Dieser Artikel zeigt Ihnen, wie Sie UFW auf Ihrem Ubuntu 20 installieren und verwenden.04 LTS -System.
Installation
UFW wird in den meisten Ubuntu-Systemen vorinstalliert. Wenn in Ihrem Build dieses Programm nicht bereits installiert ist, können Sie es entweder über den SNAP- oder die APT -Paketmanager installieren.$ sudo snap install UFW
$ sudo apt installieren Sie UFW
Ich persönlich bevorzuge es, den APT -Paketmanager zu verwenden, um dies zu tun, da Snap weniger beliebt ist und ich diese zusätzliche Komplexität nicht haben möchte. Zum Zeitpunkt dieses Schreibens beträgt die für UFW veröffentlichte Version 0.36 für die 20.04 Release.
Eingehende vs. Ausgehender Verkehr
Wenn Sie ein Anfänger in der Welt des Netzwerks sind, müssen Sie als erstes klarstellen.
Wenn Sie Updates mit APT-Get installieren, im Internet durchsuchen oder Ihre E-Mails überprüfen. Senden Sie "Ausgangsanforderungen" an Server wie Ubuntu, Google usw. Um auf diese Dienste zuzugreifen, benötigen Sie nicht einmal eine öffentliche IP. Normalerweise wird eine einzelne öffentliche IP -Adresse für eine häusliche Breitbandverbindung zugewiesen, und jedes Gerät erhält eine eigene private IP. Der Router verarbeitet dann den Verkehr mit etwas, das als NAT oder Netzwerkadressübersetzung bezeichnet wird.
Die Details von NAT und privaten IP -Adressen liegen über den Rahmen dieses Artikels, aber das oben verlinkte Video ist ein ausgezeichneter Ausgangspunkt. Wenn Sie standardmäßig zu UFW zurückkehren, ermöglichen UFW allen regulären ausgehenden Webverkehr. Ihre Browser, Paketmanager und andere Programme wählen eine zufällige Portnummer aus - normalerweise eine Nummer über 3000 - und so kann jede Anwendung ihre Verbindung verfolgen (en).
Wenn Sie Server in der Cloud ausführen, sind sie normalerweise mit einer öffentlichen IP -Adresse und den oben genannten Regeln für den ausgehenden Verkehr noch geliefert. Da Sie noch Versorgungsunternehmen wie Paketmanager verwenden, die mit dem Rest der Welt als "Kunde" sprechen, lässt UFW dies standardmäßig zu.
Der Spaß beginnt mit eingehender Verkehr. Anwendungen wie der OpenSSH -Server, mit dem Sie sich bei Ihrem VM anmelden, hören Sie sich bestimmte Ports (wie 22) an eingehend Anfragen, ebenso wie andere Anwendungen. Webserver benötigen Zugriff auf Ports 80 und 443.
Es ist Teil der Aufgabe einer Firewall, bestimmte Anwendungen auf bestimmte eingehende Verkehr zuzuhören und gleichzeitig alle unnötigen zu blockieren. Möglicherweise haben Sie einen Datenbankserver auf Ihrem VM installiert, muss jedoch normalerweise nicht auf eingehende Anforderungen auf der Schnittstelle mit einer öffentlichen IP zuhören. Normalerweise hört es nur auf die Loopback -Schnittstelle auf Anforderungen an.
Es gibt viele Bots im Internet, die Server mit falschen Anfragen ständig bombardieren, um sich in den Weg zu bauen oder eine einfache Ablehnung des Dienstangriffs durchzuführen. Eine gut konfigurierte Firewall sollte in der Lage sein, die meisten dieser Spielereien mit Hilfe von Plugins von Drittanbietern wie Fail2ban zu blockieren.
Aber im Moment werden wir uns auf ein sehr einfaches Setup konzentrieren.
