Algajatele võib olla keeruline õppida, kuidas iptabeli tööriistaga tulemüüri õigesti konfigureerida ja hallata, kuid UFW lihtsustab seda.
UFW (Uncomplicated Firewall) on kasutajasõbralik kasutajaliides iptabeli tulemüürireeglite haldamiseks.
See õpetus näitab, kuidas Debian 9-s UFW-ga tulemüüri seadistada.
Enne selle õpetusega jätkamist veenduge, et kasutajal, kellena olete sisse logitud, on sudo õigused.
UFW ei ole Debian 9-s vaikimisi paigaldatud. UFW paketi saate paigaldada järgmise käsuga:
sudo apt install ufw
sudo ufw status verbose
Status: inactive
Vaikimisi blokeerib UFW kõik sissetulevad ühendused ja lubab kõik väljaminevad ühendused. See tähendab, et kõik kes proovivad teie serverile ligi pääseda, ei saa ühendust luua, kui te spetsiaalselt porti ei ava. Samal ajal kui kõik teie serveris töötavad rakendused ja teenused pääsevad ligi välismaailmale. Vaikepoliitikad on määratletud failis /etc/default/ufw ja neid saab muuta käsuga sudo ufw default <policy> <chain>
Tulemüüripoliitikad on aluseks üksikasjalikumate ja kasutaja määratletud reeglite koostamisel. Enamikul juhtudel on esialgsed UFW vaikepoliitikad heaks lähtepunktiks.
Apt-ga paketi paigaldamisel lisab see kataloogi /etc/ufw/applications.d rakenduse profiili, mis kirjeldab teenust ja sisaldab UFW sätteid.
Kõigi teie süsteemitüübis saadaolevate rakendusprofiilide loetlemiseks käivitage järgmine käsk:
sudo ufw app list
Available applications:
DNS
IMAP
IMAPS
OpenSSH
POP3
POP3S
Postfix
Postfix SMTPS
Postfix Submission
...
sudo ufw app info OpenSSH
Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.
Port:
22/tcp
Enne UFW tulemüüri lubamist peame esmalt lubama sissetulevad SSH ühendused.
Kui loote ühenduse oma serveriga teisest asukohast (mis on peaaegu alati nii) ja lubate enne sissetulevate SSH ühenduste selgesõnalist lubamist UFW tulemüüri, siis ei saa te enam luua Debiani serveriga ühendust.
UFW tulemüüri konfigureerimiseks sissetulevate SSH ühenduste lubamiseks käivitage järgmine käsk:
sudo ufw allow OpenSSH
Rules updated
Rules updated (v6)
Näiteks teie SSH server kuulab porti 8822, seejärel saate selles pordis ühenduste lubamiseks kasutada järgmist käsku:
sudo ufw allow 8822/tcp
Nüüd kui teie UFW tulemüür on konfigureeritud lubama sissetulevaid SSH ühendusi, siis saate selle lubada käivitades käsi:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
Sõltuvalt teie serveris töötavatest rakendustest ja teie konkreetsetest vajadustest, peate lubama sissetuleva juurdepääsu ka mõnele teisele pordile.
Allpool on mõned näited selle kohta, kuidas lubada sissetulevaid ühendusi mõne kõige levinuma teenusega.
HTTP ühendusi (port 80) saab lubada järgmise käsuga:
sudo ufw allow http
sudo ufw allow 80/tcp
sudo ufw allow https
sudo ufw allow 443/tcp
sudo ufw allow 8080/tcp
UFW-ga saate lubada juurdepääsu ka pordivahemikele. UFW-ga pordivahemike lubamisel peate määrama protokolli, kas tcp või udp.
Näiteks pordide 7100–7200 lubamiseks nii tcp-l kui ka udp-l käivitage järgmine käsk:
sudo ufw allow 7100:7200/udp
sudo ufw allow from 64.61.72.60
sudo ufw allow from 64.63.62.61 to any port 22
Näiteks kui soovite lubada juurdepääsu IP aadressidele vahemikus 192.168.1.1 kuni 192.168.1.254 kuni pordini 3360 (MySQL), käivitage järgmine käsk:
sudo ufw allow from 192.168.1.0/24 to any port 3306
UFW reeglite kustutamiseks on kaks erinevat viisi: reegli numbri järgi ja tegeliku reegli täpsustamine.
UFW reeglite kustutamine reegli numbri järgi on lihtsam, eriti kui olete UFW-ga alles alustanud.
Reegli kustutamiseks reegli numbri järgi peate esmalt leidma kustutatava reegli numbri. Selleks käivitage järgmine käsk:
sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 8080/tcp ALLOW IN Anywhere
sudo ufw delete 3
sudo ufw delete allow 8069
Kui soovite mingil põhjusel UFW peatada ja kõik reeglid desaktiveerida, sisestage järgmine käsk:
sudo ufw disable
sudo ufw enable
UFW lähtestamiseks sisestage järgmine käsk:
sudo ufw reset
Olete õppinud, kuidas paigaldada ja konfigureerida oma Debian 9 masinasse UFW tulemüüri. Lubage kindlasti kõik sissetulevad ühendused, mis on vajalikud teie süsteemi nõuetekohaseks toimimiseks, piirates samas kõiki mittevajalikke ühendusi.