Como instalar e configurar o UFW - um firewall não complicado em Debian/Ubuntu

Como os computadores estão conectados um ao outro, os serviços estão crescendo rapidamente. E-mail, Mídia social, Loja online, Bater papo até Conferência da Web são serviços usados ​​pelo usuário. Mas, por outro lado, essa conectividade gosta apenas de uma faca de lado duplo. Também é possível enviar mensagens ruins para esses computadores como Vírus, malware, Trojan-Apps são um deles.

A Internet, pois a maior rede de computadores nem sempre é preenchida com boas pessoas. Para garantir que nossos computadores / servidores estejam seguros, precisamos protegê -lo.

Um dos itens deve ter componente em seu computador / servidores é Firewall. De Wikipedia, Uma definição é:

Na computação, um firewall é um sistema de segurança de rede baseado em software ou hardware que controla o tráfego de rede de entrada e saída, analisando os pacotes de dados e determinando se eles devem ser permitidos ou não, com base no conjunto de regras aplicadas.

Iptables é um dos firewall que amplamente utilizado pelos servidores. É um programa usado para gerenciar o tráfego de entrada e saída no servidor com base em um conjunto de regras. Geralmente, apenas a conexão confiável pode entrar no servidor. Mas Iptables está funcionando no modo de console e é complicado. Aqueles que estão familiarizados com as regras e comandos iptables, podem ler o seguinte artigo que descreve como usar o Firewall iptables.

1. Guia básico iptables (linux firewall)

Instalação do UFW Firewall em Debian/Ubuntu

Para reduzir a complexidade da configuração de instruções Iptables, há muitos liderados. Se você estiver correndo Ubuntu Linux, você encontrará ufw Como uma ferramenta de firewall padrão. Vamos começar a explorar sobre ufw firewall.

O que é ufw

O ufw (Firewall não complicado) é um front -end para mais amplamente utilizado iptables firewall E é bem confortável para firewalls baseados em hospedeiros. UFW fornece uma estrutura para gerenciar Netfilter, bem como fornece uma interface de linha de comando para controlar o firewall. Ele fornece interface amigável e fácil de usar para iniciantes Linux que não estão muito familiarizados com conceitos de firewall.

Enquanto, por outro lado, os mesmos comandos complicados ajudam os administradores, ele definiu regras complicadas usando a interface da linha de comando. O ufw é um upstream para outras distribuições, como Debian, Ubuntu e Linux Mint.

Uso básico ufw

Primeiro, verifique se ufw é instalado usando o seguinte comando.

$ sudo dpkg-get-seleções | Grep ufw ufw install

Se não estiver instalado, você pode instalá -lo usando apt comando como mostrado abaixo.

$ sudo apt-get install ufw

Antes de usar, você deve verificar se ufw está funcionando ou não. Use o seguinte comando para verificar.

$ sudo ufw status

Se você encontrou status: inativo, significa que não é ativo ou desativar.

NOVO! Um e -book indispensável para cada administrador do Linux!

Download grátis de 696 página ebook

Habilitando / desativando UFW

Para ativá -lo, você só precisa digitar o seguinte comando no terminal.

$ sudo ufw atabilable firewall está ativo e ativado na inicialização do sistema

Para desativá -lo, basta digitar.

$ sudo ufw desativar

Liste as regras atuais da UFW

Depois que o firewall é ativado, você pode adicionar suas regras a ele. Se você quiser ver quais são as regras padrão, você pode digitar.

$ sudo ufw status detalhado

Saída de amostra

Status: Loging ativo: ON (BAIXO) PADRÃO: Negar (receber), permita (saída) novos perfis: Skip $

Como adicionar regras da UFW

Como você vê, por padrão, todas as conexões recebidas são negadas. Se você deseja remotar sua máquina remota, deve permitir a porta adequada. Por exemplo, você deseja permitir ssh conexão. Aqui está o comando para permitir.

