Phenquestions
Увод
Убунту је Линук оперативни систем који је прилично популаран међу администраторима сервера због напредних функција које се са њим подразумевано испоручују. Једна таква карактеристика је заштитни зид, који је сигурносни систем који надгледа долазне и одлазне мрежне везе како би доносио одлуке у зависности од унапред дефинисаних сигурносних правила. Да би се дефинисала таква правила, заштитни зид мора бити конфигурисан пре његове употребе, а овај водич показује како се лако омогућава и конфигурише заштитни зид у Убунтуу, заједно са осталим корисним саветима за конфигурисање заштитног зида.
Како омогућити заштитни зид
Подразумевано, Убунту долази са заштитним зидом, познатим под називом УФВ (некомпликовани заштитни зид), што је довољно, заједно са неким другим независним пакетима за заштиту сервера од спољних претњи. Међутим, пошто заштитни зид није омогућен, он мора бити омогућен пре свега. Користите следећу команду да бисте омогућили подразумевани УФВ у Убунтуу.
- Пре свега, проверите тренутни статус заштитног зида да бисте се уверили да је заиста онемогућен. Да бисте добили детаљан статус, користите га заједно са опширном наредбом.
судо уфв статус
судо уфв статус вербосе
- Ако је онемогућен, следећа команда то омогућава
судо уфв енабле
- Када је заштитни зид омогућен, поново покрените систем да би промене ступиле на снагу. Параметар р се користи за изјаву да је наредба за поновно покретање, а параметар нов за изјаву да се поновно покретање мора извршити одмах без одлагања.
судо схутдовн -р сад
Блокирајте све саобраћајне траке помоћу заштитног зида
УФВ, подразумевано блокира / дозвољава све саобраћајне догађаје, осим ако није замењен одређеним портовима. Као што се види на горњим снимцима екрана, уфв блокира све долазне саобраћаје и омогућава сав одлазни саобраћај. Међутим, следећим наредбама сав саобраћај може бити онемогућен без икаквих изузетака. Шта ово брише све УФВ конфигурације и забрањује приступ са било које везе.
судо уфв ресет
судо уфв дефаулт деманти долазни
судо уфв дефаулт деманти оутгоинг
Како омогућити порт за ХТТП?
ХТТП је скраћеница од протокола за пренос хипертекста, који дефинише како се порука форматира приликом преноса преко било које мреже, попут светске мреже, зване Интернет. Будући да се веб прегледач, подразумевано, повезује са веб сервером преко ХТТП протокола ради интеракције са садржајем, порт који припада ХТТП-у мора бити омогућен. Поред тога, ако веб сервер користи ССЛ / ТЛС (заштићени слој утичнице / безбедност транспортног слоја), онда мора бити дозвољен и ХТТПС.
судо уфв аллов хттп
судо уфв дозволи хттпс
Како омогућити порт за ССХ?
ССХ означава сигурну љуску, која се користи за повезивање на систем преко мреже, обично преко Интернета; стога се широко користи за повезивање на сервере путем Интернета са локалне машине. Будући да Убунту подразумевано блокира све долазне везе, укључујући ССХ, мора бити омогућен да би приступио серверу преко Интернета.
судо уфв аллов ссх
Ако је ССХ конфигурисан да користи други порт, онда уместо имена профила мора бити експлицитно наведен број порта.
судо уфв дозволи 1024
Како омогућити порт за ТЦП / УДП
ТЦП, односно протокол за контролу преноса, дефинише како успоставити и одржавати мрежни разговор како би апликација размењивала податке. Веб сервер подразумевано користи ТЦП протокол; стога мора бити омогућен, али на срећу омогућавање порта омогућава и порт за оба ТЦП / УДП одједном. Међутим, ако је одређени порт намењен омогућавању само за ТЦП или УДП, тада мора бити наведен протокол заједно са бројем порта / именом профила.
