Настройка firewall в Debian 9 (iptables)
Isi kandungan:
- Prasyarat
- Pasang UFW
- Semak Status UFW
- Dasar Default UFW
- Profil Aplikasi
- Benarkan Sambungan SSH
- Dayakan UFW
- Benarkan sambungan pada pelabuhan lain
- Buka pelabuhan 80 - HTTP
- Buka pelabuhan 443 - HTTPS
- Buka pelabuhan 8080
- Benarkan Port Ranges
- Benarkan Alamat IP Tertentu
- Benarkan Alamat IP Tertentu pada port Tertentu
- Benarkan Subnet
- Benarkan Sambungan ke Antara Muka Rangkaian Khusus
- Tolak sambungan
- Padam Peraturan UFW
- Lumpuhkan UFW
- Ubin semula UFW
- Kesimpulannya
Debian termasuk beberapa pakej yang menyediakan alat untuk menguruskan firewall dengan iptables yang dipasang sebagai sebahagian daripada sistem asas. Ia boleh menjadi rumit bagi pemula untuk belajar cara menggunakan alat iptables untuk mengkonfigurasi dan menguruskan firewall dengan betul, tetapi UFW menyederhanakannya.
UFW (Uncomplicated Firewall) adalah front-end mesra pengguna untuk menguruskan peraturan firewall iptables dan matlamat utamanya adalah membuat pengurusan iptables lebih mudah atau sebagai nama tersebut tidak rumit.
Dalam tutorial ini, kami akan menunjukkan kepada anda cara menyiapkan firewall dengan UFW pada Debian 9.
Prasyarat
Sebelum meneruskan dengan tutorial ini, pastikan pengguna yang anda log masuk sebagai mempunyai keistimewaan sudo.
Pasang UFW
UFW tidak dipasang secara lalai dalam Debian 9. Anda boleh memasang pakej
ufw
dengan menaip:
Semak Status UFW
Setelah proses pemasangan selesai, anda boleh menyemak status UFW dengan arahan berikut:
sudo ufw status verbose
Output akan kelihatan seperti ini:
Status: inactive
UFW dilumpuhkan secara lalai. Pemasangan tidak akan mengaktifkan firewall secara automatik untuk mengelakkan lockout dari pelayan.
Sekiranya UFW diaktifkan, output akan kelihatan seperti berikut:
Dasar Default UFW
Secara lalai, UFW akan menyekat semua sambungan masuk dan membenarkan semua sambungan keluar. Ini bermakna sesiapa yang cuba mengakses pelayan anda tidak akan dapat menyambung kecuali anda secara khusus membuka port, sementara semua aplikasi dan perkhidmatan yang berjalan di pelayan anda akan dapat mengakses dunia luar.
/etc/default/ufw
lalai ditakrifkan dalam fail
/etc/default/ufw
dan boleh diubah menggunakan
sudo ufw default
Dasar firewall adalah asas untuk membina peraturan yang lebih terperinci dan ditentukan oleh pengguna. Dalam kebanyakan kes, Dasar Default UFW awal adalah titik permulaan yang baik.
Profil Aplikasi
Apabila memasang pakej dengan
apt
ia akan menambah profil aplikasi ke direktori
/etc/ufw/applications.d
yang menerangkan perkhidmatan dan mengandungi tetapan UFW.
Untuk menyenaraikan semua profil aplikasi yang tersedia pada jenis sistem anda:
sudo ufw app list
Bergantung kepada pakej yang dipasang pada sistem anda, output akan kelihatan seperti berikut:
Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…
Untuk mendapatkan lebih banyak maklumat tentang profil tertentu dan peraturan yang ada, gunakan arahan berikut:
sudo ufw app info OpenSSH
Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp
Output AThe di atas memberitahu kami bahawa profil OpenSSH membuka port
22
.
Benarkan Sambungan SSH
Sebelum mendayakan firewall UFW terlebih dahulu, kita perlu membenarkan sambungan SSH masuk.
Jika anda menyambung ke pelayan anda dari lokasi terpencil, yang hampir selalu berlaku dan anda mendayakan firewall UFW sebelum secara eksplisit membenarkan sambungan SSH yang masuk anda tidak lagi dapat menyambung ke pelayan Debian anda.
Untuk mengkonfigurasi firewall UFW anda untuk membenarkan sambungan SSH masuk, jalankan arahan berikut:
sudo ufw allow OpenSSH
Rules updated Rules updated (v6)
Jika pelayan SSH sedang mendengar pada port selain daripada port lalai 22, anda perlu membuka port tersebut.
Sebagai contoh, pelayan ssh anda mendengar pada port
8822
, maka anda boleh menggunakan perintah berikut untuk membolehkan sambungan pada port tersebut:
Dayakan UFW
Sekarang firewall UFW anda dikonfigurasi untuk membolehkan sambungan SSH masuk, anda boleh mengaktifkannya dengan berjalan:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Anda akan diberi amaran bahawa membolehkan firewall boleh mengganggu sambungan ssh sedia ada, hanya taipkan
y
dan tekan
Enter
.
Benarkan sambungan pada pelabuhan lain
Bergantung pada aplikasi yang dijalankan pada pelayan anda dan keperluan khusus anda, anda juga perlu membenarkan akses masuk ke beberapa pelabuhan lain.