Grundnutzung
Nachdem Sie UFW auf Ihrem System installiert haben, werden wir einige grundlegende Verwendungen für dieses Programm betrachten. Da Firewall-Regeln systemweit angewendet werden, werden die folgenden Befehle als Root-Benutzer ausgeführt. Wenn Sie es vorziehen, können Sie Sudo mit ordnungsgemäßen Berechtigungen für dieses Verfahren verwenden.
# UFW Status
Status: inaktiv
Standardmäßig ist UFW in einem inaktiven Zustand, was eine gute Sache ist. Sie möchten nicht den gesamten eingehenden Verkehr auf Port 22 blockieren, dem Standard -SSH -Port. Wenn Sie über SSH auf einem Remote -Server angemeldet sind und Port 22 blockieren, werden Sie aus dem Server gesperrt.
UFW erleichtert es uns leicht, ein Loch nur für OpenSsh zu stechen. Führen Sie den folgenden Befehl aus:
root@testubuntu: ~# UFW App -Liste
Verfügbare Anwendungen:
OpenSsh
Beachten Sie, dass ich die Firewall noch nicht aktiviert habe. Wir werden jetzt OpenSsh zu unserer Liste der zulässigen Apps hinzufügen und dann die Firewall aktivieren. Geben Sie dazu die folgenden Befehle ein:
# UFW erlauben OpenSSH
Regeln aktualisiert
Regeln aktualisiert (v6)
# UFW aktivieren
Der Befehl kann vorhandene SSH -Verbindungen stören. Fahren Sie mit dem Betrieb fort (y | n)? y.
Die Firewall ist jetzt aktiv und aktiviert beim Systemstart.
Herzlichen Glückwunsch, UFW ist jetzt aktiv und läuft. UFW ermöglicht es jetzt nur OpenSSH, auf eingehende Anfragen in Port 22 zu hören. Führen Sie den folgenden Code aus, um den Status Ihrer Firewall jederzeit zu überprüfen:
# UFW Status
Status: aktiv
Zu handeln von
-- ------ ----
OpenSsh erlauben überall
OpenSsh (v6) überall (v6) zulassen
Wie Sie sehen können, kann OpenSSH jetzt Anfragen von überall im Internet erhalten, vorausgesetzt, es erreicht es auf Port 22. Die V6 -Zeile gibt an, dass die Regeln auch für IPv6 angewendet werden.
Sie können natürlich bestimmte IP -Bereiche verbieten oder nur einen bestimmten Bereich von IPs zulassen, abhängig von den Sicherheitsbeschränkungen, in denen Sie arbeiten.
Hinzufügen von Anwendungen
Für die beliebtesten Anwendungen aktualisiert der Befehl UFW App -Liste die Richtlinienliste automatisch bei der Installation. Beispielsweise werden nach der Installation des NGINX -Webservers angezeigt, dass die folgenden neuen Optionen angezeigt werden:
# APT INSTALLEN SIE NGINX
# UFW App -Liste
Verfügbare Anwendungen:
Nginx voll
Nginx http
Nginx https
OpenSsh
Versuchen Sie, mit diesen Regeln zu experimentieren. Beachten Sie, dass Sie einfach Portnummern zulassen können, anstatt darauf zu warten, dass das Profil einer Anwendung angezeigt wird. Verwenden Sie beispielsweise Port 443 für den HTTPS -Datenverkehr einfach den folgenden Befehl:
# UFW erlauben 443
# UFW Status
Status: aktiv
Zu handeln von
-- ------ ----
OpenSsh erlauben überall
443 überall zulassen
OpenSsh (v6) überall (v6) zulassen
443 (v6) überall zulassen (v6)
Abschluss
Nachdem Sie die Grundlagen von UFW sortiert haben, können Sie andere leistungsstarke Firewall -Funktionen erkunden, beginnend mit der Erlaubnis und Blockierung von IP -Bereichen. Wenn Sie klare und sichere Firewall -Richtlinien haben, wird Ihre Systeme sicher und geschützt.