Ако желите да покренете неку врсту серверског софтвера на Распберри Пи (тј.е., веб сервер, сервер базе података, Минецрафт сервер) и учините их јавно доступним на Интернету (хостинг), а онда је осигурање вашег Распберри Пи сервера програмом заштитног зида веома важно.

На ОС Распберри Пи (званични оперативни систем рачунара са једном плочом Распберри Пи) доступни су многи бесплатни програми отвореног кода заштитног зида. Међу овим програмима, УФВ и Фиреваллд су најчешћи програми заштитног зида.

У овом чланку ћу користити програм заштитног зида УФВ како бих вам показао како да заштитите Распберри Пи. Па, кренимо.

Ствари које ће вам требати:

Да бисте пратили овај чланак, биће вам потребне следеће ствари да бисте поставили Распберри Пи у режим без главе:

1. Рачунар са једном плочом Распберри Пи 3 или Распберри Пи 4.
2. Микро-УСБ (Распберри Пи 3) или УСБ Типе-Ц (Распберри Пи 4) адаптер за напајање.
3. Трепнула је мицроСД картица од 16 ГБ или 32 ГБ са ОС Распберри Пи.
4. Мрежна повезаност на Распберри Пи.
5. Лаптоп или стони рачунар за ВНЦ приступ удаљеној радној површини или ССХ приступ Распберри Пи-у.

Ако не желите да подесите Распберри Пи 4 у режим без главе, требат ће вам и:

6. Монитор
7. ХДМИ или микро-ХДМИ кабл
8. Тастатура
9. Миш.

Ако вам је потребна било каква помоћ при блицању слике ОС Распберри Пи на мицроСД картици, погледајте мој чланак Како инсталирати и користити Распберри Пи Имагер.

Ако сте почетник Распберри Пи и треба вам помоћ у инсталирању ОС Распберри Пи на ваш Распберри Пи, погледајте мој чланак Како инсталирати Распберри Пи ОС на Распберри Пи 4.

Ако вам је потребна било каква помоћ око безглавог подешавања Распберри Пи, погледајте мој чланак Како инсталирати и конфигурисати Распберри Пи ОС на Распберри Пи 4 без спољног монитора.

Ажурирање ОС Распберри Пи:

Како покушавамо да осигурамо свој Распберри Пи, добра је идеја да ажурирамо све постојеће пакете ОС Распберри Пи. Ово ће ваш ОС Распберри Пи учинити сигурнијим јер ће инсталирати све најновије безбедносне исправке и исправке грешака.

Прво ажурирајте кеш спремишта АПТ пакета следећом наредбом:

$ судо апт упдате

Да бисте ажурирали све постојеће пакете ОС Распберри Пи, покрените следећу команду:

$ судо апт потпуна надоградња

Да бисте потврдили инсталирање исправки, притисните И а затим притисните <Ентер>.

АПТ менаџер пакета ће преузети све потребне пакете са Интернета. Може потрајати неко време да се заврши.

Једном када се пакети преузму, АПТ менаџер пакета ће их инсталирати један по један. Може потрајати неко време да се заврши.

У овом тренутку треба да се инсталирају све исправке.

Да би промене ступиле на снагу, поново покрените Распберри Пи следећом наредбом:

$ судо ребоот

Инсталирање УФВ - Некомпликовани заштитни зид:

Када се Распберри Пи покрене, можете инсталирати програм заштитног зида УФВ следећом наредбом:

$ судо апт инсталл уфв -и

Треба инсталирати УФВ.

Да би промене ступиле на снагу, поново покрените Распберри Пи следећом наредбом:

$ судо ребоот

Једном када се Распберри Пи покрене, уфв услуга системд би требала бити активна, као што можете видети на снимку екрана испод.

$ судо системцтл статус уфв

Можете да проверите да ли је УФВ омогућен помоћу следеће наредбе:

$ судо уфв статус

Као што видите, УФВ није подразумевано омогућен.

Да бисте омогућили УФВ, покрените следећу команду:

$ судо уфв омогући

Као што видите, УФВ је сада омогућен.

