Notatka: W tym samouczku interfejs sieciowy ENP2S0 i adres IP 192.168.0.Zastosowano 2/7 jako przykład, wymień je dla właściwych.
Instalowanie UFW:
Aby zainstalować UFW w Debian Run:
apt Zainstaluj UFW
Aby włączyć UFW Run:
UFW włącz
Aby wyłączyć UFW Run:
UFW wyłącz
Jeśli chcesz przeprowadzić szybką kontrolę nad statusem zapory:
status UFW
Gdzie:
Status: informuje, czy zapora jest aktywna.
Do: pokazuje port lub usługę
Działanie: pokazuje politykę
Z: pokazuje możliwe źródła ruchu.
Możemy również sprawdzić status zapory z gęstością, uruchamiając:
Status UFW Varebose
To drugie polecenie, aby zobaczyć status zapory, wyświetli również domyślne zasady i kierunek ruchu.
Dodatkowo do ekranów informacyjnych o „statusu UFW” lub „UFW STATUS VERBOSE” możemy wydrukować wszystkie ponumerowane reguły, jeśli pomoże to zarządzać nimi, jak zobaczysz później. Aby uzyskać ponumerowaną listę reguł zapory, uruchamia się:
Prezentowany status UFW
Na dowolnym etapie możemy zresetować ustawienia UFW do domyślnej konfiguracji, uruchamiając:
UFW Reset
Podczas resetowania zasad UFW wymaga potwierdzenia. Naciskać Y potwierdzać.
Krótkie wprowadzenie do zasad zaporowych:
W każdej zaporze możemy ustalić domyślną politykę, wrażliwe sieci mogą zastosować zasady restrykcyjne, co oznacza odmowę lub blokowanie całego ruchu, z wyjątkiem szczególnie dozwolonych. W przeciwieństwie do polityki restrykcyjnej, dopuszczalna zapora zapora zaakceptuje cały ruch, z wyjątkiem konkretnie zablokowanego.
Na przykład, jeśli mamy serwer WWW i nie chcemy, aby serwer obsługiwał więcej niż prostą stronę internetową, możemy zastosować ograniczające zasady blokujące wszystkie porty oprócz portów 80 (HTTP) i 443 (HTTPS), to byłoby to restrykcyjne zasady ponieważ domyślnie wszystkie porty są zablokowane, chyba że odblokujesz określony. Przykładem dopuszczalnym zapory jest serwer bez ochrony, na którym blokujemy tylko port logowania, na przykład 443 i 22 dla serwerów Plesk jako tylko zablokowane porty. Dodatkowo możemy użyć UFW, aby umożliwić lub odmówić przekazania.
Stosowanie zasad restrykcyjnych i dopuszczalnych z UFW:
Aby domyślnie ograniczyć cały przychodzący ruch za pomocą UFW Run:
UFW domyślnie odmawiaj przychodzącego
Aby zrobić coś przeciwnego, umożliwiając wszelkie przychodzące ruch ruchu:
UFW Domyślnie pozwala na przybycie
Aby zablokować cały ruch wychodzący z naszej sieci, składnia jest podobna, aby to uruchomić:
Aby umożliwić cały ruch wychodzący, po prostu wymieniamy ”zaprzeczyć" Do "umożliwić”, Aby umożliwić ruch wychodzący bezwarunkowo:
Możemy również zezwolić na ruch dla określonych interfejsów sieciowych, zachowując różne reguły dla każdego interfejsu, aby zablokować cały przychodzący ruch z mojej karty Ethernet, którą uruchomię:
UFW zaprzecz na ENP2S0
Gdzie:
UFW= wywołuje program
zaprzeczyć= definiuje politykę
W= ruch przychodzący
ENP2S0= mój interfejs Ethernet
Teraz zastosuję domyślną ograniczającą politykę przychodzącego ruchu, a następnie zezwolę tylko na porty 80 i 22:
UFW domyślnie odmawiaj przychodzącego
UFW zezwala na 22
UFW Zezwalaj na http
Gdzie:
Pierwsze polecenie blokuje cały przychodzący ruch, podczas gdy drugie umożliwia przychodzące połączenia z portem 22, a trzecie polecenie pozwala na połączenia przychodzące do portu 80. Zauważ, że UFW pozwala nam zadzwonić do usługi według jej domyślnej nazwy portu lub usługi. Możemy zaakceptować lub odmówić połączeń z portem 22 lub SSH, Port 80 lub HTTP.
