UFW (Uncomplicated Firewall) je snadno použitelný nástroj brány firewall se spoustou možností pro většinu uživatelů. Jedná se o rozhraní pro iptables , což je klasický (a obtížnější se s ním seznámit) způsob, jak nastavit pravidla pro vaši síť.
Opravdu potřebujete bránu firewall pro počítač?
firewall je způsob, jak regulovat příchozí a odchozí provoz ve vaší síti. Dobře nakonfigurovaný firewall je zásadní pro bezpečnost serverů.
Ale co normální uživatelé stolních počítačů? Potřebujete na svém systému Linux firewall? S největší pravděpodobností jste připojeni k internetu přes router spojený s vaším poskytovatelem internetových služeb (ISP). Některé routery již mají vestavěný firewall. Kromě toho je váš skutečný systém skrytý za NAT. Jinými slovy, pravděpodobně máte vrstvu zabezpečení, když jste ve své domácí síti.
Nyní, když víte, že byste měli ve svém systému používat firewall, pojďme se podívat, jak můžete snadno nainstalovat a nakonfigurovat firewall na Ubuntu nebo jakékoli jiné distribuci Linuxu.
Nastavení brány firewall pomocí GUFW
GUFW je grafický nástroj pro správu nekomplikovaného firewallu (UFW ). V této příručce se budu zabývat konfigurací brány firewall pomocí GUFW který vyhovuje vašim potřebám, procházením různých režimů a pravidel.
Nejprve se však podívejme, jak nainstalovat GUFW.
Instalace GUFW na Ubuntu a další Linux
GUFW je k dispozici ve všech hlavních distribucích Linuxu. K instalaci GUFW doporučuji použít správce balíčků vaší distribuce.
Pokud používáte Ubuntu, ujistěte se, že máte povoleno úložiště Universe. Chcete-li to provést, otevřete terminál (výchozí klávesová zkratka: CTRL+ALT+T) a zadejte:
sudo add-apt-repository universe
sudo apt update -y
Nyní můžete nainstalovat GUFW pomocí tohoto příkazu:
sudo apt install gufw -y
A je to! Pokud se nechcete terminálu dotýkat, můžete jej nainstalovat také z Centra softwaru.
Otevřete Software Center a vyhledejte gufw a klikněte na výsledek vyhledávání.
Pokračujte a klikněte na Instalovat .
Chcete-li otevřít gufw , přejděte do nabídky a vyhledejte ji.
Tím se otevře aplikace brány firewall a uvítá vás „Začínáme “.
Zapněte bránu firewall
První věc, které si v této nabídce všimnete, je Stav přepnout. Stisknutím tohoto tlačítka zapnete/vypnete bránu firewall (výchozí: vypnuto), použijete své preference (zásady a pravidla).
Je-li zapnuto, ikona štítu se změní ze šedé na barevnou. Barvy, jak je uvedeno dále v tomto článku, odrážejí vaše zásady. Tím se také brána firewall automaticky spustí při spuštění systému.
Poznámka: Domů bude vypnuto ve výchozím stavu. Ostatní profily (viz další část) budou zapnuty
Porozumění GUFW a jeho profilům
Jak vidíte v nabídce, můžete si vybrat různé profily . Každý profil má jiné výchozí zásady . To znamená, že nabízejí různé chování pro příchozí a odchozí provoz.
Výchozí profily jsou:
- Domů
- Veřejné
- Kancelář
Kliknutím na aktuální profil můžete vybrat jiný profil (výchozí:Domů ).
Výběr jednoho z nich změní výchozí chování. Dále můžete změnit předvolby příchozího a odchozího provozu.
Ve výchozím nastavení obojí na Domů a v Office , tyto zásady jsou Odmítnout příchozí a Povolit odchozí . To vám umožní používat služby, jako je http/https, aniž by se cokoliv dostalo (např. ssh).
Pro Veřejnost , jsou Odmítnout příchozí a Povolit odchozí . Odmítnout , podobně jako odmítnout , nevpustí služby dovnitř, ale také odešle zpětnou vazbu uživateli/službě, která se pokusila o přístup k vašemu počítači (místo jednoduchého přerušení/přerušení připojení).
Poznámka
Pokud jste průměrný uživatel stolního počítače, můžete zůstat u výchozích profilů. Pokud změníte síť, budete muset ručně změnit profily.
Pokud tedy cestujete, nastavte firewall na veřejný profil a odtud bude firewall při každém restartu nastaven do veřejného režimu.
Konfigurace pravidel a zásad brány firewall [pro pokročilé uživatele]
Všechny profily používají stejná pravidla, liší se pouze zásady, na kterých pravidla vycházejí. Změna chování zásady (Příchozí/Odchozí ) použije změny na vybraný profil.
Všimněte si, že zásady lze změnit pouze tehdy, když je aktivní brána firewall (Stav:ZAPNUTO).
Profily lze snadno přidávat, mazat a přejmenovávat z Předvoleb menu.
Předvolby
V horní liště klikněte na Upravit . Vyberte Předvolby .
Otevře se Předvolby menu.