Permitir acesso

$ sudo ufw permite ssh [sudo] senha para pungki: regra adicionada regra adicionada (v6) $

Se você verificar o status novamente, você verá uma saída como esta.

$ sudo ufw status para ação de------------ ------ 22 Permitir em qualquer lugar 22 Permitir em qualquer lugar (v6)

Se você tem muitas regras e deseja colocar números em todas as regras em tempo real, use o parâmetro numerado.

$ sudo ufw status numerado para ação de ------ ----------- ------ [1] 22 Permitir em qualquer lugar [2] 22 Permitir em qualquer lugar (v6)

A primeira regra diz que a conexão de entrada com Porta 22 de Em qualquer lugar, ambos TCP ou UDP pacotes são permitidos. E se você quiser permitir TCP Pacote apenas? Então você pode adicionar o parâmetro TCP depois de porta número. Aqui está um exemplo com saída de amostra.

$ sudo ufw permite que o ssh/tcp acesse ------ ------------- ------ 22/tcp Permitir em qualquer lugar 22/tcp permitir em qualquer lugar (v6)

Negar acesso

Os mesmos truques são aplicados a Negar regra. Vamos dizer que você quer negar ftp regra. Então você só tem que digitar.

$ sudo ufw negar ftp à ação de ------ ----------- ------ 21/tcp negar em qualquer lugar 21/tcp negar em qualquer lugar (v6)

Adicionando porta específica

Às vezes, temos uma porta personalizada que não segue nenhum padrão. Digamos que mudamos o porta ssh em nossa máquina de 22, em 2290. Então para permitir o porto 2290, Podemos adicioná -lo assim.

$ sudo ufw permitir ação de------------ ------ 2290 Permitir que qualquer outro lugar 2290 permita em qualquer lugar (v6)

Também é possível adicionar Range de porta na regra. Se queremos abrir a porta de 2290 - 2300 com TCP protocolo, então o comando será assim.

$ sudo ufw permitir 2290: 2300/tcp a ação de ------ ----------- ------ 2290: 2300/tcp Permitir qualquer lugar 2290: 2300/tcp permitir em qualquer lugar ( v6)

enquanto você quiser usar UDP, Basta usar o seguinte comando.

$ sudo ufw permitir 2290: 2300/UDP à ação de ------ ----------- ------ 2290: 2300/UDP Permitir em qualquer lugar 2290: 2300/UDP Permitir em qualquer lugar ( v6)

Lembre -se de que você tem que colocar 'TCP' ou 'UDP'Explicitamente, caso contrário, você receberá uma mensagem de erro semelhante a abaixo.

Erro: deve especificar 'tcp' ou 'udp' com várias portas

Adicionando IP específico

Anteriormente, adicionamos regras com base em serviço ou porta. UFW também permite que você adicione regras com base em Endereço de IP. Aqui está o comando de amostra.

$ sudo ufw permitir de 192.168.0.104

Você também pode usar um Máscara de sub -rede para maior o alcance.

$ sudo ufw permitir o formulário 192.168.0.0/24 para a ação de------------ ------ em qualquer lugar que permita 192.168.0.104 em qualquer lugar permitir 192.168.0.0/24

Como você pode ver, do parâmetro apenas limitará a fonte de conexão. Enquanto o destino - que é representado por Para coluna - é Em qualquer lugar. Você também pode gerenciar o destino usando 'Para'Parâmetro. Vamos ver a amostra para permitir o acesso a Porta 22 (ssh).

$ sudo ufw permitir a qualquer porta 22

O comando acima permitirá o acesso de qualquer lugar e de qualquer protocolo para Porta 22.

Combinando parâmetros

Para regras mais específicas, você também pode combinar o endereço IP, protocolo e porta. Digamos que queremos criar regra que limite a conexão apenas do IP 192.168.0.104, apenas protocolo TCP e para port 22. Então o comando será como abaixo.