Berikut adalah beberapa contoh bagaimana untuk membenarkan sambungan masuk ke beberapa perkhidmatan yang paling biasa:
Buka pelabuhan 80 - HTTP
Sambungan HTTP boleh dibenarkan dengan arahan berikut:
sudo ufw allow
Daripada profil
http
, anda boleh menggunakan nombor port,
80
:
Buka pelabuhan 443 - HTTPS
Sambungan HTTP boleh dibenarkan dengan arahan berikut:
sudo ufw allow
Untuk mencapai yang sama bukan
https
anda boleh menggunakan nombor port,
443
:
Buka pelabuhan 8080
Benarkan Port Ranges
Dengan UFW anda juga boleh membenarkan akses kepada julat port. Apabila membenarkan port antara UFW, anda mesti menentukan protokol, sama ada
tcp
atau
udp
.
Sebagai contoh, untuk membenarkan port dari
7100
hingga
7200
pada kedua-dua
tcp
dan
udp
, jalankan perintah berikut:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Benarkan Alamat IP Tertentu
sudo ufw allow from 64.63.62.61
Benarkan Alamat IP Tertentu pada port Tertentu
Untuk membenarkan akses pada port tertentu, katakan port 22 dari mesin kerja anda dengan alamat IP 64.63.62.61 gunakan perintah berikut:
sudo ufw allow from 64.63.62.61 to any port 22
Benarkan Subnet
Perintah untuk membenarkan sambungan ke subnet alamat IP adalah sama seperti ketika menggunakan alamat IP tunggal, satu-satunya perbezaan adalah bahawa anda perlu menentukan netmask. Sebagai contoh, jika anda ingin membenarkan akses untuk alamat IP dari 192.168.1.1 hingga 192.168.1.254 ke port 3360 (MySQL) anda boleh menggunakan arahan ini:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Benarkan Sambungan ke Antara Muka Rangkaian Khusus
Untuk membenarkan akses pada port tertentu katakan pelabuhan 3360 hanya ke antara muka rangkaian khusus
eth2
, gunakan
allow in on
dan nama antara muka rangkaian:
sudo ufw allow in on eth2 to any port 3306
Tolak sambungan
Dasar lalai untuk semua sambungan masuk ditetapkan untuk
deny
yang bermaksud bahawa UFW akan menyekat semua sambungan yang masuk kecuali anda membuka sambungan secara khusus.
Katakan anda membuka port
80
dan
443
dan pelayan anda sedang diserang dari rangkaian
23.24.25.0/24
. Untuk menafikan semua sambungan dari
23.24.25.0/24
, gunakan arahan berikut:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Penulisan menafikan peraturan adalah sama seperti menulis membenarkan peraturan, anda hanya perlu menggantikan
allow
dengan
deny
.
Padam Peraturan UFW
Terdapat dua cara yang berbeza untuk memadam peraturan UFW, mengikut nombor peraturan dan dengan menentukan peraturan sebenar.
Memadamkan peraturan UFW mengikut nombor peraturan adalah lebih mudah terutamanya jika anda baru untuk UFW.
Untuk memadam peraturan dengan nombor peraturan terlebih dahulu, anda perlu mencari nombor peraturan yang anda ingin padamkan. Untuk melakukan arahan berikut:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
Untuk memadam nombor peraturan 3, peraturan yang membolehkan sambungan ke port 8080, anda boleh menggunakan arahan berikut:
sudo ufw delete 2
Kaedah kedua ialah untuk menghapuskan peraturan dengan menentukan peraturan sebenar. Contohnya, jika anda menambahkan peraturan untuk membuka port
8069
anda boleh memadamkannya dengan:
Lumpuhkan UFW
Sekiranya anda mahu berhenti UFW dan nyahaktifkan semua peraturan yang dijalankan:
sudo ufw disable
Kemudian jika anda mahu mengaktifkan semula UTF dan aktifkan semua peraturan hanya taipkan:
Ubin semula UFW
Ubah semula UFW akan mematikan UFW, dan memadam semua peraturan aktif. Ini sangat membantu jika anda ingin memulihkan semua perubahan anda dan mula segar.
Untuk menetapkan semula UFW hanya taipkan arahan berikut:
Kesimpulannya
Anda telah belajar cara memasang dan mengkonfigurasi firewall UFW pada mesin Debian 9 anda. Pastikan anda membenarkan semua sambungan masuk yang diperlukan untuk berfungsi dengan baik sistem anda, sementara mengehadkan semua sambungan yang tidak diperlukan.
ufw firewall iptables security debianBagaimana untuk menubuhkan pelayan openvpn pada debian 9
VPN membolehkan anda menyambung ke pelayan VPN jauh, membuat sambungan anda disulitkan dan selamat dan melayari web tanpa nama dengan mengekalkan data lalu lintas anda secara peribadi. Tutorial ini akan membimbing anda melalui proses menubuhkan pelayan VPN anda sendiri dengan memasang dan mengkonfigurasi OpenVPN.
Bagaimana untuk menubuhkan firewall dengan firewalld pada centos 7
FirewallD adalah penyelesaian firewall lengkap yang menguruskan peraturan iptables sistem dan menyediakan antara muka D-Bus untuk mengendalikannya. Dalam tutorial ini, kami menunjukkan kepada anda cara menyiapkan firewall dengan FirewallD pada sistem CentOS 7 anda dan menerangkan konsep dasar FirewallD.
Bagaimana untuk menubuhkan firewall dengan ufw pada ubuntu 18.04
Secara lalai, Ubuntu dilengkapi dengan alat konfigurasi firewall yang dipanggil UFW (Uncomplicated Firewall). UFW adalah front-end mesra pengguna untuk menguruskan peraturan firewall iptables dan matlamat utamanya adalah untuk membuat pengurusan iptables lebih mudah atau sebagai nama tersebut tidak rumit.