Pojďme se podívat na možnosti, které zde máte!
Protokolování znamená přesně to, co si myslíte:kolik informací firewall zapisuje do souborů protokolu.
Možnosti pod Gufw jsou zcela samozřejmé.
V sekci Profily je místo, kde můžeme přidávat, mazat a přejmenovávat profily. Dvojité kliknutí na profil vám umožní přejmenovat to. Stiskněte Enter dokončí tento proces a stiskne Esc zruší přejmenování.
Chcete-li přidat nový profil, klikněte na + pod seznamem profilů. Tím se přidá nový profil. O tom vás však neinformuje. Budete také muset posunout seznam dolů, abyste viděli profil, který jste vytvořili (pomocí kolečka myši nebo posuvníku na pravé straně seznamu).
Poznámka: Nově přidaný profil Odmítne příchozí a Povolit odchozí provoz.
Kliknutím na profil daný profil zvýrazníte. Stisknutím tlačítka – tlačítko smaže zvýrazněný profil.
Poznámka: Aktuálně vybraný profil nelze přejmenovat/odebrat .
Nyní můžete kliknout na Zavřít . Dále přejdu k nastavení různých pravidel .
Pravidla
Zpět do hlavní nabídky, někde uprostřed obrazovky můžete vybrat různé karty (Domů, Pravidla, Zpráva, Protokoly) . Domov jsme již probrali (to je rychlý průvodce, který uvidíte po spuštění aplikace).
Pokračujte a vyberte Pravidla .
Toto bude hlavní část konfigurace vaší brány firewall:pravidla sítě. Musíte pochopit koncepty, na kterých je UFW založen. Tedy povolování, popírání, odmítání a omezení provoz.
Poznámka: V UFW platí pravidla shora dolů (nejprve se uplatňují horní pravidla a nad ně jsou přidána následující).
Povolit, Zamítnout, Odmítnout, Omezit: Toto jsou dostupné zásady pro pravidla, která přidáte do svého firewallu.
Podívejme se, co přesně každý z nich znamená:
- Povolit: umožňuje jakýkoli vstupní provoz na port
- Odmítnout: zakazuje jakýkoli vstupní provoz do portu
- Odmítnout: odepře jakýkoli vstupní provoz na port a informuje žadatele o odmítnutí
- Limit: zakáže vstupní provoz, pokud se IP adresa pokusila zahájit 6 nebo více připojení za posledních 30 sekund
Přidání pravidel
Existují tři způsoby, jak přidat pravidla do GUFW. Všechny tři metody představím v následující části.
Poznámka: Po přidání pravidel je změna jejich pořadí velmi složitý proces a je jednodušší je jednoduše smazat a přidat ve správném pořadí.
Nejprve však klikněte na + v dolní části Pravidel kartu.
Tím by se měla otevřít vyskakovací nabídka (Přidat pravidlo brány firewall ).
V horní části této nabídky můžete vidět tři způsoby, jak můžete přidat pravidla. Provedu vás každou metodou, tj. Předem nakonfigurovaná, jednoduchá, pokročilá . Kliknutím rozbalíte jednotlivé sekce.
Předem nakonfigurovaná pravidla
Toto je nejpřívětivější způsob přidávání pravidel pro začátečníky.
Prvním krokem je výběr zásady pro pravidlo (z výše popsaných).
Dalším krokem je výběr směru, kterým pravidlo ovlivní (Příchozí, Odchozí, Oba ).
Kategorie a Podkategorie možností je spousta. Ty zužují Aplikace můžete vybrat
Výběr Aplikace nastaví sadu portů podle toho, co je potřeba pro danou konkrétní aplikaci. To je užitečné zejména pro aplikace, které mohou fungovat na více portech, nebo pokud se nechcete obtěžovat ručním vytvářením pravidel pro ručně psaná čísla portů.
Pokud chcete pravidlo dále upravit, můžete kliknout na ikonu oranžové šipky . Tím se zkopírují aktuální nastavení (aplikace s jejími porty atd.) a dostanete se na Pokročilé nabídka pravidel. Tomu se budu věnovat později v tomto článku.
Pro tento příklad jsem vybral databázi Office aplikace:MySQL . Odmítnu veškerý příchozí provoz na porty používané touto aplikací.
Chcete-li vytvořit pravidlo, klikněte na Přidat .
Nyní můžete Zavřít vyskakovací okno (pokud nechcete přidávat žádná další pravidla). Můžete vidět, že pravidlo bylo úspěšně přidáno.
Porty byly přidány GUFW a pravidla byla automaticky očíslována. Možná se divíte, proč existují dvě nová pravidla namísto pouze jednoho; odpověď je, že UFW automaticky přidá standardní IP pravidlo a IPv6 pravidlo.
Jednoduchá pravidla
Přestože je nastavení předkonfigurovaných pravidel hezké, existuje další snadný způsob, jak přidat pravidlo. Klikněte na + znovu a přejděte na Jednoduché kartu.
Možnosti jsou zde přímočaré. Zadejte název pravidla a vyberte zásadu a směr. Přidám pravidlo pro odmítnutí příchozích pokusů o SSH.
