Debian

Werken met Debian Firewalls (UFW)

Werken met Debian Firewalls (UFW)
Ongecompliceerde Firewall (UFW) is een frontend voor Iptables, de software die we gewoonlijk gebruiken om netfilter te beheren, een filterfunctie die is opgenomen in de Linux Kernel. Omdat het beheren van Iptables van midden tot geavanceerd netwerkbeheer kennis vereist, zijn front-ends ontwikkeld om de taak gemakkelijker te maken, Uncomplicated Firewall is daar een van en zal in deze tutorial worden uitgelegd.

Opmerking: voor deze tutorial de netwerkinterface enp2s0 en IP-adres 192.168.0.2/7 werden als voorbeeld gebruikt, vervang ze door de juiste.

ufw installeren:

Om ufw op Debian run te installeren:

apt install ufw

UFW-run inschakelen:

ufw inschakelen

UFW-run uitschakelen:

ufw uitschakelen

Als u een snelle controle van uw firewallstatus wilt uitvoeren:

ufw-status

Waar:

Toestand: informeert of de firewall actief is.
Naar: toont de poort of dienst
Actie: toont het beleid
Van: toont de mogelijke verkeersbronnen.

We kunnen de firewallstatus ook uitgebreid controleren door het volgende uit te voeren:

ufw status uitgebreid

Deze tweede opdracht om de firewallstatus te zien, geeft ook het standaardbeleid en de verkeersrichting weer.

Naast informatieve schermen met "ufw-status" of "ufw-status uitgebreid" kunnen we alle regels genummerd afdrukken als het helpt om ze te beheren, zoals u later zult zien. Om een ​​genummerde lijst van uw firewallregels uit te voeren:

ufw status genummerd

In elk stadium kunnen we de UFW-instellingen terugzetten naar de standaardconfiguratie door het volgende uit te voeren:

ufw reset

Bij het resetten van de ufw-regels wordt om bevestiging gevraagd. druk op Y bevestigen.

Korte inleiding tot het firewallbeleid:

Met elke firewall kunnen we een standaardbeleid bepalen, gevoelige netwerken kunnen een beperkend beleid toepassen, wat inhoudt dat al het verkeer wordt geweigerd of geblokkeerd, behalve het specifiek toegestane. In tegenstelling tot een restrictief beleid, accepteert een permissieve firewall al het verkeer behalve het specifiek geblokkeerde.

Als we bijvoorbeeld een webserver hebben en we willen niet dat die server meer dient dan een eenvoudige website, kunnen we een restrictief beleid toepassen dat alle poorten blokkeert, behalve poorten 80 (http) en 443 (https), dat zou een restrictief beleid zijn omdat standaard alle poorten zijn geblokkeerd, tenzij u een specifieke deblokkeert. Een voorbeeld van een toegestane firewall is een onbeveiligde server waarin we alleen de inlogpoort blokkeren, bijvoorbeeld 443 en 22 voor Plesk-servers als alleen geblokkeerde poorten. Bovendien kunnen we ufw gebruiken om doorsturen toe te staan ​​of te weigeren.

Beperkend en permissief beleid toepassen met ufw:

Om al het inkomende verkeer standaard te beperken met ufw run:

ufw standaard inkomende weigeren

Om het tegenovergestelde te doen en al het inkomende verkeer te laten lopen:

ufw standaard inkomende toestaan


Om al het uitgaande verkeer van ons netwerk te blokkeren, is de syntaxis vergelijkbaar, om het te doen:

Om al het uitgaande verkeer toe te laten, vervangen we gewoon "ontkennen" voor "toestaan”, om uitgaand verkeer onvoorwaardelijk te laten verlopen:

We kunnen ook verkeer voor specifieke netwerkinterfaces toestaan ​​of weigeren, met verschillende regels voor elke interface, om al het inkomende verkeer van mijn ethernetkaart te blokkeren die ik zou gebruiken:

ufw weigeren in op enp2s0

Waar:

oeps= roept het programma op
ontkennen= definieert het beleid
in= inkomend verkeer
enp2s0= mijn ethernet-interface

Nu zal ik een standaard restrictief beleid toepassen voor inkomend verkeer en dan alleen poorten 80 en 22 toestaan:

ufw standaard inkomende weigeren
ufw toestaan ​​22
ufw toestaan ​​http

Waar:
De eerste opdracht blokkeert al het inkomende verkeer, terwijl de tweede inkomende verbindingen naar poort 22 toestaat en de derde opdracht inkomende verbindingen naar poort 80 toestaat. Let daar op ufw stelt ons in staat om de service aan te roepen met de standaardpoort of servicenaam. We kunnen verbindingen met poort 22 of ssh, poort 80 of http . accepteren of weigeren.

