Pokud se po instalaci Debianu 10 nebo 11 Bullseye zobrazí chyba v použití firewallu UFW – „Příkaz nebyl nalezen“, musíte jej nainstalovat. A v tomto tutoriálu se to naučíme.
UFW (nekomplikovaný požár wall) je rozhraní pro IPTables , který má zjednodušit proces konfigurace firewallu. Cílem UFW je přímočarý front-end založený na příkazovém řádku pro velmi výkonné, ale ne zrovna snadno konfigurovatelné IPTables. UFW podporuje IPv4 i IPv6. Pokud chcete zabezpečit síť nebo chcete monitorovat příchozí a odchozí připojení vašeho serveru, neexistuje způsob, jak obejít firewall. UFW je praktický nástroj, který lze ovládat a konfigurovat prostřednictvím terminálu.
Instalace UFW je poměrně snadná, protože je součástí zdrojů balíčků – alespoň pokud používáte distribuci Ubuntu nebo Debian. Naučte se – Jak upgradovat Debian 10 Buster na 11…
Nainstalujte a povolte UFW firewall na Debian 11 nebo 10
1. Nastavte UFW na Debianu 11/10
Pokud po instalaci Debian Linuxu nebudete moci používat příkaz UFW kvůli nenalezené chybě, musíte jej nejprve nainstalovat.
sudo apt update sudo apt install ufw
2. Povolit/spustit firewall na Debian Bullseye
Po nastavení by se služba firewallu ve výchozím nastavení neaktivovala a pro její uvedení do provozu spusťte:
sudo ufw enable
3. Zkontrolujte stav UFW
Chcete-li potvrdit, že služba brány firewall UFW funguje správně bez jakékoli chyby:
sudo ufw status
4. Chcete-li zastavit nebo zakázat (volitelné)
V případě, že chcete zastavit nebo deaktivovat firewall, spusťte:
sudo ufw disable
5. Pravidla brány firewall – Povolit nebo zakázat porty
Aktivace firewallu bez definování pravidel již znamená, že všechna příchozí spojení jsou zakázána a všechna odchozí spojení jsou povolena.
ufw používá tříúrovňovou sadu pravidel, která je uložena ve třech konfiguračních souborech. Ty se čtou a vyhodnocují v následujícím pořadí:
/etc/ufw/before.rules /var/lib/ufw/user.rules (nebo /lib/ufw/user.rules – ve kterém jsou také zachována pravidla definovaná v příkazovém řádku)/etc/ufw/after.rules
To znamená, že pravidla v user.rules může přepsat ty v before.rules a pravidla v after.rules pravidla user.rules
Soubory výchozích pravidel UFW obsahují některá základní pravidla, která umožňují bezproblémový interní síťový provoz. Pravidla však můžete přidat v ufw s velmi jednoduchou syntaxí příkazu uvedenou níže:
sudo ufw allow|deny|reject SERVICE
Například:
Pro povolení portu číslo 8080 v UFW bude příkaz:
sudo ufw allow 8080
zakázat přístup:
sudo ufw deny 8080
6. Povolit speciální rozsahy portů a IP
UFW může povolit přístup k rozsahům portů namísto jednotlivých portů. Zde musíte specifikovat protokol – tedy UDP nebo TCP – pro který mají pravidla platit.
Pokud rozsah portů, které chcete povolit, sahá od 5000 do 5010, musíte v terminálu provést následující příkazy pro UDP a TCP.
sudo ufw allow 5000:5010/udp sudo ufw allow 5000:5010/tcp
Je také možné zadat povolené IP adresy pomocí UFW. Například pokud chcete povolit připojení ze soukromé IP adresy 192.168.0.104, proveďte následující příkaz:
sudo ufw allow from 192.168.0.104
Můžete také povolit určité porty pro adresu IP. Chcete-li to provést, musíte uvést konkrétní port, například 22, pokud chcete navázat spojení přes SSH s výše uvedenou IP adresou. Funguje to s následujícím příkazem:
sudo ufw allow from 192.168.253.49 to any port 22
7. Aplikační filtr
Několik souborů běžných služeb se automaticky vytvoří, když je nainstalována služba/program, který má být chráněn pomocí ufw. Odpovídající konfigurační soubory jsou umístěny v /etc/ufw/applications.d/ adresář. Jedná se o jednoduché textové soubory, které obsahují název služby, stručný popis a porty a protokoly, které se mají otevřít.
Přehled všech aktuálních aplikačních filtrů lze získat pomocí příkazu
sudo ufw app list
Toto vypadá například takto:
Available applications: Apache LDAPS LPD MSN MSN SSL Mail submission NFS OpenSSH POP3 POP3S PeopleNearby SMTP SSH
8. Povolit všechna výchozí příchozí a odchozí připojení UFW
Chcete-li zakázat nebo povolit všechna příchozí připojení:
Pro odmítnutí všech připojení:
sudo ufw default deny incoming
Pro povolení všech připojení:
sudo ufw default allow incoming
Chcete-li zakázat nebo povolit všechna odchozí připojení:
Povolit všechny odchozí
sudo ufw default allow outgoing
Odmítnout všechny odchozí
sudo ufw default deny outgoing
9. Vypsat a odstranit pravidla brány firewall UFW na Debianu 11 nebo 10
Před odstraněním se nejprve podívejme na seznam všech aktivních pravidel v UFW firewallu. K tomu můžeme použít:
sudo ufw status numbered
Uvidíte všechna pravidla UFW spolu se sériovým číslem, ve kterém byla aktivována. Pro smazání kteréhokoli z nich stačí použít daný příkaz spolu s jeho sériovým číslem. Například ve výše uvedeném příkazu chci smazat druhé pravidlo 22/TCP. Potom příkaz bude:
sudo ufw delete 2
10. Grafické uživatelské rozhraní pro UFW firewall na Debianu 11 nebo 10
Ti, kteří používají Graphical Desktop Linux, si mohou nainstalovat grafické uživatelské rozhraní pro svůj firewall UFW s názvem „GUFW“ (Graphical Uncomplicated Firewall), aby jej mohli snadno ovládat. Nástroj poskytuje rozhraní, pomocí kterého můžete pohodlně vytvářet pravidla pro příchozí a odchozí připojení.
sudo apt install gufw
