dèyè sèn nan.

Opsyon ki pi bon se enstale Nmap, Lè sa a, lè l sèvi avèk aplikasyon sa a pi popilè, lis pò yo louvri.

sudo apt install nmap

Apre sa, jwenn adrès IP entèn sistèm lan.

hostname -I

Egzanp pwodiksyon:

192.168.50.45

Koulye a, sèvi ak lòd Nmap sa a ak adrès IP sèvè a.

sudo nmap 192.168.50.45

Egzanp pwodiksyon:

Ki jan yo Enstalasyon ak Konfigirasyon UFW Firewall sou Ubuntu 20.04

Kòm pi wo a, pò a 9090 ak 80 yo louvri. Anvan ou bloke pò yo, envestige premye sa yo ye si ou pa sèten.

Soti nan pwen sa a, ou ka kreye règ UFW koutim ke ou te aprann nan leson patikilye a fèmen oswa mete restriksyon sou pò yo louvri.


reklam


Kòmantè ak konklizyon

Leson patikilye a te montre w kouman yo mete ak konfigirasyon UFW pou Desktop oswa sèvè sou Ubuntu 20.04 LTS Focal Fossa.

An jeneral, itilize UFW trè rekòmande paske li se yon sistèm firewall senp pou itilize konpare ak lòt opsyon ki ka twò konfizyon pou itilizatè ki pa gen pouvwa. Etandone ogmantasyon sibèrkrim ak piratage, li se yon fason rapid asire w pou pwoteje sistèm ou an.

Yon zòn nan UFW ap kòmanse manke se seri gwo règ ak lis nwa IP, kote ou ka gen dè santèn de milye si se pa dè milyon de IP bloke. Lòt altènativ yo ka bezwen, men sa a pa pral afekte pifò itilizatè yo kòm sèvè sa yo tipikman gen yon bon opsyon pare.

1 panse sou "Ki jan yo Enstalasyon ak Konfigirasyon UFW Firewall sou Ubuntu 20.04"

  1. ufw se demode epi li ka sèlman itilize koòdone iptrables la. Tout timoun yo fre itilize firewalld kounye a, ki tou koòdone ak nftables ki ranplase iptables.

    Reply

Leave a Comment