Protokoly můžete zvolit TCP, UDP nebo Obojí .
Nyní musíte zadat Port pro které chcete řídit provoz. Můžete zadat číslo portu (např. 22 pro ssh), rozsah portů včetně konců oddělených : (dvojtečka ) (např. 81:89) nebo název služby (např. ssh). Budu používat ssh a vyberte TCP i UDP pro tento příklad. Stejně jako předtím klikněte na Přidat k dokončení vytváření vašeho pravidla. Můžete kliknout na ikonu červené šipky zkopírujte nastavení do Pokročilé nabídka vytvoření pravidla.
Pokud vyberete možnost Zavřít , můžete vidět, že bylo přidáno nové pravidlo (společně s odpovídajícím pravidlem IPv6).
Pokročilá pravidla
Nyní se podívám na to, jak nastavit pokročilejší pravidla pro zpracování provozu z konkrétních IP adres a podsítí a cílení na různá rozhraní.
Pojďme si otevřít Pravidla znovu menu. Vyberte Pokročilé kartu.
Nyní byste již měli být obeznámeni se základními možnostmi:Název, Zásady, Směr, Protokol, Port . Ty jsou stejné jako předtím.
Poznámka: Můžete si vybrat jak přijímající port, tak požadující port.
Co se mění je, že nyní máte další možnosti, jak dále specializovat naše pravidla.
Již jsem zmínil, že pravidla jsou automaticky číslována pomocí GUFW. Pomocí Pokročilé pravidla určíte pozici svého pravidla zadáním čísla do Vložit možnost.
Poznámka: Zadávání pozice 0 přidá vaše pravidlo za všechna existující pravidla.
Rozhraní vám umožní vybrat libovolné síťové rozhraní dostupné na vašem počítači. Pokud tak učiníte, pravidlo bude mít vliv pouze na provoz do az tohoto konkrétního rozhraní.
Protokol mění přesně to:co bude a co nebude protokolováno.
Můžete také vybrat IP adresy pro žádající a přijímající port/službu (Od , Komu ).
Jediné, co musíte udělat, je zadat IP adresu (např. 192.168.0.102) nebo celou podsíť (např. 192.168.0.0/24 pro adresy IPv4 v rozsahu od 192.168.0.0 do 192.168.0.255).
V mém příkladu nastavím pravidlo, které povolí všechny příchozí požadavky TCP SSH ze systémů v mé podsíti na konkrétní síťové rozhraní počítače, na kterém právě běžím. Pravidlo přidám za všechna svá standardní pravidla IP, aby nabylo účinnosti nad ostatními pravidly, která jsem nastavil.
Zavřít menu.
Pravidlo bylo úspěšně přidáno za ostatní standardní pravidla IP.
Upravit pravidla
Kliknutím na pravidlo v seznamu pravidel jej zvýrazníte. Nyní, když kliknete na ikonu malého ozubeného kolečka ve spodní části můžete upravit zvýrazněné pravidlo.
Otevře se nabídka, která vypadá podobně jako Pokročilé menu, které jsem vysvětlil v minulé sekci.
Poznámka: Úprava jakýchkoli možností pravidla jej přesune na konec seznamu.
Nyní můžete vybrat možnost Použít upravte pravidlo a přesuňte jej na konec seznamu nebo stiskněte Zrušit .
Odstranit pravidla
Po výběru (zvýraznění) pravidla můžete také kliknout na – ikonu.
Přehledy
Vyberte Přehled tab. Zde můžete vidět služby, které jsou aktuálně spuštěny (spolu s informacemi o nich, jako je protokol, port, adresa a název aplikace). Zde můžete Pozastavit přehled poslechu (ikona Pozastavit) nebo Vytvořte pravidlo ze zvýrazněné služby z přehledu poslechu (+ ikona) .
Protokoly
Vyberte Protokoly tab. Zde budete muset zkontrolovat, zda nejsou podezřelá pravidla. Pokusil jsem se vytvořit některá neplatná pravidla, abych vám ukázal, jak mohou vypadat, když nevíte, proč nemůžete přidat určité pravidlo. Ve spodní části jsou dvě ikony. Kliknutím na první ikonu zkopírujete protokoly do schránky a kliknutím na druhou ikonu vymaže protokol .
Zabalení
Správně nakonfigurovaný firewall může výrazně přispět k vašemu zážitku s Ubuntu, díky čemuž je používání vašeho počítače bezpečnější a umožní vám mít plnou kontrolu nad příchozím a odchozím provozem.
Popsal jsem různá použití a režimy GUFW , jak nastavit různá pravidla a nakonfigurovat firewall podle vašich potřeb. Doufám, že vám tento průvodce pomohl.
Pokud jste začátečník, mělo by to být komplexní průvodce; i když jste zběhlejší ve světě Linuxu a možná si namočíte nohy do serverů a sítí, doufám, že jste se naučili něco nového.
Dejte nám vědět v komentářích, zda vám tento článek pomohl a proč jste se rozhodli, že firewall zlepší váš systém!