Hvernig á að setja upp og stilla UFW eldvegg á Debian 10 Buster

Einn af grunnstoðum hvers stýrikerfis er rétt stilltur eldveggur fyrir fullkomið kerfisöryggi. Vinsælt eldveggskerfi fyrir Debian er pakki sem heitir UFW (Uncomplicated Firewall). UFW er vinsælt með notendavænu og auðveldu í notkun skipanalínu, sem gerir það frábært fyrir byrjendur í Linux til fullkomnustu stórnotenda.

Eftirfarandi handbók mun sýna þér hvernig á að setja upp og setja upp UFW eldvegg fyrir Debian 10 með kóðanafninu Buster.

UFW Forkröfur

Þú þarft aðgang að annað hvort rót eða notanda með sudo réttindi fyrir Debian kerfi til að setja upp/stilla UFW eldvegginn. Í handbókinni okkar munum við nota rótina til að stilla UFW.

Sláðu inn rótarstöðina með eftirfarandi skipun. Athugaðu að þú þarft að slá inn rót lykilorðið:

su

Fáðu


UFW uppsetning

Fyrsta skrefið er að setja upp UFW fyrir Debian 10. Við munum fyrst ganga úr skugga um að kerfið okkar sé uppfært og síðan setja það upp.

sudo apt update && sudo apt upgrade \
 sudo apt install ufw

UFW stöðuathugun

Eftir að þú hefur sett upp UFW eldvegginn skaltu athuga stöðuna með eftirfarandi skipun.

sudo ufw status verbose

Best væri ef þú fengir eftirfarandi úttak:

Status:Inactive

Fáðu


UFW virkja

Þú hefur fundið eftir uppsetningu að hún heppnast; hins vegar er eldveggurinn óvirkur. Þú getur virkjað það með eftirfarandi.

sudo ufw enable

Þegar það er virkjað ættirðu að sjá nýja stöðu ef þú slærð inn margorða skipunina aftur.

hvernig á að setja upp og stilla ufw eldvegg á debian 10 Buster

Ef þú þarft að slökkva á því í framtíðinni af einhverjum ástæðum geturðu gert það með eftirfarandi skipun.

sudo ufw disable

Sjálfgefnar reglur UFW

Sjálfgefin stefna UFW eldveggsins er að hafna öllum komandi tengingum og leyfa aðeins útleiðtengingar við kerfið. Venjulega öruggasta sjálfgefna leiðin þar sem enginn getur náð í netþjóninn þinn nema þú leyfir IP tölu/svið, forrit, gáttir eða samsetningar af öllu. Kerfið þitt, sjálfgefið, hefur aðgang að utan, sem þú ættir ekki að stilla nema þú hafir sérstakar öryggiskröfur.

Til viðmiðunar má finna sjálfgefna UFW eldveggsreglur á staðnum / etc / default / ufw skrá og getur þú stillt reglurnar með því að slá inn eftirfarandi skipun:

sudo ufw default deny incoming && sudo ufw default allow outgoing

Segjum sem svo að þú viljir neita öllum komandi og útleiðendum tengingum og leyfa aðeins samþykktar IP tölur eða svið. Þú getur til dæmis slegið inn eftirfarandi skipun til að gera þetta:

sudo ufw default deny incoming && sudo ufw default deny outgoing

Athugaðu að þetta er ekki mælt með nema þú sért með mjög örugga kröfu.


Fáðu


UFW umsóknarsnið

Til að sýna öll forritasnið geturðu gert það með því að slá inn eftirfarandi.

sudo ufw app list

Þú munt þá sjá úttak. Athugaðu að allir munu hafa mismunandi forrit, en það mun líta svipað út og hér að neðan.

debian 10 ufw stöðulisti

Einnig geturðu slegið inn eftirfarandi skipun til að finna frekari upplýsingar um núverandi prófíl.

sudo ufw app info qBittorrent

Úttakið ætti að vera eftirfarandi:

Profile: qBittorrent
 Title: qBittorrent
 Description: qBittorrent BitTorrent client
 Ports:
   6881/tcp

UFW IPv6 virkja

Ef Debian kerfið þitt er stillt með IPv6 þarftu að ganga úr skugga um að UFW sé stillt með IPv6 og IPv4 stuðningi. Sjálfgefið ætti þetta að vera sjálfkrafa virkt; þú ættir þó að athuga og breyta því ef þörf krefur. Þú getur gert þetta í eftirfarandi.