$ судо уфв статус

Омогућавање приступа лукама помоћу профила апликација:

УФВ има неке подразумеване профиле апликација. Сваки од профила апликације има неке унапред дефинисане портове којима можете дозволити / одбити приступ.

Да бисте пописали све доступне профиле апликација, покрените следећу команду:

$ судо уфв листа апликација

Треба да буду наведени сви инсталирани профили апликација.

Ако сте повезани са Распберри Пи преко ССХ или ВНЦ (попут мене), морате дозволити приступ ОпенССХ и ВНЦ профили апликација. У супротном, следећи пут када покренете Распберри Пи, нећете му моћи даљински приступити, јер ће заштитни зид блокирати све портове, укључујући ССХ и ВНЦ портове. Дакле, ово је веома важно.

Можете видети који су портови дефинисани у профилу апликације (тј.е., ОпенССХ) са следећом командом:

$ судо уфв информације о апликацији ОпенССХ

Као што видите, ТЦП порт 22 је дефинисано у профилу апликације ОпенССХ.

На исти начин, ТЦП порт 5900 је дефинисано у ВНЦ профил апликације.

$ судо уфв апп инфо ВНЦ

Да би се омогућио приступ портовима дефинисаним у ВНЦ профил апликације, покрените следећу команду:

$ судо уфв дозвољава ВНЦ

Као што видите, ВНЦ профил апликације је дозвољен кроз заштитни зид.

$ судо уфв статус је нумерисан

На исти начин, дозволите приступ портовима дефинисаним у ОпенССХ профил апликације са следећом командом:

$ судо уфв дозвољава ОпенССХ

Као што видите, ОпенССХ профил апликације је дозвољен кроз заштитни зид.

$ судо уфв статус је нумерисан

Омогућавање приступа лукама помоћу броја порта:

Понекад порт којем желите да дозволите / одбијете приступ неће бити дефинисан ни у једном доступном профилу апликације. Дакле, мораћете да дозволите / одбијете приступ овим портовима помоћу броја порта.

На пример, можете да дозволите приступ ТЦП порт 8080 са следећом командом:

$ судо уфв дозвољава 8080 / тцп

Као што видите, ТЦП порт 8080 је дозвољен приступ кроз заштитни зид.

$ судо уфв статус је нумерисан

На исти начин, можете да дозволите приступ УДП порт 8888 са следећом командом:

$ судо уфв аллов 8888 / удп

Као што видите, УДП порт 8888 је дозвољен приступ кроз заштитни зид.

$ судо уфв статус је нумерисан

Ускраћивање приступа лукама:

Подразумевано понашање УФВ заштитног зида је да негира све што није дозвољено. Дакле, не морате ништа да предузмете да бисте ускратили приступ било којим лукама.

Ради конкуренције, показаћу вам како да ускратите луке у УФВ-у.

На пример, да ускрати приступ ТЦП порт 9900, покрените следећу команду:

$ судо уфв негира 9900 / тцп

Као што видите, ТЦП порт 9900 забрањен приступ кроз заштитни зид.

$ судо уфв статус је нумерисан

На исти начин, можете забранити портове дефинисане у профилу апликације (тј.е.,  ВВВ) као што следи:

$ судо уфв негира ВВВ

Ускраћивање приступа одређеним ИП адресама серверу:

Понекад ћете можда морати да одбијете приступ одређеној ИП адреси или ИП подмрежи да бисте заштитили свој Распберри Пи сервер од ДДоС (Дистрибутед Дениал оф Сервице) напада. То можете учинити са УФВ.

Да бих експериментисао са ускраћивањем ИП адреса, користићу веб сервер Апацхе.

Апацхе веб сервер можете инсталирати на Распберри Пи следећом наредбом:

$ судо апт инсталирајте апацхе2

Да бисте потврдили инсталацију, притисните И а затим притисните <Ентер>.

АПТ менаџер пакета ће преузети све пакете са Интернета и инсталирати их један по један. Може потрајати неко време да се заврши.

