Ubuntu Server 18.04 Administration Guide Part 11 - Configuring Firewall rules with UFW
Isi kandungan:
- Prasyarat
- Pasang UFW
- Semak Status UFW
- Dasar Default UFW
- Profil Aplikasi
- Benarkan Sambungan SSH
- Dayakan UFW
- Benarkan sambungan pada pelabuhan lain
- Buka pelabuhan 80 - HTTP
- Buka pelabuhan 443 - HTTPS
- Buka pelabuhan 8080
- Benarkan Port Ranges
- Benarkan Alamat IP Tertentu
- Benarkan Alamat IP Tertentu pada port Tertentu
- Benarkan Subnet
- Benarkan Sambungan ke Antara Muka Rangkaian Khusus
- Tolak sambungan
- Padam Peraturan UFW
- Lumpuhkan UFW
- Ubin semula UFW
- Kesimpulannya
Firewall yang dikonfigurasi dengan betul adalah salah satu aspek yang paling penting dalam keselamatan sistem keseluruhan. Secara lalai, Ubuntu dilengkapi dengan alat konfigurasi firewall yang dipanggil UFW (Uncomplicated Firewall). UFW adalah front-end mesra pengguna untuk menguruskan peraturan firewall iptables dan matlamat utamanya adalah untuk membuat pengurusan iptables lebih mudah atau sebagai nama tersebut tidak rumit.
Prasyarat
Sebelum anda memulakan tutorial ini, pastikan anda log masuk ke pelayan anda dengan akaun pengguna dengan keistimewaan sudo atau dengan pengguna root. Amalan terbaik adalah menjalankan arahan pentadbiran sebagai pengguna sudo dan bukannya root. Jika anda tidak mempunyai pengguna sudo pada sistem Ubuntu anda, anda boleh membuatnya dengan mengikuti arahan ini.
Pasang UFW
Firewall yang tidak rumit perlu dipasang secara lalai di Ubuntu 18.04, tetapi jika ia tidak dipasang pada sistem anda, anda boleh memasang pakej dengan menaip:
Semak Status UFW
Sebaik sahaja pemasangan selesai, anda boleh menyemak status UFW dengan arahan berikut:
sudo ufw status verbose
UFW dilumpuhkan secara lalai. Jika anda tidak pernah mengaktifkan UFW sebelum ini, output akan kelihatan seperti ini:
Status: inactive
Sekiranya UFW diaktifkan, output akan kelihatan seperti berikut:
Dasar Default UFW
Secara lalai, UFW akan menyekat semua sambungan masuk dan membenarkan semua sambungan keluar. Ini bermakna sesiapa yang cuba mengakses pelayan anda tidak akan dapat menyambung kecuali anda secara khusus membuka port, sementara semua aplikasi dan perkhidmatan yang berjalan di pelayan anda akan dapat mengakses dunia luar.
/etc/default/ufw
lalai ditakrifkan dalam fail
/etc/default/ufw
dan boleh diubah menggunakan
sudo ufw default
Dasar firewall adalah asas untuk membina peraturan yang lebih terperinci dan ditentukan oleh pengguna. Dalam kebanyakan kes, Dasar Default UFW awal adalah titik permulaan yang baik.
Profil Aplikasi
Apabila memasang pakej dengan arahan
apt
ia akan menambah profil aplikasi ke direktori
/etc/ufw/applications.d
. Profil tersebut menerangkan perkhidmatan dan mengandungi tetapan UFW.
Anda boleh menyenaraikan semua profil aplikasi yang tersedia di pelayan anda dengan menaip:
sudo ufw app list
Bergantung kepada pakej yang dipasang pada sistem anda, output akan kelihatan seperti berikut:
Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission
Untuk mendapatkan lebih banyak maklumat tentang profil tertentu dan peraturan yang ada, gunakan arahan berikut:
sudo ufw app info 'Nginx Full'
Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp
Seperti yang anda lihat dari output di atas profil 'Nginx Full' membuka port
80
dan
443
.