Opnaðu sjálfgefna UFW eldveggsskrá:

sudo nano /etc/default/ufw

Stilltu eftirfarandi línu á já ef ekki stillt:

IPV6=yes

Control+O til að vista, síðan Control+X til að hætta þegar lokið er. Ef þú hefur breytt stillingum skaltu endurræsa eldvegginn.

sudo systemctl restart ufw

Fáðu


UFW leyfa SSH tengingar

Sjálfgefið leyfir UFW ekki SSH tengingar. Ef þú hefur nú þegar virkjað eldvegginn úr fjarlægð, hefðirðu tekið eftir því að þú værir útilokaður. Til að laga þetta þarftu að stilla eftirfarandi SSH stillingar.

Fyrst skaltu virkja SSH forritasnið.

sudo ufw allow ssh

Ef þú hefur sett upp sérsniðna hlustunartengi fyrir SSH tengingar önnur en sjálfgefna tengi 22, port 3541, muntu opna tengið á UFW eldveggnum með því að slá inn eftirfarandi.

sudo ufw allow 3541/tcp

Athugaðu, ef þú vilt loka á allar SSH tengingar eða breyta portinu og loka á þær gömlu. Sláðu inn eftirfarandi skipanir til að breyta reglusettinu.

Lokaðu SSH að fullu:

sudo ufw deny ssh/tcp

Lokaðu fyrir SSH sérsniðna höfn:

sudo ufw deny 3541/tcp 

UFW virkja höfn

Með UFW geturðu opnað tilteknar gáttir í eldveggnum til að leyfa tengingar sem tilgreindar eru fyrir tiltekið forrit. Frábært dæmi um þessa reglu er að setja upp vefþjón sem hlustar sjálfgefið á port 80 (HTTP) og 443 HTTPS. Þú getur stillt sérsniðnar reglur fyrir forritið.

Leyfa HTTP Port 80

Leyfa eftir forritasniði:

sudo ufw allow 'Apache'

Leyfa eftir þjónustuheiti:

sudo ufw allow http

Leyfa eftir gáttarnúmeri:

sudo ufw allow 80/tcp

Leyfa HTTPS Port 443

Leyfa eftir forritasniði:

sudo ufw allow 'Apache Secure'

Leyfa eftir þjónustuheiti:

sudo ufw allow https

Leyfa eftir gáttarnúmeri:

sudo ufw allow 443/tcp

Athugaðu, þú getur sjálfgefið virkjað allar reglurnar saman með því að nota eftirfarandi skipun.

sudo ufw allow 'Apache Full'

Fáðu


UFW leyfa hafnarsvæði

UFW getur leyft aðgang að hafnarsviðum. Athugið að þegar gáttarsvið er opnað verður þú að bera kennsl á gáttarsamskiptareglur.

Leyfa gáttarsvið með TCP og UDP:

sudo ufw allow 6500:6800/tcp && sudo ufw allow 6500:6800/udp

UFW leyfa sérstakt IP-tölu

Til að leyfa tilteknar IP tölur, til dæmis, ertu á innra neti. Þú vilt gera tilteknum kerfum kleift að hafa samskipti saman á heimleið/útleið, og þá geturðu tilgreint að leyfa með eftirfarandi skipun.

Dæmi um innri IP, 192.168.55.X:

sudo ufw allow from 192.168.55.131

Fáðu


UFW leyfa sérstakt IP-tölu á tiltekinni höfn

Til að gera IP kleift að tengjast kerfinu þínu á skilgreindri tengi (dæmi tengi "3900"), sláðu inn eftirfarandi.

sudo ufw allow from 192.168.55.131 to any port 3900

UFW leyfa net undirnet

Leyfa undirnetstengingar við tiltekið tengi

Ef þú þarfnast alls kyns tenginga frá IP-sviðs undirneti til tiltekins tengis geturðu virkjað þetta með því að búa til eftirfarandi reglu.

sudo ufw allow from 192.168.1.0/24 to any port 3900

Þetta mun leyfa öllum IP tölum frá 192.168.1.1 til 192.168.1.254 að tengjast tengi 3900.