У овом тренутку треба инсталирати веб сервер Апацхе.

Када се инсталира Апацхе веб сервер, креирајте једноставну индексну страницу са следећом наредбом:

$ ецхо "

Добродошли у ЛинукХинт

"| судо тее / вар / ввв / хтмл / индек.хтмл

Тхе апацхе2 услуга системд би требала бити покренута, као што можете видети на снимку екрана испод.

$ судо системцтл статус апацхе2

Омогућите приступ порту Апацхе веб сервера (ТЦП порт 80) помоћу профила апликације ВВВ као што следи:

$ судо уфв аллов ввв

Као што видите, портови дефинисани у профилу апликације ВВВ је дозвољен приступ кроз заштитни зид.

Пронађите ИП адресу вашег Распберри Пи следећом наредбом:

$ хостнаме -И

Као што видите, ИП адреса моје Распберри Пи је 192.168.0.106. За вас ће бити другачије. Пазите да га од сада замените својим.

Требало би да приступите веб серверу Апацхе са других уређаја, као што можете видети на снимку екрана испод.

Рачунар који користим за приступ веб серверу Апацхе има ИП адресу 192.168.0.109.

Да одбије ИП адресу 192.168.0.109 приступ свом Распберри Пи серверу, морате додати правило заштитног зида на врху (позиција 1). Редослед УФВ правила је много важан. Прво би требало да иду најо рестриктивнија правила.

$ судо уфв статус је нумерисан

Да одбије ИП адресу 192.168.0.109 приступ серверу Распберри Пи, покрените следећу команду:

$ судо уфв инсерт 1 дени фром 192.168.0.109 било којој

УФВ правило за забрану ИП адресе 192.168.0.109 приступ серверу Распберри Пи требало би да буде највише правило, као што је приказано на снимку екрана испод.

$ судо уфв статус је нумерисан

Нећете моћи да приступите веб серверу Апацхе покренутом на вашем Распберри Пи са рачунара са ИП адресом 192.168.0.109 више, као што можете видети на снимку екрана испод.

Али, веб серверу Апацхе који ради на вашем Распберри Пи можете приступити са других рачунара.

Ако желите да ускратите приступ ИП подмрежи, морате додати потребно УФВ правило пре правила које сте раније додали, јер је то рестриктивније правило.

$ судо уфв статус је нумерисан

На пример, да одбије приступ сваком рачунару у ИП подмрежи 192.168.20.0/24, покрените следећу команду:

$ судо уфв инсерт 1 дени фром 192.168.20.0/24 било којој

УФВ правило треба додати у исправном положају, као што је приказано на снимку екрана испод. Сада ниједан рачунар из ИП подмреже 192.168.20.0/24 би требало да има приступ вашем Распберри Пи серверу.

$ судо уфв статус је нумерисан

Уклањање УФВ правила:

Понекад ћете можда морати уклонити нека УФВ правила. То је врло лако учинити.

Свим наредбама можете навести сва доступна УФВ правила:

$ судо уфв статус је нумерисан

Требало би навести сва доступна УФВ правила. Рецимо да желите да уклоните УФВ правило број 10 (правило на 10. месту).

Да бисте уклонили УФВ правило број 10, покрените следећу команду:

$ судо уфв делете 10

Да бисте потврдили операцију уклањања, притисните И а затим притисните <Ентер>.

УФВ правило број 10 треба уклонити.

Као што видите, УФВ правило је уклоњено и правила су преуређена (УФВ правило које је било на положају 11 сада је на положају 10).

$ судо уфв статус је нумерисан

Закључак:

У овом чланку сам вам показао како да инсталирате програм заштитног зида УФВ на ваш Распберри Пи (покренут ОС Распберри Пи). Такође сам вам показао како да дозволите / забраните портове помоћу програма УФВ заштитни зид. Показао сам вам како да одбијете одређену ИП адресу или ИП подмрежу да приступе Распберри Пи-у помоћу програма заштитног зида УФВ.