Benarkan Sambungan SSH
Sebelum membolehkan firewall UFW kita perlu menambah peraturan yang akan membolehkan sambungan SSH masuk. Jika anda menyambung ke pelayan anda dari lokasi terpencil, yang hampir selalu berlaku dan anda membolehkan firewall UFW sebelum secara eksplisit membenarkan sambungan SSH masuk anda tidak dapat lagi menyambung ke pelayan Ubuntu anda.
Untuk mengkonfigurasi firewall UFW anda untuk membenarkan sambungan SSH masuk, ketik perintah berikut:
sudo ufw allow ssh
Rules updated Rules updated (v6)
Sekiranya anda menukar port SSH ke port adat bukannya port 22, anda perlu membuka port tersebut.
Sebagai contoh, jika daemon ssh anda mendengar pada port
4422
, maka anda boleh menggunakan perintah berikut untuk membenarkan sambungan pada port tersebut:
Dayakan UFW
Sekarang firewall UFW anda dikonfigurasi untuk membenarkan sambungan SSH yang masuk, kami boleh mendayakannya dengan menaip:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Anda akan diberi amaran bahawa membolehkan firewall boleh mengganggu sambungan ssh sedia ada, hanya taipkan
y
dan tekan
Enter
.
Benarkan sambungan pada pelabuhan lain
Bergantung pada aplikasi yang dijalankan pada pelayan anda dan keperluan khusus anda, anda juga perlu membenarkan akses masuk ke beberapa pelabuhan lain.
Di bawah ini kami akan menunjukkan kepada anda beberapa contoh bagaimana untuk membenarkan sambungan masuk ke beberapa perkhidmatan yang paling biasa:
Buka pelabuhan 80 - HTTP
Sambungan HTTP boleh dibenarkan dengan arahan berikut:
sudo ufw allow
bukan http anda boleh menggunakan nombor port, 80:
sudo ufw allow 80/tcp
atau anda boleh menggunakan profil aplikasi, dalam kes ini, 'Nginx
Buka pelabuhan 443 - HTTPS
Sambungan HTTP boleh dibenarkan dengan arahan berikut:
sudo ufw allow
Untuk mencapai yang sama bukan profil
https
anda boleh menggunakan nombor port,
443
:
sudo ufw allow 443/tcp
atau anda boleh menggunakan profil aplikasi, 'Nginx
Buka pelabuhan 8080
Benarkan Port Ranges
Daripada membenarkan akses kepada port tunggal UFW membolehkan kami membenarkan akses kepada julat port. Apabila membenarkan port antara UFW, anda mesti menentukan protokol, sama ada
tcp
atau
udp
. Sebagai contoh, jika anda ingin membenarkan port dari
7100
hingga
7200
pada kedua-dua
tcp
dan
udp
kemudian jalankan perintah berikut:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Benarkan Alamat IP Tertentu
Untuk membenarkan akses pada semua port dari mesin rumah anda dengan alamat IP 64.63.62.61, tentukan
from
diikuti oleh alamat IP yang ingin anda daftar putih:
sudo ufw allow from 64.63.62.61
Benarkan Alamat IP Tertentu pada port Tertentu
Untuk membenarkan akses pada port tertentu katakan port 22 dari mesin kerja anda dengan alamat IP 64.63.62.61, gunakan
to any port
diikuti dengan nombor port:
sudo ufw allow from 64.63.62.61 to any port 22
Benarkan Subnet
Perintah untuk membenarkan sambungan ke subnet alamat IP adalah sama seperti ketika menggunakan alamat IP tunggal, satu-satunya perbezaan adalah bahawa anda perlu menentukan netmask. Sebagai contoh, jika anda ingin membenarkan akses untuk alamat IP dari 192.168.1.1 hingga 192.168.1.254 ke port 3360 (MySQL) anda boleh menggunakan arahan ini:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Benarkan Sambungan ke Antara Muka Rangkaian Khusus
Untuk membenarkan akses pada port tertentu katakan pelabuhan 3360 hanya untuk antara muka rangkaian tertentu
eth2
, maka anda perlu menentukan
allow in on
dan nama antara muka rangkaian:
sudo ufw allow in on eth2 to any port 3306
Tolak sambungan
Dasar lalai untuk semua sambungan masuk ditetapkan untuk
deny
dan jika anda tidak mengubahnya, UFW akan menyekat semua sambungan masuk kecuali anda membuka sambungan secara khusus.
