So richten Sie UFW Firewall auf Ubuntu und Debian ein

So richten Sie UFW Firewall auf Ubuntu und Debian ein

Eine korrekt funktionierende Firewall ist der wichtigste Teil der vollständigen Linux -Systemsicherheit. Standardmäßig wird Debian und Ubuntu Distribution mit einem Firewall -Konfigurationstool aufgerufen UFW (Unkomplizierte Firewall), ist ein beliebtes und benutzerfreundliches Befehlszeilen-Tool zum Konfigurieren und Verwalten einer Firewall auf Ubuntu Und Debian Verteilungen.

In diesem Artikel werden wir erklären, wie Sie a installieren und einrichten können UFW Firewall an Ubuntu Und Debian Verteilungen.

Voraussetzungen

Bevor Sie mit diesem Artikel beginnen, stellen Sie sicher. Wenn Sie keinen Sudo -Benutzer haben, können Sie einen mit den folgenden Anweisungen als Root -Benutzer erstellen.

# Adduser Benutzername # Usermod -Ag sudo username # su - username $ sudo whoami 

Installieren Sie UFW Firewall auf Ubuntu und Debian

Der UFW (Unkomplizierte Firewall) sollte standardmäßig in Ubuntu und Debian installiert werden, falls nicht, installieren Sie es mit dem APT -Paket -Manager mit dem folgenden Befehl.

$ sudo apt installieren Sie UFW 

Überprüfen Sie die UFW -Firewall

Sobald die Installation abgeschlossen ist, können Sie den Status von UFW durch Eingabe überprüfen.

$ sudo UFW Status wortreich 

Bei der ersten Installation ist die UFW -Firewall standardmäßig deaktiviert. Die Ausgabe ähnelt unten wie unten.

Status: inaktiv 

Aktivieren Sie die UFW -Firewall

Sie können die UFW -Firewall mit dem folgenden Befehl aktivieren oder aktivieren, der die Firewall laden sollte und es ihm ermöglicht, mit dem Start zu beginnen.

$ sudo ufw aktivieren 

Verwenden Sie den folgenden Befehl, der die Firewall entlädt und deaktiviert, um die UFW -Firewall zu deaktivieren, und deaktiviert sie vom Start mit dem Start.

$ sudo ufw deaktivieren 

UFW -Standardrichtlinien

Standardmäßig verweigert die UFW -Firewall alle eingehenden Verbindungen und erlaubt nur alle ausgehenden Verbindungen zum Server. Dies bedeutet, dass niemand auf Ihren Server zugreifen kann, es sei denn, Sie öffnen den Port speziell, während alle laufenden Dienste oder Anwendungen auf Ihrem Server in der Lage sein können, auf das externe Netzwerk zuzugreifen.

Die Standard -UFW -Firewall -Richtlinien sind in die platziert /etc/Standard/UFW Datei und kann mit dem folgenden Befehl geändert werden.

$ sudo ufw standladung eingehalten $ sudo ufw standhilfe zulassen ausgehändig 

UFW -Anwendungsprofile

Bei der Installation eines Softwarepakets mithilfe GEEIGNET Packungsmanager enthält ein Anwendungsprofil in /etc/ufw/applications.D Verzeichnis, das den Dienst definiert und die UFW -Einstellungen abhält.

Sie können alle verfügbaren Anwendungsprofile auf Ihrem Server über den folgenden Befehl auflisten.

$ sudo UFW App -Liste 

Abhängig von Softwarepaketinstallationen in Ihrem System sieht die Ausgabe ähnlich aus wie folgt:

Verfügbar 

Wenn Sie weitere Informationen zu einem bestimmten Profil und definierten Regeln erhalten möchten, können Sie den folgenden Befehl verwenden.

$ sudo UFW App Info 'Apache' ' 
Profil: Apache -Titel: Webserver Beschreibung: Apache V2 ist die nächste Generation F Der allgegenwärtige Apache -Webserver. Ports: 80/TCP 

Aktivieren Sie IPv6 mit UFW

Wenn Ihr Server mit konfiguriert ist mit IPv6, Stellen Sie sicher, dass Ihre UFW ist konfiguriert mit IPv6 Und IPv4 Unterstützung. Öffnen Sie die UFW -Konfigurationsdatei mit Ihrem bevorzugten Editor, um dies zu überprüfen.

