Úvod
Linuxové jádro obsahuje Netfilter subsystém, který se používá k manipulaci nebo rozhodování o osudu síťového provozu směřujícího do nebo přes váš server. Všechna moderní řešení firewallů pro Linux používají tento systém pro filtrování paketů.
UFW – Nekomplikovaný firewall
Výchozí konfigurační nástroj brány firewall pro Ubuntu je UFW. UFW, vyvinutý pro usnadnění konfigurace firewallu iptables, poskytuje uživatelsky přívětivý způsob, jak vytvořit hostitelský firewall IPv4 nebo IPv6.
UFW je standardně zpočátku zakázáno. Z manuálové stránky UFW:
„UFW není určeno k poskytování kompletní funkčnosti brány firewall prostřednictvím příkazového rozhraní, ale místo toho poskytuje snadný způsob, jak přidat nebo odebrat jednoduchá pravidla. V současnosti se používá hlavně pro hostitelské firewally.“
Jak nainstalovat UFW v Ubuntu \ Debian?
UFW je součástí standardní instalace Ubuntu 20.04 a měl by být přítomen ve vašem systému. Pokud z nějakého důvodu není nainstalován, můžete balíček nainstalovat zadáním:
# Install UFW
sudo apt update
sudo apt install ufw
Code language: PHP (php)Jak povolit nebo zakázat UFW
Pomocí tohoto příkazu můžeme povolit nebo zakázat agenta UFW v našem operačním systému, máme také třetí možnost resetování, kterou uvádíme níže v tomto článku.
# Enable uncomplicated firewall
sudo ufw enable
# Disable uncomplicated firewall
sudo ufw disable
Code language: PHP (php)Nastavení výchozích zásad
Výchozí chování UFW Firewallu je blokovat veškerý příchozí a přesměrovaný provoz a povolit veškerý odchozí provoz. To znamená, že kdokoli, kdo se pokusí získat přístup k vašemu serveru, se nebude moci připojit, pokud konkrétně neotevřete port. Aplikace a služby běžící na vašem serveru budou mít přístup k vnějšímu světu.
# Setting Up Default Policies
sudo ufw default deny incoming
sudo ufw default allow outgoing
Code language: PHP (php)Jak přidat nebo zakázat konkrétní port
Povolení portu povolí připojení k tomuto konkrétnímu portu. V tomto případě povolíme ssh připojení k portu 22, nebo pokud chceme, zakážeme je.
# Add port
sudo ufw allow 22
# Deny port
sudo ufw deny 22
Code language: PHP (php)Jak odstranit konkrétní pravidlo
Někdy nepotřebujeme některá pravidla, která jsme vytvořili, abychom je mohli smazat pomocí tohoto jednoduchého příkazu.
# Remove rule
sudo ufw delete deny 22
Code language: PHP (php)Povolit port pouze z konkrétní IP adresy
V tomto případě povolíme přístup na náš server pouze z IP adresy 192.168.0.2, ostatní IP adresy budou odmítnuty.
# Allow 192.168.0.2 to access our server
sudo ufw allow proto tcp from 192.168.0.2 to any port 22
Code language: CSS (css)Zkontrolujte stav brány firewall
UFW je ve výchozím nastavení zakázáno. Stav služby UFW můžete zkontrolovat pomocí následujícího příkazu:
# Check status
sudo ufw status
Code language: PHP (php)Práce s aplikacemi
Profil aplikace je textový soubor ve formátu INI, který popisuje službu a obsahuje pravidla brány firewall pro službu. Profily aplikací se vytvářejí v /etc/ufw/applications.d adresáře během instalace balíčku.
# View which applications have installed a profile
sudo ufw app list
# Allow application
sudo ufw allow samba
# Allow only specific IP or IP-range to enter application
ufw allow from 192.168.0.0/24 to any app samba
ufw allow from 192.168.0.2 to any app samba
# Details about which ports, protocols, etc., are defined for an application
sudo ufw app info samba
Code language: PHP (php)Povolit protokoly pro UFW
Protokoly brány firewall jsou nezbytné pro rozpoznávání útoků, odstraňování problémů s pravidly brány firewall a pro zaznamenávání neobvyklé aktivity ve vaší síti. Aby však mohla být vygenerována, musíte do firewallu zahrnout pravidla protokolování a pravidla protokolování musí předcházet všem použitelným ukončovacím pravidlem (pravidlo s cílem, které rozhoduje o osudu paketu, jako je ACCEPT, DROP nebo REJECT).
# Enable logs
sudo ufw logging on
# Disable logs
sudo ufw loggin off
Code language: PHP (php)Připojení ke konkrétnímu síťovému rozhraní
Chcete-li vytvořit pravidlo brány firewall, které se vztahuje pouze na určité síťové rozhraní, můžete tak učinit zadáním „povolit zapnuto“ následovaným názvem síťového rozhraní.
# Check what is your card name
ip addr
# Example
1: <strong>eth0</strong>: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
# Allow card to port name
sudo ufw allow in on eth0 to any port 80
Code language: PHP (php)Resetování UFW
Tím zakážete UFW a odstraníte všechna dříve definovaná pravidla. Mějte na paměti, že výchozí zásady se nezmění na původní nastavení, pokud je kdykoli změníte. To by vám mělo dát nový začátek s UFW.
# Reset UFW
sudo ufw reset
Code language: PHP (php)