Het bevel "ufw-status uitgebreid” zal het resultaat tonen:

Al het inkomende verkeer wordt geweigerd terwijl de twee services (22 en http) die we hebben toegestaan ​​beschikbaar zijn.

Als we een specifieke regel willen verwijderen, kunnen we dit doen met de parameter “verwijderen”. Om onze laatste regel te verwijderen die inkomend verkeer naar poort http run toestaat:

ufw verwijderen toestaan ​​http

Laten we eens kijken of de http-services beschikbaar blijven of worden geblokkeerd door te draaien ufw status uitgebreid:

De poort 80 verschijnt niet meer als een uitzondering, omdat poort 22 de enige is.

U kunt een regel ook verwijderen door de numerieke ID op te roepen die u met de opdracht 'ufw status genummerd” eerder vermeld, in dit geval zal ik de . verwijderen ONTKENNEN beleid voor inkomend verkeer naar de ethernetkaart enp2s0:

ufw verwijderen 1

Het zal om bevestiging vragen en zal doorgaan als het is bevestigd.

Daarnaast om ONTKENNEN we kunnen de parameter gebruiken: AFWIJZEN die de andere partij zal informeren dat de verbinding is geweigerd, om AFWIJZEN verbindingen met ssh die we kunnen uitvoeren:

ufw weigeren 22


Als iemand vervolgens toegang probeert te krijgen tot onze poort 22, krijgt hij een melding dat de verbinding is geweigerd, zoals in de onderstaande afbeelding.

In elk stadium kunnen we de toegevoegde regels over de standaardconfiguratie controleren door het volgende uit te voeren:

ufw toon toegevoegd

We kunnen alle verbindingen weigeren terwijl we specifieke IP-adressen toestaan, in het volgende voorbeeld zal ik alle verbindingen naar poort 22 weigeren behalve de IP 192.168.0.2 die als enige verbinding kunnen maken:

ufw ontkennen 22
ufw toestaan ​​vanaf 192.168.0.2


Als we nu de ufw-status controleren, ziet u dat al het inkomende verkeer naar poort 22 wordt geweigerd (regel 1) terwijl het is toegestaan ​​voor het opgegeven IP-adres (regel 2)

We kunnen de inlogpogingen beperken om brute force-aanvallen te voorkomen door een limiet in te stellen:
ufw limiet ssh

Om deze tutorial te beëindigen en de vrijgevigheid van ufw te leren waarderen, laten we de manier onthouden waarop we al het verkeer konden weigeren, behalve een enkel IP-adres met behulp van iptables:

iptables -A INGANG -s 192.168.0.2 -j ACCEPTEREN
iptables -A UITGANG -d 192.168.0.2 -j ACCEPTEREN
iptables -P INPUT DROP
iptables -P OUTPUT DROP

Hetzelfde kan worden gedaan met slechts 3 kortere en eenvoudigste regels met ufw:

ufw standaard inkomende weigeren
ufw standaard uitgaande weigeren
ufw toestaan ​​vanaf 192.168.0.2


Ik hoop dat je deze introductie tot ufw nuttig vond. Voor vragen over UFW of Linux-gerelateerde vragen, aarzel niet om contact met ons op te nemen via ons ondersteuningskanaal op https://support.linuxhint.com.

Gerelateerde artikelen

Iptables voor beginners
Snort IDS configureren en regels maken

Spellen Beste opdrachtregelspellen voor Linux
Beste opdrachtregelspellen voor Linux
De opdrachtregel is niet alleen je grootste bondgenoot bij het gebruik van Linux, hij kan ook de bron van entertainment zijn omdat je hem kunt gebruik...
Spellen Beste gamepad-toewijzingsapps voor Linux
Beste gamepad-toewijzingsapps voor Linux
Als je graag games op Linux speelt met een gamepad in plaats van een typisch toetsenbord- en muisinvoersysteem, zijn er enkele handige apps voor jou. ...
Spellen Handige hulpmiddelen voor Linux-gamers
Handige hulpmiddelen voor Linux-gamers
Als je graag games op Linux speelt, is de kans groot dat je apps en hulpprogramma's zoals Wine, Lutris en OBS Studio hebt gebruikt om de game-ervaring...