$ sudo ufw permitir de 192.168.0.104 Proto TCP para qualquer porta 22

Sintaxe para criar a regra de nega é semelhante com a regra de permitir. Você só precisa alterar o parâmetro de permitir para negar.

Excluindo regras

Às vezes você pode precisar excluir sua regra existente. Mais uma vez com ufw É fácil excluir regras. Na amostra acima, você tem uma regra abaixo e deseja excluí -la.

Para a ação de------------ ------ 22/TCP Permitir 192.168.0.104 21/TCP Permitir em qualquer lugar 21/TCP permitir em qualquer lugar (V6)

Existem dois métodos de exclusão de regras.

Método 1

O comando abaixo vai excluir Regras que correspondem ao serviço ftp. Então o 21/TCP que significa ftp Porta será excluída.

$ sudo ufw excluir permitir ftp

Método 2

Mas quando você tentou excluir a primeira regra no exemplo acima usando o comando abaixo.

$ sudo ufw delete permitir ssh ou $ sudo ufw delete permitir 22/tcp

Você pode encontrar uma mensagem de erro como.

Não foi possível excluir regra inexistente não poderia excluir a regra inexistente (V6)

Então você pode fazer esse truque. Como mencionamos acima, você pode mostrar o número de regra para indicar qual regra que queremos excluir. Deixe mostramos isso para você.

$ sudo ufw status numerado para ação de------------ ------ [1] 22/tcp Permitir 192.168.0.104 [2] 21/TCP Permitir em qualquer lugar [3] 21/TCP Permitir em qualquer lugar (V6)

Então você pode excluir a primeira regra usando. Imprensa "y”Vai excluir permanentemente a regra.

$ sudo ufw excluir 1 excluir: permitir de 192.168.0.104 para qualquer porta 22 proto tcp prossiga com operação (y | n)? y

A partir desses métodos, você verá a diferença. Método 2 perguntará confirmação do usuário Antes de excluir a regra enquanto Método 1 não é.

Como redefinir regras

Em alguma situação, você pode querer excluir / reiniciar todas as regras. Você pode fazer isso digitando.

$ sudo ufw redefinir todas as regras para os padrões instalados. Prossiga com a operação (y | n)? y

Se você pressionar “y", então ufw fará backup de todas as regras existentes antes de redefinir seu ufw. A redefinição das regras também desativará o seu firewall. Você precisa ativá -lo novamente se quiser usá -lo.

Funcionalidade avançada

Como afirmei acima, o Firewall da UFW pode fazer o que Iptables pode fazer. Isso é realizado usando vários conjuntos de arquivos de regras, que nada mais são do que iptables-Restore Arquivos de texto apropriados. UFW de ajuste fino e/ou colocando comandos iptables adicionais não permitidos pelo comando ufw é uma questão de editar vários arquivos de texto.

1. /etc/default/ufw: A configuração principal para políticas padrão, suporte IPv6 e módulos de kernel.
2. /etc/ufw/antes [6].regras: As regras nesses arquivos são calculadas antes de quaisquer regras adicionadas através do comando ufw.
3. /etc/ufw/depois [6].regras: As regras nesses arquivos são calculadas após quaisquer regras adicionadas através do comando ufw.
4. /etc/ufw/sysctl.conf: Kernel Network Tunables.
5. /etc/ufw/ufw.conf: Defina se o UFW está ativado ou não na inicialização e define o nível de logle.

Conclusão

Ufw Como front-end para iptables, certamente facilite a interface do usuário. O usuário não precisa se lembrar da sintaxe iptables complicada. Ufw também use 'Inglês simples'Como seu parâmetro.

Permitir, negar, reiniciar são um deles. Eu acredito que existem muitos outros iptables front-end. Mas definitivamente o UFW é uma das melhores alternativas para usuários que desejam configurar seu firewall rápido, fácil e, claro, seguro. Por favor visite Página manual da UFW digitando homem ufw Para mais detalhes.