Zarządzaj zaporami ogniowymi z modułem Ansible UFW
Zapora odpowiada za monitorowanie ruchu przychodzącego i wychodzącego za pośrednictwem sieci. Proces monitorowania jest parametryzowany przez wymagania bezpieczeństwa systemu, które ma obrony zapora.
Ansible ma moduł o nazwie moduł UFW, który umożliwia użytkownikom zarządzanie zaporami ogniowymi na zdalnych hostach. Dowiedzmy się, co to za moduł i jak działa!
Jaki jest moduł UFW?
Zanim przejdziemy do modułu UFW, musimy najpierw sprawdzić, czym jest UFW. UFW oznacza nieskomplikowaną zaporę-łatwa w użyciu aplikacja zaprojektowana do ułatwienia zarządzania zaporami w systemach Linux. Jest wstępnie zainstalowany we wszystkich wersjach Ubuntu po 8.04 LTS.
Dobrą rzeczą w UFW jest to, że zapewnia intuicyjną frontendę, której każdy może nauczyć się szybko używać. Jest to program oparty na CLI (interfejs linii poleceń), jednak dostępne są również wersje GUI. UFW działa szczególnie dobrze z zaporami ogniowymi gospodarzami, co najprawdopodobniej jest dla tego wsparcia.
Ansible ma moduł UFW należący do wspólnota.Kolekcja ogólna, co oznacza, że nie jest to zawarte w Ansible-Core. Jeśli jednak zainstalowałeś pakiet Ansible, najprawdopodobniej już go masz. Jeśli nie, zapoznaj się z następną sekcją instrukcji instalacji.
Instalowanie modułu UFW
Możesz sprawdzić, czy moduł UFW jest zawarty w instalacji ansible, uruchamiając poniższe polecenie.
$ ansible -doc -lSprawdź wyjście. Jeśli nie masz modułu UFW, uruchom poniższe polecenie do zainstalowania.
$ Ansible-Galaxy Collection instaluj społeczność.ogólnyDzięki temu wszyscy jesteśmy na tej samej stronie dotyczącej instalacji modułu UFW. Weźmy w sposób, w jaki możesz go użyć!
Za pomocą modułu UFW
Poniżej podano kilka ważnych parametrów, które każdy użytkownik powinien wiedzieć przed użyciem modułu UFW.
- domyślne lub zasad - przyjmuje zezwolenie lub odrzucanie lub odrzucaj i zmienia bieżące zasady bezpieczeństwa ruchu sieciowego.
- Usuń - wymaga (domyślnie) lub tak. Usuwa zasadę.
- Kierunek - ustawia kierunek reguły i.mi., w, przychodzących, wyjściowych, wychodzących lub kierowanych.
- from_ip, from_port - Zwraca odpowiednio źródłowy adres IP i port.
- Wstaw - dodaje regułę zidentyfikowaną przez jej numer reguły lub NUM. (Liczby zaczynają się od 1 w UFW)
- Interfejs - Określa interfejs (napędzany parametrem kierunku) dla reguły tematu.
- Log - wymaga (domyślnie) lub tak. Włącza się i wyłącza w celu uzyskania nowych połączeń z regułą.
- Logowanie - Zmienia ustawienia rejestrowania pakietów zgodnie z ON, OFF, niskim, średnim, wysokim lub pełnym.
- Trasa - nie wymaga (domyślnie) lub tak. Stosuje określoną regułę do przekazywanych/kierowanych pakietów.
- Zasada - Dodaj nową zasadę zapory. Przyjmuje te same argumenty, co parametr domyślny.
- Stan - Umożliwia przeładowanie i uruchamianie zapory po rozruchu, wyłączone w celu rozładunku i wyłączania zapory po rozruchu, zresetuj, aby wyłączyć zaporę ogniową i stosuje ustawienia domyślne, ponownie załadowane w celu ponownego załadowania zapory ogniowej.
- TO_IP, to_port - Zwraca odpowiednio adres IP docelowy i port.
Po opanowaniu tajników tych parametrów jesteś na dobrej drodze do zostania ekspertem UFW. Jeśli chcesz dowiedzieć się więcej, odwiedź dokumentację modułu Ansible UFW. Powiedziawszy to, przejdźmy do niektórych przykładów, które pokazują wykorzystanie tego modułu.
Przykład 1: Włącz UFW
W tym pierwszym przykładzie dowiesz się, jak włączyć UFW, jednocześnie umożliwiając cały ruch. Można to zrobić za pomocą następującego kodu.
- Nazwa: Włączanie UFW, umożliwiając wszelkie ruchwspólnota.ogólny.UFW:
Stan: Włączone
Polityka: Zezwalaj
- Nazwa: Ustaw rejestrowanie
wspólnota.ogólny.UFW:
Logowanie: „ON”
Teraz uruchom ten podręcznik za pomocą następującego polecenia w terminalu Linux:
Ansible-Playbook Testbook.ymlJak widać, użyliśmy państwo parametr i ustaw go na włączony - Włączanie zapory. Następnie nasz parametr zasad lub domyślny pozwala na wszystko. Wreszcie, włączyliśmy rejestrowanie.
Przykład 2: Odrzucanie ruchu
Połączenia nadawcy można odrzucić na wiele sposobów, używając zaprzeczyć I odrzucić. Jednak użycie odmowy nie informuje nadawcy, że odmówiono im. W wielu przypadkach możesz chcieć powiadomić użytkowników, że ich połączenia są odmawiane. W takim przypadku użyj argumentu odrzucenia.
- wspólnota.ogólny.UFW:Zasada: Odrzuć
Port: Auth
Log: Tak
Rodzajmy również odrzucone połączenia, ustawiając log na tak.
Przykład 3: Odmowa i umożliwienie dostępu do określonego portu
W tym przykładzie omówimy, w jaki sposób możesz odmówić dostępu do określonego portu. Można to osiągnąć, po prostu ustawiając zasadę jako odmowę i przekazanie żądanego portu, który chcesz.
- Nazwa: Odmawianie dostępu do portu 35wspólnota.ogólny.UFW:
Zasada: Odmowa
Port: „35”
Możemy również trochę zmienić, umożliwiając również dostęp do portu TCP. Oto, jak to się stanie.
- Nazwa: Zezwalanie na dostęp do portu 53wspólnota.ogólny.UFW:
Zasada: Pozwól
Port: „53”
Proto: TCP
Tutaj parametr proto jest przekazywany TCP, po prostu ustawiając protokół. Inne możliwe wartości argumentów obejmują UDP, IPv6, esp, Ah, każdy, i więcej.
Techniki te mają również zastosowanie do szeregu portów. Powiedzmy, że chcesz zezwolić lub odmówić dostępu do szerokiej gamy portów, ale musisz określić regułę dla każdego portu jeden po drugim. Niekoniecznie. W rzeczywistości możesz przekazać całą gamę portów, które potrzebują tej samej zasady. Oto przykład, jak by to działało.
- Nazwa: Zwiększ zakres portów 60000-61000wspólnota.ogólny.UFW:
Zasada: Pozwól
Port: 60000: 61000
Proto: TCP
Wszystkie porty między 60000 a 61000 będą miały pełny dostęp.
Wniosek
W tym przewodniku zbadaliśmy moduł Ansible UFW. Pozwala nam skutecznie zarządzać zaporami zaporowymi na zdalnych hostach. Przyjrzeliśmy się również kilku przykładom, w których pokazaliśmy, jak umożliwić lub odmawiać dostępu, zarządzać portami i nie tylko. Mamy nadzieję, że była to dla Ciebie pouczająca lektura!