Ghid esențial UFW: Comenzi și reguli de bază pentru firewall

Introducere

UFW este un utilitar de configurare pentru firewall care, de fapt, gestionează aplicația iptables. Acest ghid oferă explicații simple pentru comenzile UFW care, vor crea reguli pentru aplicația firewall iptables. Comenzi care vă vor fi utile în scenariile posibile din viața reală. Acest ghid include și exemple UFW de permisiune și blocare a diverselor servicii cu ajutorul porturilor, a plăcii de rețea sau a IP – ului sursă.

Cum să folosiți acest ghid

  • Dacă folosiți pentru prima data UFW pentru configurarea firewall-ului, puteți citi și articolul despre Prezentarea aplicației firewall UFW, sau puteți găsi mai multe instrucțiuni pe pagina oficială UFW.
  • Majoritatea regulilor care sunt descrise aici pornesc de la prezumția că folosiți setul de reguli UFW implicit. Asta înseamnă, de fapt, că se permite traficul către internet și se blochează tot ce vine din internet, cu ajutorul politicilor implicite. Prin urmare, va trebui să selectați ce trafic veți permite din exterior.
  • Folosiți oricare dintre secțiunile articolului care se potrivesc la ceea ce încercați să obțineți. Majoritatea secțiunilor nu sunt legate logic între ele, așa că le puteți folosi independent.
  • Folosiți funcția de căutare text a browserului dvs. pentru a găsi secțiunile de care aveți nevoie.
  • Copiați și lipiți exemplele în linie de comandă date aici și înlocuiți variabilele cu propriile valori.

Nu uitați că puteți verifica setul de reguli curente UFW cu ajutorul comenzii sudo ufw status sau sudo ufw status verbose.

Blocarea unei adrese IP

Pentru a bloca toate conexiunile de rețea care își au originea de la o anumită adresă IP, de exemplu 15.15.15.51, rulați această comandă:

$ sudo ufw deny from 15.15.15.51

În acest exemplu, from 15.15.15.51 specifică o adresă IP sursă „15.15.15.51”. Dacă doriți, o subrețea cum ar fi 15.15.15.0/24, aceasta poate fi specificată în locul unei singure adrese. Adresa IP sursă poate fi în orice regulă de firewall, inclusiv o regulă de tip permite  – allow.

Blocarea conexiunilor către o interfață de rețea

Pentru a bloca conexiunile de la o anumită adresă IP, de exemplu 15.15.15.51,către o anumită interfață de rețea, ex. eth0, folosiți această comandă:

$ sudo ufw deny in on eth0 from 15.15.15.51

Este același lucru ca și în exemplul anterior, doar că se adaugă aici interfața eth0. Interfața de rețea poate fi specificată în orice regulă de firewall, și este o modalitate formidabilă de la limita traficul înspre și dinspre o anumită rețea.

Serviciul: SSH

Dacă folosiți un server cloud, probabil veți dori să permiteți conexiunile SSH din exterior (portul 22) pentru a vă putea conecta și gestiona serverul. Această secțiune tratează cum să configurați firewall-ul cu diverse reguli legate de protocolul SSH.

Permite SSH

Pentru a permite toate conexiunile SSH din exterior, rulați această comandă:

$ sudo ufw allow ssh

O sintaxă alternativă poate fi prin specificarea numărului portului corespunzător serviciului SSH:

$ sudo ufw allow 22

Permite SSH din exterior de la o anumită adresă IP sau subrețea

Pentru a permite conexiuni SSH de la o anumită adresă IP sau de la o subrețea, specificați sursa. De exemplu, dacă doriți să permiteți o întreagă subrețea 15.15.15.0/24, rulați această comandă:

$ sudo ufw allow from 15.15.15.0/24  to any port 22

Permite Rsync din exterior de la o anumită adresă IP sau subrețea

Rsync, care rulează pe portul 873, poate fi folosit în transferul fișierelor de la un calculator la altul.

Pentru a permite conexiuni rsync de la o anumită adresă IP sau o subrețea, specificați adresa IP sursă și portul destinație. De exemplu, dacă vreți să permiteți ca o întragă subrețea 15.15.15.0/24 să fie capabilă să execute rsync către serverul dvs., rulați această comandă:

$ sudo ufw allow from 15.15.15.0/24 to any port 873

Serviciu: Server Web

Serverele Web ca de exemplu Apache sau Nginx, de regulă ascultă cererile pe portul 80 sau pe 443, respectiv pentru conexiunile HTTP și HTTPS. Dacă politica dvs. implicită pentru traficul primit din exterior este să ignore sau să blocheze, probabil veți dori să creați reguli care vor permite serverulu dvs. să răspundă la aceste cereri.

Permite tot traficul HTTP din exterior

Pentru a permite toate conexiunile HTTP (portul 80) din exterior, rulați această comandă:

$ sudo ufw allow http

O sintaxă alternativă este specificarea numărului portului serviciului HTTP:

$ sudo ufw allow 80

Permite tot traficul HTTPS din exterior

Pentru a permite toate conexiunile HTTPS (portul 443) din exterior, rulați această comandă:

$ sudo ufw allow https

O sintaxă alternativă este specificarea numărului portului serviciului HTTPS:

$ sudo ufw allow 443

Permite tot traficul HTTP și HTTPS din exterior

Dacă vreți să permiteți atât trafic HTTP cât și HTTPS, puteți crea o singură regulă care permite (deschide) ambele porturi. Pentru a permite tot traficul din exterior HTTP și HTTPS (portul 443), rulați această comandă:

$ sudo ufw allow proto tcp from any to any port 80,443

De reținut că trebuie să specificați protocolul, cu ajutorul opțiunii proto tcp, în momentul în care deschideți mai multe porturi.