Katakan anda membuka port
80
dan
443
dan pelayan anda sedang diserang dari rangkaian
23.24.25.0/24
. Untuk menafikan semua sambungan dari
23.24.25.0/24
anda boleh menggunakan arahan berikut:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Penulisan menafikan peraturan adalah sama seperti menulis membenarkan peraturan, anda hanya perlu menggantikan
allow
dengan
deny
.
Padam Peraturan UFW
Terdapat dua cara yang berbeza untuk memadam peraturan UFW, mengikut nombor peraturan dan dengan menentukan peraturan sebenar.
Memadamkan peraturan UFW mengikut nombor peraturan adalah lebih mudah terutamanya jika anda baru untuk UFW. Untuk memadamkan peraturan dengan nombor peraturan terlebih dahulu, anda perlu mencari nombor peraturan yang anda hendak padamkan, anda boleh melakukannya dengan arahan berikut:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
Untuk memadam nombor peraturan 3, peraturan yang membolehkan sambungan ke port 8080, gunakan arahan berikut:
sudo ufw delete 3
Kaedah kedua adalah untuk memadam peraturan dengan menentukan peraturan yang sebenarnya, sebagai contoh jika anda menambahkan peraturan untuk membuka port
8069
anda boleh memadamkannya dengan:
Lumpuhkan UFW
Sekiranya anda mahu menghentikan UFW dan nyahaktifkan semua peraturan yang anda boleh gunakan:
sudo ufw disable
Kemudian jika anda mahu mengaktifkan semula UTF dan aktifkan semua peraturan hanya taipkan:
Ubin semula UFW
Ubah semula UFW akan mematikan UFW, dan memadam semua peraturan aktif. Ini sangat membantu jika anda ingin memulihkan semua perubahan anda dan mula segar.
Untuk menetapkan semula UFW hanya taipkan arahan berikut:
Kesimpulannya
Anda telah belajar cara memasang dan mengkonfigurasi firewall UFW pada pelayan Ubuntu 18.04 anda. Pastikan anda membenarkan semua sambungan masuk yang diperlukan untuk berfungsi dengan baik sistem anda, sementara mengehadkan semua sambungan yang tidak diperlukan.
ufw firewall iptables ubuntu securityBagaimana untuk menubuhkan firewall dengan firewalld pada centos 7
FirewallD adalah penyelesaian firewall lengkap yang menguruskan peraturan iptables sistem dan menyediakan antara muka D-Bus untuk mengendalikannya. Dalam tutorial ini, kami menunjukkan kepada anda cara menyiapkan firewall dengan FirewallD pada sistem CentOS 7 anda dan menerangkan konsep dasar FirewallD.
Bagaimana untuk menubuhkan firewall dengan ufw pada debian 9
UFW (Uncomplicated Firewall) adalah front-end mesra pengguna untuk menguruskan peraturan firewall iptables dan matlamat utamanya adalah membuat pengurusan iptables lebih mudah atau sebagai nama tersebut tidak rumit. Dalam tutorial ini, kami akan menunjukkan kepada anda cara menyiapkan firewall dengan UFW pada Debian 9.
Bagaimana untuk menubuhkan hos maya apache pada ubuntu 18.04
Dalam tutorial ini, kami akan memberikan arahan langkah demi langkah tentang cara untuk menyediakan Host Virtual Apache di Ubuntu 18.04. Apache Virtual Hosts membolehkan anda menjalankan lebih dari satu laman web pada mesin tunggal.