Leyfa sérstakt netviðmót

Til dæmis, leyfa tengingar við tiltekið netviðmót, "eth2" við tiltekið tengi 3900. Þú getur náð þessu með því að búa til eftirfarandi reglu.

sudo ufw allow in on eth2 to any port 3900

Fáðu


UFW Neita tengingum

Samkvæmt sjálfgefna uppsetningarstefnu UFW, þegar uppsett er, eru allar komandi tengingar stilltar á „neita“. Þetta hafnar allri komandi umferð nema þú búir til reglu til að leyfa tengingum að komast í gegn.

Hins vegar hefur þú tekið eftir ákveðnu IP-tölu í skránni þinni sem heldur áfram að ráðast á þig. Lokaðu því með eftirfarandi.

sudo ufw deny from 203.13.56.121

Tölvusnápur notar margar IP tölur frá sama undirneti og reynir að hakka þig. Búðu til eftirfarandi til að loka.

sudo ufw deny from 203.13.56.121/24

Þú getur búið til sérstakar reglur ef þú vilt meina aðgang að tilteknum höfnum. Sláðu inn eftirfarandi dæmi.

sudo ufw deny from 203.13.56.121/24 to any port 80 \
 sudo ufw deny from 203.13.56.121/24 to any port 443

UFW eyða reglum

Þú hefur búið til og afneitað reglum, en þú þarft að eyða nokkrum reglum þar sem þú þarft þær ekki lengur. Þetta er hægt að ná á tvo mismunandi vegu.

Í fyrsta lagi, til að eyða UFW reglu með því að nota reglunúmerið, þarftu að skrá reglunúmerin með því að slá inn eftirfarandi.

sudo ufw status numbered

Dæmi um úttak:

Status: active
  To                         Action      From  --                         ------      ----
 [ 1] Anywhere                   DENY IN    203.13.56.121
 [ 2] Anywhere                   DENY IN    205.15.100.3
 [ 3] 23/tcp                     ALLOW IN   Anywhere

Þú vilt eyða fyrstu reglunni fyrir IP tölu 203.13.56.121, sláðu inn eftirfarandi.

sudo ufw delete 1

Í öðru lagi geturðu eytt UFW reglu með því að nota raunverulegu regluna sjálfa.

sudo ufw delete allow 23/tcp

Fáðu


UFW þurrhlaupsreglur

Mjög mikilvæg kerfi, góður kostur þegar leikið er með eldveggstillingarnar, geta bætt við –dry-run fánanum. Þetta gerir kleift að sjá dæmi um þær breytingar sem hefðu átt sér stað en ekki unnið úr þeim.

sudo ufw --dry-run enable

UFW endurstilla eldvegg

Ef, af einhverri ástæðu, þú þarft að endurstilla eldvegginn þinn aftur í upprunalegt horf með allar innkomur læstar og sendar til að leyfa, sláðu inn eftirfarandi til að endurstilla.

sudo ufw reset

Staðfestu endurstillingu, sláðu inn eftirfarandi:

sudo ufw status

Úttakið ætti að vera:

Status: inactive 

Með endurstillingu UFW eldveggsins geturðu endurstillt reglurnar þínar og stillingar eins og í upphafi handbókarinnar okkar.


Fáðu


Athugasemdir og niðurstaða

Handbókin hefur sýnt þér hvernig á að setja upp og stilla UFW fyrir Debian 10. Það er mjög mælt með því að nota UFW þar sem það er einfalt eldveggkerfi til að nota fyrir Debian samanborið við aðra valkosti sem gætu verið of ruglingslegir fyrir ekki stórnotendur. Miðað við aukningu netglæpa og tölvuþrjóta er það örugglega fljótleg leið til að vernda kerfið þitt.

Leyfi a Athugasemd