Komenda "status UFW gadatliwy”Pokazuje wynik:
Cały ruch przychodzący jest odmawiany, podczas gdy dwie usługi (22 i HTTP) są dostępne.
Jeśli chcemy usunąć określoną regułę, możemy to zrobić za pomocą parametru „usuwać". Aby usunąć naszą ostatnią regułę, umożliwiając przychodzący ruch do przeniesienia HTTP Run:
UFW Usuń pozwól HTTP
Sprawdźmy, czy usługi HTTP są kontynuowane lub zablokowane przez działanie Status UFW Varebose:
Port 80 nie pojawia się już jako wyjątek, będąc portem 22.
Możesz także usunąć regułę, po prostu wywołując jej numeryczny identyfikator dostarczany przez polecenie „Prezentowany status UFW”Wspomniane wcześniej, w tym przypadku usunę ZAPRZECZYĆ Polityka dotycząca przychodzącego ruchu do karty Ethernet ENP2S0:
UFW Usuń 1
Poprosi o potwierdzenie i będzie kontynuowane, jeśli zostanie to potwierdzone.
Dodatkowo do ZAPRZECZYĆ Możemy użyć parametru ODRZUCIĆ który poinformuje drugą stronę, że połączenie zostało odrzucone, aby ODRZUCIĆ Połączenia z SSH możemy uruchomić:
UFW odrzuć 22
Następnie, jeśli ktoś spróbuje uzyskać dostęp do naszego portu 22, zostanie powiadomiony, połączenie zostało odrzucone jak na poniższym obrazku.
Na dowolnym etapie możemy sprawdzić dodane reguły w stosunku do konfiguracji domyślnej, uruchamiając:
Dodano show UFW
Możemy odmówić wszystkich połączeń, jednocześnie zezwalając na określone adresy IP, w poniższym przykładzie odrzucę wszystkie połączenia z portem 22, z wyjątkiem IP 192.168.0.2, który będzie jedynym, który będzie mógł się połączyć:
UFW Daj 22
UFW zezwala na 192.168.0.2
Teraz, jeśli sprawdzimy status UFW, zobaczysz, że cały przychodzący ruch do portu 22 jest odrzucony (reguła 1), podczas gdy dozwolone dla określonego IP (reguła 2)
Możemy ograniczyć próby logowania zapobiegania atakom siły brutalnej, ustawiając limit:
limit UFW SSH
Aby zakończyć ten samouczek i nauczyć się doceniać hojność UFW, pamiętajmy o sposobie, w jaki moglibyśmy zaprzeczyć całego ruchu, z wyjątkiem pojedynczego adresu IP za pomocą IPTables:
iptables -a wejście -s 192.168.0.2 -J Zaakceptuj
iptables -a wyjście -d 192.168.0.2 -J Zaakceptuj
IPTABLES -p Drop wejściowy
IPTABLES -p Drop wyjściowy
To samo można zrobić z zaledwie 3 krótszymi i najprostszymi liniami za pomocą UFW:
UFW domyślnie odmawiaj przychodzącego
Domyślnie UFW odmówić wychodzącego
UFW zezwala na 192.168.0.2
Mam nadzieję, że to wprowadzenie do UFW przydatne. Przed jakimkolwiek zapytaniem na UFW lub jakiekolwiek pytanie związane z Linuksem nie wahaj się skontaktować z nami za pośrednictwem naszego kanału wsparcia pod adresem https: // wsparcie.Linuxhint.com.
Iptables dla początkujących
Skonfiguruj identyfikatory snortu i tworz reguły