Инсталирање и подешавање УФВ-а у Убунту 20.04 ЛТС

УФВ, или Некомпликовани заштитни зид, је усер-фриендли интерфејс за Линук иптаблес. УФВ је написан на Питхон-у (подржава Питхон 3.5 и више) и тренутни је фактички услужни програм за управљање заштитним зидом у Убунту системима. Овај услужни програм врло је једноставан за употребу и делује као одличан заштитни зид заснован на хосту.

Овај чланак вам показује како инсталирати и користити УФВ на вашем Убунту 20.04 ЛТС систем.

Инсталација

УФВ долази унапред инсталиран на већини Убунту система. Ако у вашој верзији овај програм већ није инсталиран, можете га инсталирати помоћу управљача снап или апт пакета.$ судо снап инсталирај уфв

$ судо апт инсталл уфв

Ја лично више волим да користим менаџер пакета апт да бих то урадио, јер је снап мање популаран и не желим да имам ову додатну сложеност. У време писања овог текста, верзија објављена за УФВ је 0.36 за 20.04 релеасе.

Долазни вс. Одлазни саобраћај

Ако сте почетник у свету умрежавања, прво што треба да појасните је разлика између долазног и одлазног саобраћаја.

Када инсталирате исправке помоћу апт-гет, прегледавате Интернет или проверавате своју е-пошту, оно што радите је слање „одлазних“ захтева на сервере, као што су Убунту, Гоогле итд. Да бисте приступили овим услугама, није вам потребна ни јавна ИП адреса. Обично се за јавну широкопојасну везу додељује једна јавна ИП адреса и сваки уређај добија своју приватну ИП адресу. Усмеривач затим обрађује саобраћај користећи нешто што је познато као НАТ или Превођење мрежне адресе.

Појединости о НАТ и приватним ИП адресама превазилазе опсег овог чланка, али видео линк горе је одлична полазна основа. Враћајући се на УФВ, УФВ ће подразумевано омогућити сав редовни одлазни веб саобраћај. Ваши прегледачи, менаџери пакета и други програми бирају насумични број порта - обично број већи од 3000 - и на тај начин свака апликација може да прати своје везе.

Када покрећете сервере у облаку, они обично долазе са јавном ИП адресом и горе наведена правила омогућавања одлазног промета и даље важе. Будући да ћете и даље користити услужне програме, попут менаџера пакета, који са остатком света разговарају као „клијент“, УФВ то подразумевано омогућава.

Забава започиње долазним саобраћајем. Апликације, попут ОпенССХ сервера који користите за пријављивање на ВМ, преслушавају на одређеним портовима (попут 22) за долазни захтеви, као и друге апликације. Веб сервери требају приступ портовима 80 и 443.

Дио је посла заштитног зида да дозволи одређеним апликацијама да ослушкују одређени долазни саобраћај, док истовремено блокира све непотребне. Можда је на ВМ инсталиран сервер базе података, али обично не треба да преслушава долазне захтеве на интерфејсу са јавном ИП адресом. Обично само преслушава на повратном интерфејсу за захтеве.

На мрежи постоји много ботова који непрекидно бомбардују сервере лажним захтевима да изврше грубу силу или да изврше једноставан напад ускраћивања услуге. Добро конфигурисани заштитни зид требао би бити у могућности да блокира већину ових смицалица уз помоћ независних додатака попут Фаил2бан.

Али, за сада ћемо се фокусирати на врло основно подешавање.

Основна употреба

Сада када сте на свом систему инсталирали УФВ, размотрићемо неке основне употребе овог програма. Пошто се правила заштитног зида примењују на цео систем, наредбе у наставку се покрећу као роот корисник. Ако желите, за овај поступак можете користити судо са одговарајућим привилегијама.

# уфв статус
Статус: неактиван

Подразумевано, УФВ је у неактивном стању, што је добра ствар. Не желите да блокирате сав долазни саобраћај на порту 22, који је задати ССХ порт. Ако сте пријављени на удаљени сервер преко ССХ-а и блокирате порт 22, изгубићете приступ серверу.

УФВ нам омогућава да направимо рупу само за ОпенССХ. Покрените доњу команду:

[емаил заштићен]: ~ # уфв листа апликација
Доступне апликације:
ОпенССХ

Приметите да још увек нисам омогућио заштитни зид. Сада ћемо додати ОпенССХ на нашу листу дозвољених апликација, а затим омогућити заштитни зид. Да бисте то урадили, унесите следеће команде:

# уфв дозвољава ОпенССХ
Правила ажурирана
Ажурирана правила (в6)
# уфв омогући

Команда може пореметити постојеће ССХ везе. Наставите са операцијом (и | н)? г.

Заштитни зид је сада активан и омогућен при покретању система.

Честитамо, УФВ је сада активан и ради. УФВ сада омогућава само ОпенССХ-у да слуша долазне захтеве на порту 22. Да бисте у било ком тренутку проверили статус заштитног зида, покрените следећи код:

# уфв статус
Статус: активан
За акцију од
-- ------ ----
ОпенССХ АЛЛОВ Анивхере
ОпенССХ (в6) ДОЗВОЛИ било где (в6)

Као што видите, ОпенССХ сада може да прима захтеве са било ког места на Интернету, под условом да га стигне на порт 22. Ред в6 означава да се правила примењују и за ИПв6.

Можете, наравно, забранити одређени опсег ИП-а или допустити само одређени опсег ИП-ова, у зависности од сигурносних ограничења у којима радите.

Додавање апликација

За најпопуларније апликације, наредба уфв листа апликација аутоматски ажурира своју листу смерница након инсталације. На пример, након инсталације Нгинк веб сервера видећете да се појављују следеће нове опције:

# апт инсталирати нгинк
# уфв листа апликација
Доступне апликације:
Нгинк Фулл
Нгинк ХТТП
Нгинк ХТТПС
ОпенССХ

Само напред и покушајте да експериментишете са овим правилима. Имајте на уму да можете једноставно дозволити бројеве порта, уместо да чекате да се појави профил апликације. На пример, да бисте дозволили порт 443 за ХТТПС саобраћај, једноставно користите следећу команду:

# уфв дозвољава 443
# уфв статус
Статус: активан
За акцију од
-- ------ ----
ОпенССХ АЛЛОВ Анивхере
443 ДОЗВОЛИ било где
ОпенССХ (в6) ДОЗВОЛИ било где (в6)
443 (в6) ДОЗВОЛИ било где (в6)

Закључак

Сада када сте сортирали основе УФВ-а, можете истражити и друге моћне могућности заштитног зида, почевши од омогућавања и блокирања опсега ИП-а. Ако имате јасне и сигурне смернице заштитног зида, ваши системи ће бити сигурни и заштићени.