Začínáme s UFW (Uncomplicated Firewall) na Ubuntu 20.04

UFW nebo Uncomplicated Firewall je aplikace pro správu firewallu založeného na iptables na Ubuntu. UFW je výchozí konfigurační nástroj brány firewall pro Ubuntu Linux a poskytuje uživatelsky přívětivý způsob konfigurace brány firewall. Příkaz UFW je stejný jako v angličtině, takže příkazy jsou snadno zapamatovatelné. UFW firewall podporuje IPv4 a IPv6.

UFW poskytuje také GUI aplikaci, pokud používáte desktop GNOME, můžete si nainstalovat gufw , nebo pokud používáte plochu KDE, můžete nainstalovat kcm-ufw .

Předpoklady

• Verze Ubuntu mezi 15.04 a 21.04. Novější verze Ubuntu by měly fungovat také.
• práva root

Co je obsahem tohoto výukového programu?

1. Instalace UFW.
2. Základní syntaxe příkazu UFW.
3. Příkaz UFW povolit a zakázat.
4. Pokročilé příkazy UFW.
5. Odstranění pravidla v UFW.
6. Deaktivujte a resetujte UFW.

Instalace UFW

Ve výchozím nastavení by měl být UFW již nainstalován na ubuntu 20.04. Můžete to vyzkoušet příkazem:

který ufw

Pokud nevrátí cestu k příkazu, nainstalujte UFW pomocí následujícího příkazu apt:

sudo apt-get install ufw

Pro následující příkazy použijte práva sudo nebo root. Uživatelem root se můžete stát příkazem:

sudo -s

Poté spusťte následující příkaz pro povolení UFW:

ufw enable

Výsledek:

Příkaz může narušit stávající připojení ssh. Pokračovat v operaci (y|n)? y
Firewall je aktivní a povolený při spuštění systému

Základní příkaz UFW

Příkaz "ufw enable" zapne UFW s výchozími pravidly. Můžete ověřit, že UFW běží, zadáním tohoto příkazu:

podrobný stav ufw

Výsledek:

Stav:aktivní
Přihlašování:zapnuto (nízké)
Výchozí:zakázat (příchozí), povolit (odchozí), zakázáno (směrováno)
Nové profily:přeskočit

Pokud chcete zakázat nebo vypnout UFW, můžete použít:

ufw vypnout

Výsledek:

Firewall zastavena a deaktivována při spuštění systému

Příkaz UFW povolit a zakázat

1. UFW Allow Command

UFW po zapnutí odmítne všechna příchozí spojení. Takže první věc, kterou byste měli udělat, je povolit SSH přístup pro server, pokud chcete spravovat systém vzdáleně. Příkaz "ufw allow sshport" povolit přístup pomocí SSH, nahradit SSHPORT portem služby SSH, výchozí port SSH je 22.

ufw allow 22

Výsledek:

Pravidla aktualizována
Pravidla aktualizována (v6) #For IPv6

Pokud chcete povolit příchozí připojení na portu 22 pouze pro TCP, přidejte na konec příkazu "/tcp " jako v následujícím příkladu.

ufw allow 22/tcp

Když služba, které chcete povolit přístup, naslouchá na svém výchozím portu, můžete místo čísla portu použít název služby. To usnadňuje otevření portu, protože jej možná neznáte. UFW pak za vás vyhledá správné číslo portu v /etc/services.

Tento příkaz otevře výchozí port SSH:

ufw povolit ssh

Nyní zkontrolujte pravidlo pomocí:

Stav ufw

2. UFW Deny Command

Příkaz „deny“ funguje podobně jako příkaz „allow“ a používá se k uzavření portu ve bráně firewall:

Možnost Deny with Port:

ufw deny 80

Výsledek:

Přidáno pravidlo
Přidáno pravidlo (v6)

Příklad pro "deny" s názvem služby. V tomto příkladu zablokuji http port/80:

ufw zakázat http

Poznámka:

Všechny porty a názvy jejich služeb můžete vidět v souboru "/etc/services" .

Pokročilé příkazy UFW

Nyní se ponoříme hlouběji do syntaxe příkazu UFW, naučíme se, jak povolit rozsahy součástí (např. pro pasivní porty FTP a jak povolit přístup pouze z jedné IP nebo podsítě.

1. Povolit rozsah portů

V UFW můžete povolit řadu portů. Některé služby jako FTP nebo IRC využívají ke komunikaci se svými klienty řadu portů.

V tomto příkladu povolíme rozsah portů, který používá ircd na mém serveru, rozsah je port 6660 až 6670:

sudo ufw povolit 6660:6670/tcp
sudo ufw povolit 6660:6670/udp

Příkaz umožní připojení k portům 6660-6670 prostřednictvím protokolu TCP a UDP.

