V tomto tutoriálu vám ukážeme, jak nainstalovat a používat UFW firewall systém na Linux VPS s Debianem 9. Zabezpečení je velmi důležitá věc, kterou je třeba zvážit, když provozujete svůj vlastní server.
UFW (Uncomplicated Firewall) je jednoduchý a uživatelsky přívětivý front-end pro správu pravidel brány firewall iptables – cílem UFW je poskytnout uživateli snadno použitelné rozhraní, aby byl zabezpečený server přístupnější více uživatelům. Je speciálně navržen pro začínající uživatele, kteří nejsou obeznámeni s koncepty firewallu.
Začněme instalací.
Předpoklady
- Pro účely tohoto tutoriálu budeme používat Debian 9 VPS.
- Je také vyžadován úplný root přístup SSH nebo uživatel s právy sudo.
Krok 1:Připojte se přes SSH a aktualizujte OS
Připojte se k serveru přes SSH jako uživatel root pomocí následujícího příkazu:
ssh root@IP_ADDRESS -p PORT_NUMBER
Nezapomeňte nahradit „IP_ADDRESS“ a „PORT_NUMBER“ příslušnou IP adresou vašeho serveru a číslem portu SSH.
Než začnete s instalací, budete muset aktualizovat balíčky operačního systému na nejnovější verze. Je to snadné a nezabere to více než pár minut.
Můžete to provést spuštěním následujícího příkazu:
apt-get update apt-get upgrade
Po dokončení aktualizací můžeme přejít k dalšímu kroku.
Krok 2:Nainstalujte UFW
Ve výchozím nastavení není UFW nainstalováno na Debian 9. UFW můžeme nainstalovat spuštěním následujícího příkazu:
apt-get install ufw
Po dokončení instalace můžeme zkontrolovat stav UFW pomocí následujícího příkazu:
ufw status verbose
Výstup by měl být podobný následujícímu:
Status: inactive
UFW je ve výchozím nastavení zakázáno, aby se zabránilo uzamčení ze serveru.
Krok 3:Povolte připojení SSH
Ve výchozím nastavení jsou všechna příchozí připojení k vašemu Debian VPS blokována UFW – nikdo se k němu nemůže připojit. Proto před povolením UFW firewallu budeme muset povolit příchozí připojení SSH.
ufw allow ssh
nebo
ufw allow 22/tcp
Krok 4:Povolte UFW
K povolení UFW můžeme použít příkaz níže:
ufw enable
Jakmile je povoleno, UFW zablokuje všechna příchozí připojení a povolí všechna odchozí připojení. Pro kontrolu výchozí konfigurace můžeme použít následující příkaz:
ufw show raw
Nebo
grep 'DEFAULT_' /etc/default/ufw
Výstup bude vypadat takto:
DEFAULT_INPUT_POLICY="DROP" DEFAULT_OUTPUT_POLICY="ACCEPT" DEFAULT_FORWARD_POLICY="DROP" DEFAULT_APPLICATION_POLICY="SKIP"
A je to! Váš server má nyní nainstalovaný a povolený UFW. Jak vidíte, ve výchozím nastavení je každé příchozí spojení odmítnuto. Konkrétně potřebujeme otevřít port, pokud chceme k serveru přistupovat vzdáleně.
Povolení dalších služeb
Možná také budeme muset povolit některá další příchozí připojení.
ufw allow 21/tcp ufw allow 80/tcp ufw allow 443/tcp
Stav UFW můžeme zkontrolovat pomocí následujícího příkazu:
ufw status
Výstup by měl být podobný následujícímu:
Status: active To Action From -- ------ ---- 22/tcp ALLOW Anywhere 21/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6) 21/tcp (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6) 443/tcp (v6) ALLOW Anywhere (v6)
Pokud chceme například odepřít přístup k portu 80, musíme spustit následující příkaz:
ufw deny 80/tcp
Chcete-li odstranit pravidlo, které povoluje příchozí připojení na portu 21, spusťte následující příkaz:
ufw delete allow 21/tcp
Povolení připojení z konkrétních IP adres a rozsahů portů
Můžeme také povolit připojení z konkrétní IP adresy pomocí následujícího příkazu:
ufw allow 192.168.10.100
K rozšíření rozsahu můžeme použít masku podsítě:
ufw allow 192.168.10.0/24
Můžeme také spojit IP adresu, port a protokol s jediným příkazem. Abychom například povolili připojení pouze z IP 192.168.10.100, protokol tcp a na port 22, musíme spustit následující příkaz:
ufw allow from 192.168.10.100 proto tcp to any port 22
Můžeme také specifikovat rozsahy portů pomocí UFW. Chcete-li například povolit porty TCP 1100 až 1200, spusťte následující příkaz:
ufw allow 1100:1200/tcp
Pokud chceme povolit UDP například na portech 1100 až 1200, musíme použít následující příkaz:
ufw allow 1100:1200/udp
Odmítání příchozích připojení
UFW se syntaxí deny pouze ignoruje provoz. Chcete-li odesílateli vědět, že je přenos odepřen, spusťte níže uvedený příkaz:
ufw reject 443
Pokud se někdo pokusí připojit k portu 443, obdrží následující zprávu o odmítnutí:
telnet: Unable to connect to remote host: Connection refused
Zobrazení zpráv UFW
Pomocí následujícího příkazu můžeme zobrazit seznam pravidel tak, jak byla přidána:
ufw show added
Výstup by měl být podobný následujícímu:
Added user rules (see 'ufw status' for running firewall): ufw allow 22/tcp ufw allow 21/tcp ufw allow 80/tcp ufw allow 443/tcp
Deaktivace UFW
Pokud z nějakého důvodu potřebujeme zakázat UFW, můžeme spustit následující příkaz:
ufw disable
Chcete-li obnovit všechna pravidla na jejich výchozí nastavení, použijte následující příkaz:
ufw reset
Pro více příkazů použití můžeme použít příznak –help:
ufw --help
To je vše – v tomto tutoriálu jsme se naučili, jak nainstalovat a povolit systém brány firewall UFW, a také jsme probrali, jak v něm přidávat a odstraňovat pravidla s různými úrovněmi kritérií.
Samozřejmě nemusíte konfigurovat firewall s UFW na Debianu 9, pokud používáte jednu z našich spravovaných Debian VPS Hosting Services, v takovém případě můžete jednoduše požádat naše zkušené administrátory Linuxu, aby vám nainstalovali a nakonfigurovali UFW na Debian 9. . Jsou k dispozici 24×7 a okamžitě se postarají o váš požadavek.
PS . Pokud se vám líbil tento příspěvek o jak nakonfigurovat bránu firewall s UFW na Debianu 9 , sdílejte jej se svými přáteli na sociálních sítích pomocí níže uvedených zkratek pro sdílení nebo jednoduše zanechte komentář v sekci komentářů. Děkuji.