Arbeiten mit Debian Firewalls

Arbeiten mit Debian Firewalls
Unkomplizierte Firewall (UFW) ist ein Frontend für Iptables. Da das Verwalten von Iptables von der Mitte bis zum erweiterten Wissensverwaltungswissen erforderlich ist, wurden Frontenden entwickelt, um die Aufgabe zu erleichtern, unkomplizierte Firewall ist eine davon und wird in diesem Tutorial erklärt.

Notiz: Für dieses Tutorial die Netzwerkschnittstelle ENP2S0 und IP -Adresse 192.168.0.2/7 wurden als Beispiel verwendet und ersetzen Sie sie für die richtigen.

Installieren von UFW:

So installieren Sie UFW auf Debian Run:

APT Installieren Sie UFW

Um den UFW -Lauf zu aktivieren:

UFW aktivieren

Um UFW -Lauf zu deaktivieren:

UFW deaktivieren

Wenn Sie einen schnellen Überprüfen Sie Ihren Firewall -Status

UFW -Status

Wo:

Status: Informiert, ob die Firewall aktiv ist.
Zu: Zeigt den Port oder Dienst an
Aktion: zeigt die Richtlinie
Aus: Zeigt die möglichen Verkehrsquellen an.

Wir können auch den Firewall -Status mit Ausführlichkeit überprüfen, indem wir ausführen:

UFW Status ausführlich

In diesem zweiten Befehl zum Festlegen des Firewall -Status wird auch die Standardrichtlinien und die Verkehrsrichtung angezeigt.

Zusätzlich können wir zu informativen Bildschirmen mit dem „UFW -Status“ oder „UFW -Status -Weitstatus“ alle nummerierten Regeln drucken, wenn es hilft, sie zu verwalten, wie Sie später sehen werden. Um eine nummerierte Liste Ihrer Firewall -Regeln zu erhalten:

UFW -Status nummeriert

Zu jeder Phase können wir UFW -Einstellungen auf die Standardkonfiguration zurücksetzen, indem wir:

UFW Reset

Beim Zurücksetzen der UFW -Regeln wird eine Bestätigung angefordert. Drücken Sie Y bestätigen.

Kurze Einführung in Firewalls -Richtlinien:

Bei jeder Firewall können wir eine Standardrichtlinie bestimmen, sensible Netzwerke können eine restriktive Richtlinie anwenden, was bedeutet. Im Gegensatz zu einer restriktiven Richtlinie akzeptiert eine zulässige Firewall den gesamten Verkehr, mit Ausnahme der speziell blockierten.

Wenn wir beispielsweise einen Webserver haben und nicht möchten, dass dieser Server mehr als eine einfache Website bedient da sind standardmäßig alle Ports blockiert, es sei denn, Sie entsperren einen bestimmten. Ein zulässiger Firewall -Beispiel wäre ein ungeschützter Server, auf dem wir den Anmeldeport nur blockieren, z. B. 443 und 22 für Plesk -Server als nur blockierte Ports. Zusätzlich können wir UFW verwenden, um die Weiterleitung zuzulassen oder zu verweigern.

Anwendung restriktiver und zulässiger Richtlinien mit UFW:

Um den gesamten eingehenden Verkehr standardmäßig mit UFW -Lauf einzuschränken:

UFW standardmäßig einkaufen

Um das Gegenteil zu ermöglichen, um allen eingehenden Verkehrslauf zu ermöglichen:

UFW standardmäßig erlauben das Einkommen


Um den gesamten ausgehenden Verkehr aus unserem Netzwerk zu blockieren, ist die Syntax ähnlich, um ihn zu betreiben:

Um allen ausgehenden Verkehr zuzulassen, ersetzen wir nur “leugnen" für "erlauben”, Um den ausgehenden Verkehr bedingungslos zu ermöglichen:

Wir können auch den Datenverkehr für bestimmte Netzwerkschnittstellen zulassen oder verweigern, wodurch unterschiedliche Regeln für jede Schnittstelle geführt werden, um alle eingehenden Datenverkehr von meiner Ethernet -Karte zu blockieren, die ich ausführen würde:

UFW leugnen auf enp2s0

Wo:

UFW= Ruft das Programm auf
leugnen= definiert die Richtlinie
In= eingehender Verkehr
ENP2S0= meine Ethernet -Schnittstelle