$ sudo vi/etc/default/ufw 

Dann stellen Sie sicher "IPv6" ist eingestellt auf "Ja" In der Konfigurationsdatei wie gezeigt.

IPv6 = Ja 

Speichern und Beenden. Starten Sie dann Ihre Firewall mit den folgenden Befehlen neu:

$ sudo ufw deaktivieren $ sudo ufw aktivieren 

Erlauben Sie SSH -Verbindungen auf UFW

Wenn Sie die UFW -Firewall inzwischen aktiviert haben, blockieren Sie alle eingehenden Verbindungen. Wenn Sie über SSH über SSH über SSH verbunden sind, können Sie ihn nicht mehr erneut anschließen.

Lassen Sie uns SSH -Verbindungen zu unserem Server ermöglichen, um dies mit dem folgenden Befehl zu verhindern:

$ sudo ufw erlauben ssh 

Wenn Sie einen benutzerdefinierten SSH -Port verwenden (z. B. Port -Port 2222), dann müssen Sie diesen Port auf UFW Firewall mit dem folgenden Befehl öffnen.

$ sudo ufw erlauben 2222/tcp 

So blockieren Sie alle SSH -Verbindungen ein, geben Sie den folgenden Befehl ein.

$ sudo ufw deny ssh/tcp $ sudo ufw Deny 2222/tcp [wenn benutzerdefinierte SSH -Port verwendet] 

Aktivieren Sie bestimmte Ports auf UFW

Sie können auch einen bestimmten Port in der Firewall öffnen, um Verbindungen über ihn zu einem bestimmten Dienst zu ermöglichen. Wenn Sie beispielsweise einen Webserver einrichten möchten, der auf Port zuhört 80 (Http) Und 443 (Https) standardmäßig.

Im Folgenden finden Sie die wenigen Beispiele, um eingehende Verbindungen zu Apache -Diensten zu ermöglichen.

Öffnen Sie Port 80 HTTP auf UFW
$ sudo ufw erlauben http [nach service name] $ sudo ufw erlauben 80/tcp [nach Portnummer] $ sudo ufw 'apache' [nach Anwendungsprofil] zulassen 
Öffnen Sie Port 443 HTTPS auf UFW
$ sudo ufw erlauben https $ sudo ufw erlauben 443/tcp $ sudo ufw zulassen 'apache sicher' 

Erlauben Sie den Portbereiche auf UFW

Angenommen, Sie haben einige Anwendungen, die Sie auf einer Reihe von Ports ausführen möchten (5000-5003), Sie können alle diese Ports mit den folgenden Befehlen hinzufügen.

sudo ufw erlauben 5000: 5003/tcp sudo ufw zulassen 5000: 5003/udp 

Zulassen Sie spezifische IP -Adressen zu

Wenn Sie Verbindungen zu allen Ports von einer bestimmten IP -Adresse zulassen möchten 192.168.56.1, Dann müssen Sie vor der IP -Adresse angeben.

$ sudo ufw erlauben ab 192.168.56.1 

Ermöglichen Sie spezifische IP -Adressen auf einem bestimmten Port

Um eine Verbindung zu einem bestimmten Port zu ermöglichen (z. B. Port -Port 22) von Ihrer Heimmaschine mit IP -Adresse von 192.168.56.1, Dann müssen Sie hinzufügen Jeder Hafen und das Port-Nummer Nach der IP -Adresse wie gezeigt.

$ sudo ufw erlauben ab 192.168.56.1 zu jedem Port 22 

Lassen Sie die Netzwerkunternetze für einen bestimmten Port zulassen

Um Verbindungen für bestimmte IP -Adressen zu ermöglichen, reichen 192.168.1.1 Zu 192.168.1.254 zum Hafen 22 (Ssh), führen Sie den folgenden Befehl aus.

$ sudo ufw erlauben ab 192.168.1.0/24 zu einem beliebigen Port 22 

Zulassen Sie eine spezifische Netzwerkschnittstelle

Um Verbindungen zur bestimmten Netzwerkschnittstelle zu ermöglichen Eth2 für einen bestimmten Port 22 (Ssh), führen Sie den folgenden Befehl aus.