Serviciu: MySQL

MySQL verifică dacă are conexiuni de la clienți pe portul 3306. Dacă serverul dvs. de baze de date MySQL este folosit de un client pe un server la distanță, trebuie sa fiți siguri ca permiteți acest trafic.

Permite MySQL de la o anumită adresă IP sau subrețea

Pentru a permite conexiunile MySQL de la o adresă IP specifică sau de la o subrețea, specificați sursa. De exemplu, dacă doriți să permiteți întreaga subrețea 15.15.15.0/24, rulați această comandă:

$ sudo ufw allow from 15.15.15.0/24 to any port 3306

Permite MySQL către o anumită interfață de rețea

Pentru a permite conexiuni MySQL către o anumită interfață de rețea – să zicem că avem o interfață către o rețea privată eth1, folosiți această comandă:

$ sudo ufw allow in on eth1 to any port 3306

Serviciu: PostgreSQL

PostgreSQL ascultă conexiuni de clienți pe portul 5432. listens for client connections on port 5432. Dacă serverul dvs. de baze de date PostgreSQL este folosit de un client pe un server la distanță, trebuie sa fiți siguri ca permiteți acest trafic.

Permite PostgreSQL de la o anumită adresă IP sau subrețea

Pentru a permite conexiunile PostgreSQL de la o adresă IP specifică sau de la o subrețea, specificați sursa. De exemplu, dacă doriți să permiteți întreaga subrețea 15.15.15.0/24, rulați această comandă:

$ sudo ufw allow from 15.15.15.0/24 to any port 5432

Cea de-a doua parte a comanzii, care permite traficul care iese ca și conexiune stabilită de către PostgreSQL, este necesară numai dacă politica de ieșire OUTPUT nu este setată pe ACCEPT.

Permite PostgreSQL către o anumită interfață de rețea

Pentru a permite conexiuni PostgreSQL către o anumită interfață de rețea – să zicem că avem o interfață către o rețea privată eth1, folosiți această comandă:

$ sudo ufw allow in on eth1 to any port 5432

Cea de-a doua parte a comanzii, care permite traficul care iese ca și conexiune stabilită de către PostgreSQL, este necesară numai dacă politica de ieșire OUTPUT nu este setată pe ACCEPT.

Serviciu: Poșta electronică

Serverele de mail, cum ar fi Sendmail sau Postfix, ascultă pe o varietate de porturi în funcție de protocoalele folosite pentru livrarea mesajelor electronice. Dacă exploatați un server de mail, determinați care protocoale sunt folosite și permiteți tipurile de trafic potrivite. Vă vom arăta deasemenea cum să creați o regulă cu care să blocați traficul SMTP care iese (pleacă).

Blocare mesaje SMTP care pleacă (ies)

Dacă serverul dvs. nu ar trebui să trimită mesaje către alte rețele, veți dori cu siguranță să blocați acel tip de trafic. Pentru a bloca mail-uri care ies prin protocolul SMTP, care folosește portul 25, rulați această comandă:

$ sudo ufw deny out 25

Această comandă va configura firewall-ul să ignore tot traficul care iese prin portul 25. Dacă aveți nevoie să blocați alt serviciu cu ajutorul numărului de port, în loc de 25, pur și simplu îl înlocuiți cu ce număr vă trebuie.

Permite tot traficul SMTP care sosește în rețea

Pentru a permite serverului dvs. să răspundă la conexiunile SMTP, pe portul 25, rulați această comandă:

$ sudo ufw allow 25

Atenție: Este obișnuit pentru serverele SMTP să folosească portul 587 pentru mesajele electronice care sunt trimise (de ieșire).

Permite tot protocolul IMAP care sosește în rețea

Pentru a permite serverului dvs. să răspundă la conexiunile IMAP, portul 143, rulați această comandă:

$ sudo ufw allow 143

Permite tot protocolul IMAPS care sosește în rețea

Pentru a permite serverului dvs. să răspundă la conexiunile IMAPS, portul 993, rulați această comandă:

$ sudo ufw allow 993

Permite tot protocolul POP3 care sosește în rețea

Pentru a permite serverului dvs. să răspundă la conexiunile POP3, portul 110, rulați această comandă:

$ sudo ufw allow 110

Permite tot protocolul POP3S care sosește în rețea

Pentru a permite serverului dvs. să răspundă la conexiunile POP3S, portul 995, rulați această comandă:

$ sudo ufw allow 995

Concluzie

Acest tutorial ar trebui să acopere majoritatea comenzilor folosite în mod obișnuit de către UFW în momentul în care configurează firewall-ul. Desigur că UFW este un utilitar foarte flexibil așa că vă recomand să combinați comanzile cu diferite opțiuni care se potrivesc nevoilor dvs. în cazul în care nu au fost acoperite pe parcursul acestui material.

Mult noroc!

root

Un entuziast pasionat de tot ceea ce înseamnă Linux și Open Source și un energic promotor. Deschis la orice proiecte bazate pe aceste tehnologii.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Share via
Copy link
Powered by Social Snap