Phenquestions
Белешка: за овај туториал мрежни интерфејс енп2с0 и ИП адреса 192.168.0.Као пример су коришћени 2/7, замените их исправним.
Инсталирање уфв:
Да бисте инсталирали уфв на извођењу Дебиана:
апт инсталирати уфв
Да бисте омогућили покретање УФВ-а:
уфв омогућити
Да бисте онемогућили покретање УФВ-а:
уфв онеспособити
Ако желите да извршите брзу проверу статуса заштитног зида, покрените:
статус уфв
Где:
Статус: обавештава да ли је заштитни зид активан.
До: приказује порт или услугу
поступак: приказује политику
Од: приказује могуће изворе саобраћаја.
Такође можемо детаљно да проверимо статус заштитног зида покретањем:
уфв статус вербосе
Ова друга наредба за приказ статуса заштитног зида такође ће приказати подразумеване смернице и смер саобраћаја.
Поред информативних екрана са „уфв статус“ или „уфв статус вербосе“, можемо исписати сва правила нумерисана ако то помаже у управљању њима, као што ћете видети касније. Да бисте добили нумерисану листу правила заштитног зида, покрените:
уфв статус нумерисан
У било којој фази можемо ресетовати УФВ поставке на подразумевану конфигурацију покретањем:
уфв ресет
При ресетовању правила уфв затражиће потврду. Притисните И за потврду.
Кратки увод у политике заштитног зида:
Са сваким заштитним зидом можемо одредити подразумевану политику, осетљиве мреже могу применити рестриктивну политику, што значи одбијање или блокирање целокупног саобраћаја, осим посебно дозвољеног. За разлику од рестриктивне политике, дозвољени заштитни зид прихвата сав саобраћај, осим посебно блокираног.
На пример, ако имамо веб сервер и не желимо да тај сервер служи више од једноставне веб локације, можемо применити рестриктивну политику која блокира све портове осим портова 80 (хттп) и 443 (хттпс), то би била рестриктивна политика јер су подразумевано сви портови блокирани уколико не одблокирате одређени. Примјер допуштеног заштитног зида био би незаштићени сервер у којем блокирамо само улаз за пријаву, на примјер, 443 и 22 за Плеск сервере као само блокирани портови. Поред тога, можемо користити уфв да дозволимо или одбијемо прослеђивање.
Примена рестриктивних и пермисивних политика са уфв:
Да бисте подразумевано ограничили сав долазни саобраћај помоћу уфв рун:
уфв подразумевано одбија долазне
Да бисте учинили супротно, дозволивши да се одвија сав долазни саобраћај:
уфв подразумевано дозвољава долазне
Да бисте блокирали сав одлазни саобраћај са наше мреже, синтакса је слична, да бисте је покренули:
Да бисмо омогућили сав одлазни саобраћај, само заменимо „негирати" за "допустити”, Да бисте омогућили безусловно одлазни саобраћај:
Такође можемо да дозволимо или одбијемо саобраћај за одређене мрежне интерфејсе, задржавајући различита правила за сваки интерфејс, како бисмо блокирали сав долазни саобраћај са моје етернет картице коју бих покренуо:
уфв поричу на енп2с0
Где:
уфв= позива програм
негирати= дефинише политику
у= долазни саобраћај
енп2с0= мој етхернет интерфејс
Сада ћу применити подразумевану рестриктивну политику за долазни саобраћај, а затим дозволити само портове 80 и 22:
уфв подразумевано одбија долазнеуфв дозволи 22
уфв дозволи хттп
Где:
Прва команда блокира сав долазни промет, док друга дозвољава долазне везе на порт 22, а трећа команда омогућава долазне везе на порт 80. Напоменути да уфв нам омогућава да службу позовемо према подразумеваном порту или имену услуге. Можемо прихватити или одбити везе на порт 22 или ссх, порт 80 или хттп.
Команда "статус уфв вербосе”Ће показати резултат:
Сав долазни саобраћај је одбијен док су доступне две услуге (22 и хттп) које смо дозволили.
Ако желимо да уклонимо одређено правило, то можемо учинити помоћу параметра „избрисати”. Да бисте уклонили наше последње правило које дозвољава долазни саобраћај на извођењу хттп порта:
уфв избриши дозволи хттп
Проверимо да ли су хттп услуге и даље доступне или блокиране покретањем уфв статус вербосе:
Порт 80 се више не појављује као изузетак, јер је једини порт 22.
Такође можете избрисати правило тако што ћете само позвати његов нумерички ИД који пружа наредба „уфв статус нумерисан”Поменуто раније, у овом случају уклонићу НЕГИРАТИ смернице о долазном саобраћају на етернет картицу енп2с0:
уфв делете 1
Затражиће потврду и наставиће ако буде потврђена.
Поред тога НЕГИРАТИ можемо користити параметар ОДБИТИ који ће обавестити другу страну да је веза одбијена ОДБИТИ везе са ссх можемо покренути:
уфв одбити 22 
Затим, ако неко покуша да приступи нашем порту 22, биће обавештен да је веза одбијена као на доњој слици.
У било којој фази можемо провјерити додата правила у подразумеваној конфигурацији покретањем:
додата емисија уфв
Можемо одбити све везе док дозвољавамо одређене ИП адресе, у следећем примеру одбацићу све везе на порт 22, осим за ИП 192.168.0.2 који ће бити једини у могућности да се повеже:
уфв деманти 22уфв дозволи од 192.168.0.2
Ако проверимо статус уфв, видећете да је сав долазни саобраћај до порта 22 одбијен (правило 1) док је дозвољен за наведену ИП адресу (правило 2)
Покушаје пријаве можемо да ограничимо како бисмо спречили нападе грубом силом постављањем ограничења за покретање:
уфв лимит ссх
Да бисмо завршили ово упутство и научили да ценимо великодушност уфв-а, сетимо се начина на који бисмо могли забранити сав саобраћај, осим једне ИП адресе користећи иптаблес:
иптаблес -А ИЗЛАЗ -д 192.168.0.2 -ј ПРИХВАТИ
иптаблес -П ИНПУТ ДРОП
иптаблес -П ИЗЛАЗНИ ПАД
Исто се може урадити са само 3 краће и најједноставније линије користећи уфв:
уфв подразумевано одбија долазнеуфв подразумевано одбија одлазне
уфв дозволи од 192.168.0.2
Надам се да вам је овај увод у уфв био користан. Пре било каквог упита о УФВ-у или било ког другог питања везаног за Линук, не устручавајте се да нас контактирате путем нашег канала за подршку на хттпс: // суппорт.линукхинт.цом.
Повезани чланци
Иптабле за почетнике
Конфигуришите Снорт ИДС и креирајте правила