судо уфв дозволи | забрани портнумбер | име профила / тцп / удп
судо уфв дозволи 21 / тцп
судо уфв одбије 21 / удп
Како у потпуности онемогућити заштитни зид?
Понекад подразумевани заштитни зид мора бити онемогућен да би се тестирала мрежа или када се намерава инсталирати други заштитни зид. Следећа команда потпуно онемогућава заштитни зид и безусловно дозвољава све долазне и одлазне везе. То није препоручљиво ако претходно поменуте намере нису разлог за онемогућавање. Онемогућавање заштитног зида не ресетује или брише његове конфигурације; стога се поново може омогућити са претходним подешавањима.
судо уфв онеспособити
Омогућите подразумеване политике
Подразумеване политике наводе како заштитни зид реагује на везу када се ниједно правило не подудара с њом, на пример ако заштитни зид подразумевано дозвољава све долазне везе, али ако је порт број 25 блокиран за долазне везе, остали портови и даље раде за долазне везе осим порта број 25, јер он замењује подразумевану везу. Следеће команде одбијају долазне везе и подразумевано дозвољавају одлазне везе.
судо уфв дефаулт деманти долазни
судо уфв подразумевано дозвољава одлазне
Омогућите одређени опсег порта
Опсег порта специфицира на које портове се примењује правило заштитног зида. Опсег је наведен у стартПорт: ендПорт формату, затим следи протокол везе који је обавезан да наведе у овом случају.
судо уфв дозвољава 6000: 6010 / тцп
судо уфв аллов 6000: 6010 / удп
Дозволи / одбиј одређене ИП адресе / адресе
Не само одређени порт може бити дозвољен или одбијен за одлазне или долазне, већ и ИП адреса. Када је ИП адреса наведена у правилу, било који захтев са ове ИП адресе подлеже управо наведеном правилу, на пример у следећој наредби дозвољава све захтеве од 67.205.171.204 ИП адреса, онда дозвољава све захтеве од 67.205.171.204 на оба порта 80 и 443, што значи да било који уређај са овом ИП може послати успешне захтеве серверу без одбијања у случају када подразумевано правило блокира све долазне везе. Ово је врло корисно за приватне сервере које користи једна особа или одређена мрежа.
судо уфв дозволи од 67.205.171.204
судо уфв дозволи од 67.205.171.204 у било који порт 80
судо уфв дозволи од 67.205.171.204 у било који порт 443
Омогући пријаву
Функција евидентирања евидентира техничке детаље сваког захтева на и са сервера. Ово је корисно у сврху отклањања грешака; стога се препоручује да га укључите.
судо уфв пријављивање
Дозволи / забрани одређену подмрежу
Када је укључен низ ИП адреса, тешко је ручно додати сваки запис ИП адресе у правило заштитног зида да би се то одбило или дозволило, па се опсези ИП адреса могу навести у ЦИДР нотацији, која се обично састоји од ИП адресе и количине хостова које садржи и ИП сваког хоста.
У следећем примеру користи следеће две команде. У првом примеру користи / 24 мрежну маску, а самим тим и правило које важи од 192.168.1.1 до 192.168.1.254 ИП адресе. У другом примеру исто правило важи само за порт број 25. Дакле, ако су долазни захтеви по дефаулту блокирани, сада је поменутим ИП адресама дозвољено слање захтева на порт број 25 сервера.
судо уфв дозволи од 192.168.1.1/24
судо уфв дозволи од 192.168.1.1/24 у било који порт 25
Избришите правило из заштитног зида
Правила се могу уклонити са заштитног зида. Следећа прва наредба реда свако правило у заштитном зиду бројем, а затим се другом наредбом правило може избрисати одређивањем броја који припада правилу.
судо уфв статус нумерисан
судо уфв делете 2
Ресетујте конфигурацију заштитног зида
Коначно, да бисте започели од конфигурације заштитног зида, користите следећу наредбу. Ово је врло корисно ако заштитни зид почне да ради необично или ако се заштитни зид понаша на неочекиван начин.
судо уфв ресет
