Как настроить брандмауэр с помощью UFW на Debian 9

Debian включает в себя несколько пакетов, которые предоставляют инструменты для управления брандмауэром с iptables, установленным как часть базовой системы. Новичкам может быть сложно научиться использовать инструмент iptables для правильной настройки и управления брандмауэром, но UFW упрощает его.

UFW (несложный брандмауэр) - это удобный интерфейс для управления правилами брандмауэра iptables, и его главная цель - упростить управление iptables или, как следует из названия, несложно.

В этом руководстве мы покажем вам, как настроить брандмауэр с UFW в Debian 9.

Предпосылки

Прежде чем приступить к этой обучающей программе, убедитесь, что пользователь вы вошли в систему как имеет привилегии SUDO.

Установить UFW

UFW не устанавливается по умолчанию в Debian 9. Вы можете установить пакет ufw , набрав:

sudo apt install ufw

Проверьте статус UFW

После завершения процесса установки вы можете проверить состояние UFW с помощью следующей команды:

sudo ufw status verbose

Вывод будет выглядеть так:

Status: inactive

UFW по умолчанию отключен. Установка не активирует брандмауэр автоматически, чтобы избежать блокировки с сервера.

Если UFW активирован, вывод будет выглядеть примерно так:

UFW Политики по умолчанию

По умолчанию UFW блокирует все входящие подключения и разрешает все исходящие подключения. Это означает, что любой, кто пытается получить доступ к вашему серверу, не сможет подключиться, если вы не откроете порт специально, а все приложения и службы, работающие на вашем сервере, смогут получить доступ к внешнему миру.

Политики по умолчанию определены в /etc/default/ufw и могут быть изменены с помощью sudo ufw default команда.

Политики брандмауэра являются основой для создания более подробных и определенных пользователем правил. В большинстве случаев исходные политики UFW по умолчанию являются хорошей отправной точкой.

Профили приложений

При установке пакета с помощью apt он добавит профиль приложения в каталог /etc/ufw/applications.d который описывает сервис и содержит настройки UFW.

Чтобы просмотреть все профили приложений, доступные в вашей системе, выполните следующие действия.

sudo ufw app list

В зависимости от пакетов, установленных в вашей системе, результат будет выглядеть примерно так:

Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…

Чтобы найти дополнительную информацию о конкретном профиле и включенных правилах, используйте следующую команду:

sudo ufw app info OpenSSH

Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp

Приведенный выше вывод говорит нам, что профиль OpenSSH открывает порт 22 .

Разрешить SSH-соединения

Перед включением брандмауэра UFW сначала нам нужно разрешить входящие SSH-соединения.

Если вы подключаетесь к своему серверу из удаленного местоположения, что почти всегда происходит, и вы включаете брандмауэр UFW, прежде чем явно разрешить входящие соединения SSH, вы больше не сможете подключиться к вашему серверу Debian.

Чтобы настроить брандмауэр UFW для разрешения входящих SSH-соединений, выполните следующую команду:

sudo ufw allow OpenSSH

Rules updated Rules updated (v6)

Если сервер SSH прослушивает порт, отличный от порта по умолчанию 22, вам необходимо открыть этот порт.

Например, ваш ssh-сервер прослушивает порт 8822 , затем вы можете использовать следующую команду, чтобы разрешить подключения к этому порту:

sudo ufw allow 8822/tcp

Включить UFW

Теперь, когда ваш брандмауэр UFW настроен на разрешение входящих SSH-соединений, вы можете включить его, выполнив:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

Вы будете предупреждены, что включение брандмауэра может нарушить существующие ssh-соединения, просто введите y и нажмите Enter .

Разрешить соединения на других портах

В зависимости от приложений, работающих на вашем сервере, и ваших конкретных потребностей, вам также потребуется разрешить входящий доступ к некоторым другим портам.

Ниже приведены несколько примеров того, как разрешить входящие соединения с некоторыми из наиболее распространенных служб:

Открытый порт 80 - HTTP

HTTP-соединения могут быть разрешены с помощью следующей команды:

sudo ufw allow

Вместо профиля http вы можете использовать номер порта, 80 :

sudo ufw allow 80/tcp

Открытый порт 443 - HTTPS

HTTP-соединения могут быть разрешены с помощью следующей команды:

sudo ufw allow

Для достижения того же вместо https вы можете использовать номер порта, 443 :

sudo ufw allow 443/tcp

Открытый порт 8080

sudo ufw allow 8080/tcp

Разрешить диапазоны портов

С UFW вы также можете разрешить доступ к диапазонам портов. При разрешении диапазонов портов с помощью UFW необходимо указать протокол, tcp или udp .

Например, чтобы разрешить порты от 7100 до 7200 для tcp и udp , выполните следующую команду:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

Разрешить конкретные IP-адреса

sudo ufw allow from 64.63.62.61

Разрешить определенные IP-адреса на конкретном порту

Чтобы разрешить доступ к определенному порту, скажем, порт 22 вашей рабочей машины с IP-адресом 64.63.62.61, используйте следующую команду:

sudo ufw allow from 64.63.62.61 to any port 22

Разрешить подсети

Команда для разрешения подключения к подсети IP-адресов такая же, как и при использовании одного IP-адреса, с той лишь разницей, что вам нужно указать маску сети. Например, если вы хотите разрешить доступ для IP-адресов в диапазоне от 192.168.1.1 до 192.168.1.254 к порту 3360 (MySQL), вы можете использовать эту команду:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Разрешить подключения к определенному сетевому интерфейсу

Чтобы разрешить доступ к определенному порту, скажем, порт 3360 только для определенного сетевого интерфейса eth2 , используйте allow in on и имя сетевого интерфейса:

sudo ufw allow in on eth2 to any port 3306

Запретить соединения

Политика по умолчанию для всех входящих подключений установлена ​​на deny что означает, что UFW будет блокировать все входящие подключения, если вы специально не откроете подключение.

Допустим, вы открыли порты 80 и 443 и ваш сервер 23.24.25.0/24 атаке со стороны сети 23.24.25.0/24 . Чтобы запретить все соединения с 23.24.25.0/24 , используйте следующую команду:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

Написание запрещающих правил - это то же самое, что написание разрешающих правил, вам нужно только заменить allow на deny .

Удалить правила UFW

Существует два способа удаления правил UFW: по номеру правила и указанию фактического правила.

Удаление правил UFW по номеру правила проще, особенно если вы новичок в UFW.

Чтобы сначала удалить правило по номеру правила, вам нужно найти номер правила, которое вы хотите удалить. Для этого выполните следующую команду:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

Чтобы удалить правило № 3, которое разрешает подключения к порту 8080, вы можете использовать следующую команду:

sudo ufw delete 2

Второй способ - удалить правило, указав фактическое правило. Например, если вы добавили правило для открытия порта 8069 вы можете удалить его с помощью:

sudo ufw delete allow 8069

Отключить UFW

Если по какой-либо причине вы хотите остановить UFW и деактивировать все правила, выполните:

sudo ufw disable

Позже, если вы хотите снова включить UTF и активировать все правила, просто введите:

sudo ufw enable

Сброс UFW

Сброс UFW отключит UFW и удалит все активные правила. Это полезно, если вы хотите отменить все свои изменения и начать все сначала.

Для сброса UFW просто введите следующую команду:

sudo ufw reset

Вывод

Вы узнали, как установить и настроить брандмауэр UFW на вашем компьютере с Debian 9. Обязательно разрешите все входящие подключения, которые необходимы для правильного функционирования вашей системы, ограничивая при этом все ненужные подключения.

UFW Firewall Iptables Debian Security