Jetzt werde ich eine standardmäßige restriktive Richtlinie für eingehende Verkehr anwenden und dann nur Ports 80 und 22 zulassen:

UFW standardmäßig einkaufen
UFW erlauben 22
UFW erlauben http

Wo:
Der erste Befehl blockiert den gesamten eingehenden Verkehr, während die zweite eingehende Verbindungen zu Port 22 ermöglicht und der dritte Befehl eingehende Verbindungen zu Port 80 ermöglicht. Beachten Sie, dass Mit UFW können wir den Dienst nach seinem Standardport oder Servicenamen anrufen. Wir können Verbindungen zu Port 22 oder SSH, Port 80 oder HTTP akzeptieren oder verweigern.

Der Befehl "UFW -Status ausführlich”Wird das Ergebnis zeigen:

Der gesamte eingehende Verkehr wird abgelehnt, während die beiden Dienste (22 und HTTP), die wir zugelassen haben, verfügbar sind.

Wenn wir eine bestimmte Regel entfernen möchten, können wir dies mit dem Parameter tun. “löschen”. Um unsere letzte Regel zu entfernen, die den eingehenden Verkehr zum Port HTTP -Lauf ermöglicht:

UFW Delete erlauben HTTP

Überprüfen Sie, ob die HTTP -Dienste weiterhin verfügbar oder blockiert werden, indem Sie ausgeführt werden UFW Status ausführlich:

Der Port 80 erscheint nicht mehr als Ausnahme, da der Port 22 der einzige ist.

Sie können auch eine Regel löschen, indem Sie nur ihre vom Befehl bereitgestellte numerische ID aufrufen “UFW -Status nummeriertVorher erwähnt, in diesem Fall werde ich das entfernen LEUGNEN Richtlinien zum Eintreffen des Datenverkehrs zum Ethernet Card ENP2S0:

UFW löschen 1

Es wird um Bestätigung gebeten und fährt fort, wenn dies bestätigt wird.

Zusätzlich zu LEUGNEN Wir können den Parameter verwenden ABLEHNEN das wird die andere Seite informieren, die die Verbindung verweigert wurde, um ABLEHNEN Verbindungen zu SSH können wir ausführen:

UFW ablehnen 22


Wenn dann jemand versucht, auf unseren Port 22 zuzugreifen.

Zu jeder Phase können wir die hinzugefügten Regeln über die Standardkonfiguration überprüfen, indem wir ausführen:

UFW Show hinzugefügt

Wir können alle Verbindungen verweigern, während wir bestimmte IP -Adressen zuzulassen. Im folgenden Beispiel werde ich alle Verbindungen zu Port 22 mit Ausnahme des IP 192 ablehnen.168.0.2 Das ist die einzige, die sich anschließen kann:

ufw leugnen 22
UFW erlauben ab 192.168.0.2


Wenn wir nun den UFW -Status überprüfen, wird der gesamte eingehende Verkehr auf Port 22 verweigert (Regel 1), während für die angegebene IP (Regel 2) zulässig ist

Wir können die Anmeldeversuche einschränken, um Brute -Force -Angriffe zu verhindern, indem wir ein Limit festlegen:
UFW Limit SSH

Um dieses Tutorial zu beenden und zu lernen, die Großzügigkeit von UFW zu schätzen, erinnern wir uns an die Art und Weise, wie wir den gesamten Datenverkehr abweisen konnten, mit Ausnahme einer einzigen IP mit Iptables:

iptables -a Eingabe -s 192.168.0.2 -j akzeptieren
iptables -a output -d 192.168.0.2 -j akzeptieren
Iptables -P -Eingangsabfall
Iptables -p Ausgangsabfall

Das Gleiche kann mit nur 3 kürzeren und einfachsten Zeilen mit UFW durchgeführt werden:

UFW standardmäßig einkaufen
UFW leugnen standardmäßig ausgeschlossen
UFW erlauben ab 192.168.0.2


Ich hoffe, Sie haben diese Einführung in UFW nützlich gefunden. Bevor eine Anfrage zu UFW oder in einer Linux -bezogenen Frage anfordern.LinuxHint.com.

In Verbindung stehende Artikel

Iptables für Anfänger
Konfigurieren Sie Snort -IDs und erstellen Sie Regeln