2. Povolit konkrétní IP adresu

A můžete přidat konkrétní IP, abyste povolili přístup ke všem službám přidáním „od ". Tato možnost je například užitečná, pokud máte doma nebo v kanceláři statickou IP adresu a chcete odtud povolit přístup ke všem službám na vašem serveru. Níže uvedený příkaz umožní IP 192.168.1.106 přístup ke všem portům na serveru:

Ufw povolit od 192.168.1.106

Výsledek:

Pravidlo přidáno

3. Povolit podsíť

Pokud chcete povolit všechny IP adresy ve vaší podsíti, můžete přidat podsíť IP (rozsah IP adres) do příkazu UFW takto:

Ufw povolit od 192.168.1.1/24

Výsledek:

VAROVÁNÍ:Pravidlo změněno po normalizaci
Pravidlo přidáno

4. Povolit přístup z konkrétní IP adresy k jednomu portu

Pokud chcete povolit přístup pouze k jednomu portu z konkrétní IP adresy, můžete zkombinovat příkazy UFW, které jsme se naučili výše.

Například pouze IP 192.168.1.106 má přístup k portu ssh 22 tcp a další IP budou odmítnuty z tohoto portu můžete použít následující příkaz:

ufw umožňuje z 192.168.1.106 proto tcp na libovolný port 22

Výsledek:

Pravidlo přidáno

5. Povolit veškerý příchozí provoz do konkrétního Portu

Pokud chcete povolit veškerý provoz na portu 80, můžete použít tento příkaz:

ufw povolit na jakýkoli port 80

Odstranění pravidla brány firewall UFW

V této části se dozvíte, jak odstranit pravidlo uložené v UFW. Můžete použít „smazat " příkaz pro smazání pravidla ufw. Zadejte prosím příkaz "ufw delete “ a následuje možnost, kterou chcete smazat, povolit nebo zakázat .

Zde je několik příkladů:

Odstranění pravidla povolení SSH s názvem služby:

ufw delete povolit ssh

Výsledek:

Pravidlo smazáno
Pravidlo smazáno (v6)

Tento příkaz smaže pravidlo „allow ssh ". buďte opatrní, nezamykejte se ze serveru."

Odstraňte pravidlo „odmítnout“ na portu 80:

ufw delete deny 80

Výsledek:

Pravidlo smazáno
Pravidlo smazáno (v6)

Pokud máte složité pravidlo, existuje jednoduchý způsob, jak pravidlo identifikovat a odstranit podle jeho ID pravidla. Spuštěním následujícího příkazu získáte seznam všech pravidel s jejich ID:

číslovaný stav ufw

Výsledek:

Stav:aktivní
 
     Komu                          Akce      Od
     --                                                                                                                                          [ 2] 22/tcp (v6)                 ALLOW IN    Kdekoli (v6)

Nyní smažte pravidlo SSH pro IPv6 pouze pomocí čísla pravidla:

ufw delete 2

Deaktivace a resetování UFW

Pokud chcete vypnout UFW bez smazání pravidel , můžete použít "zakázat "příkaz:

ufw vypnout

Výsledek:

Firewall zastavena a deaktivována při spuštění systému

Pokud chcete úplně vypnout UFW a smazat všechna pravidla , můžete použít "resetovat "příkaz:

ufw reset

Výsledek:

Resetování všech pravidel na nainstalované výchozí hodnoty. To může narušit stávající ssh
připojení. Pokračovat v operaci (y|n)? y
Zálohování 'after6.rules' do '/etc/ufw/after6.rules.20150918_190351'
Zálohování 'user.rules' do '/lib/ufw/user.rules.20150918_190351'
Zálohování 'after.rules' do '/etc/ufw/after.rules.20150918_190351'
Zálohování 'before.rules' do '/etc/ufw/before.rules.20150918_190351'
Zálohování 'before6.rules' do '/etc/ufw/before6.rules.20150918_190351'
Zálohování 'user6.rules' do '/lib/ufw/user6.rules.20150918'_190351 
Závěr
 

 UFW (Uncomplicated Firewall) je výchozí konfigurační nástroj brány firewall v Ubuntu. Příkazy UFW jsou podobné anglickému jazyku, což usnadňuje jejich použití a zapamatování. Tento tutoriál UFW je průvodcem, jak začít s tímto pěkným firewallovým nástrojem, pokud se chcete dozvědět více o UFW, můžete přejít na ubuntu wiki nebo na ufw-manpage.