$ sudo UFW erlauben ETH2 in einen beliebigen Port 22 

Verbindungen auf UFW verweigern

Standardmäßig werden alle eingehenden Verbindungen blockiert, es sei denn, Sie haben die Verbindung auf UFW speziell geöffnet. Zum Beispiel haben Sie die Ports geöffnet 80 Und 443 und Ihr Webserver wird vom unbekannten Netzwerk angegriffen 11.12.13.0/24.

Alle Verbindungen von diesem speziellen zu blockieren 11.12.13.0/24 Netzwerkbereich können Sie den folgenden Befehl verwenden.

$ sudo ufw leugnen von 11.12.13.0/24 

Wenn Sie nur Verbindungen an Ports blockieren möchten 80 Und 443, Sie können die folgenden Befehle verwenden.

$ sudo ufw leugnen von 11.12.13.0/24 an einen Port 80 $ sudo ufw abgelehnt von 11.12.13.0/24 zu einem beliebigen Port 443 

UFW -Regeln löschen

Es gibt 2 Möglichkeiten, UFW -Regeln zu löschen, von Regelnummer und von tatsächliche Regel.

Zum Löschen einer UFW -Regeln durch Verwendung Regelnummer, Zuerst müssen Sie Regeln nach Zahlen unter Verwendung des folgenden Befehls auflisten.

$ sudo UFW Status nummeriert 
Probenausgabe
Status: aktiv zur Aktion von------- ---- [1] 22/tcp in AnyTy [2] 80/TCP überall zulassen 

Regelnummer löschen 1, Verwenden Sie den folgenden Befehl.

$ sudo ufw löschen 1 

Die zweite Methode besteht darin, eine Regel durch die Verwendung der zu löschen tatsächliche Regel, Geben Sie beispielsweise die Portnummer mit Protokoll wie gezeigt an, um eine Regel zu löschen.

$ sudo ufw delete erlauben 22/tcp 

Trockenlauf UFW -Regeln

Sie können UFW -Befehle ausführen, ohne tatsächlich Änderungen in der Systemfeuerwall mit der --Probelauf Flagge, dies zeigt einfach die Änderungen, die angenommen werden, wo er passieren soll.

$ sudo ufw-trockenrund aktivieren 

UFW Firewall zurücksetzen

Wenn Sie alle Firewall -Regeln löschen / zurücksetzen möchten, geben Sie die folgenden Befehle ein, wenn Sie alle Firewall -Regeln löschen / zurücksetzen möchten, und starten Sie alle Ihre Änderungen und beginnen neu, frisch zu beginnen.

$ sudo UFW Zurücksetzen $ sudo ufw Status 

UFW Erweiterte Funktionalität

Der UFW Firewall kann es schaffen, alles zu tun, was Iptables tut. Dies kann mit verschiedenen Sätzen von Regelnungsdateien erfolgen, die nichts, sondern einfach sind iptables-restore Textdateien.

Das Tuning von UFW -Firewall oder das Hinzufügen zusätzlicher Iptables -Befehle sind nicht über den UFW -Befehl zulässig. Es ist nur eine Frage der Änderung der folgenden Textdateien

  • /etc/Standard/UFW: Die Hauptkonfigurationsdatei mit vordefinierten Regeln.
  • /etc/ufw/vor [6].Regeln: In diesen Dateiregeln werden die Regeln berechnet, bevor Sie über UFW -Befehl addiert haben.
  • /etc/ufw/nach [6].Regeln: In diesen Dateiregeln werden die Regeln berechnet, nachdem Sie den Befehl UFW hinzufügen.
  • /etc/ufw/sysctl.Conf: Diese Datei wird verwendet, um das Kernel -Netzwerk zu stimmen.
  • /etc/ufw/ufw.Conf: Diese Datei aktiviert das UFW im Start.

Das ist es! UFW ist ein ausgezeichnetes Front-End zu iptables mit einer benutzerfreundlichen Schnittstelle, um komplexe Regeln mit einem einzigen UFW -Befehl zu definieren.

Wenn Sie Fragen oder Gedanken über diesen UFW -Artikel mitteilen, verwenden Sie das folgende Kommentarformular, um uns zu erreichen.