Как настроить брандмауэр с UFW на Debian 9

UFW, или Uncomplicated Firewall, представляет собой интерфейс к + iptables +, который направлен на упрощение процесса настройки брандмауэра. Хотя + iptables + является надежным и гибким инструментом, новичкам может быть сложно научиться использовать его для правильной настройки брандмауэра. Если вы хотите начать защищать свою сеть и не уверены, какой инструмент использовать, UFW может быть правильным выбором для вас.

Из этого туториала вы узнаете, как настроить брандмауэр с UFW в Debian 9.

Чтобы следовать этому руководству, вам понадобится один сервер Debian 9 с пользователем не-root sudo, который вы можете настроить, выполнив шаги 1-3 в https://www.digitalocean.com/community/tutorials/initial-server -setup-with-debian-9 [Начальная настройка сервера с учебником Debian 9].

Debian не устанавливает UFW по умолчанию. Если вы ознакомились со всем Initial обучающим руководством по установке сервера, вы уже установили и включили UFW. Если нет, установите его сейчас, используя + apt +:

Мы настроим UFW и включим его в следующих шагах.

Это руководство написано с учетом IPv4, но будет работать и для IPv6, пока вы его включаете. Если на вашем сервере Debian включен IPv6, убедитесь, что UFW настроен на поддержку IPv6, чтобы он мог управлять правилами брандмауэра для IPv6 в дополнение к IPv4. Для этого откройте конфигурацию UFW с помощью + nano + или вашего любимого редактора.

Затем убедитесь, что значение + IPV6 + равно + yes +. Это должно выглядеть так:

/ etc / default / ufw выдержка

Сохраните и закройте файл. Теперь, когда UFW включен, он будет настроен для написания правил межсетевого экрана IPv4 и IPv6. Однако перед включением UFW мы хотим убедиться, что ваш брандмауэр настроен так, чтобы вы могли подключаться через SSH. Давайте начнем с настройки политик по умолчанию.

Если вы только начинаете работу со своим брандмауэром, первые правила, которые нужно определить, - это ваши политики по умолчанию. Эти правила управляют обработкой трафика, который явно не соответствует никаким другим правилам. По умолчанию UFW настроен так, чтобы запрещать все входящие подключения и разрешать все исходящие подключения. Это означает, что любой, кто пытается получить доступ к вашему серверу, не сможет подключиться, в то время как любое приложение на сервере сможет достичь внешнего мира.

Давайте вернем ваши правила UFW к значениям по умолчанию, чтобы мы могли быть уверены, что вы сможете следовать этому руководству. Чтобы установить значения по умолчанию, используемые UFW, используйте эти команды:

Эти команды устанавливают значения по умолчанию, чтобы запретить входящие и разрешить исходящие подключения. Этих однопользовательских настроек брандмауэра может быть достаточно для персонального компьютера, но серверам обычно нужно отвечать на входящие запросы от внешних пользователей. Мы рассмотрим это дальше.

Если мы сейчас включим наш брандмауэр UFW, он будет запрещать все входящие подключения. Это означает, что нам нужно будет создать правила, которые явно разрешат допустимые входящие соединения - например, SSH или HTTP-подключения - если мы хотим, чтобы наш сервер отвечал на запросы такого типа. Если вы используете облачный сервер, вы, вероятно, захотите разрешить входящие SSH-соединения, чтобы вы могли подключаться и управлять своим сервером.

Чтобы настроить сервер для разрешения входящих SSH-соединений, вы можете использовать эту команду:

Это создаст правила брандмауэра, которые разрешат все соединения через порт + 22 +, который является портом, который демон SSH прослушивает по умолчанию. UFW знает, что означает порт + allow ssh +, поскольку он указан как сервис в файле + / etc / services +.

Однако на самом деле мы можем написать эквивалентное правило, указав порт вместо имени службы. Например, эта команда работает так же, как и выше:

Если вы настроили свой демон SSH для использования другого порта, вам нужно будет указать соответствующий порт. Например, если ваш SSH-сервер прослушивает порт + 2222 +, вы можете использовать эту команду для разрешения подключений к этому порту:

Теперь, когда ваш брандмауэр настроен для разрешения входящих соединений SSH, мы можем включить его.

Чтобы включить UFW, используйте эту команду:

Вы получите предупреждение о том, что команда может нарушить существующие соединения SSH. Мы уже настроили правило брандмауэра, которое разрешает SSH-соединения, поэтому нормально продолжать. Ответьте на приглашение с помощью + y + и нажмите + ENTER.

Брандмауэр теперь активен. Запустите команду + sudo ufw status verbose +, чтобы увидеть установленные правила. В оставшейся части этого учебника рассматривается, как использовать UFW более подробно, например, разрешать или запрещать различные виды соединений.

На этом этапе вы должны разрешить все другие соединения, на которые должен отвечать ваш сервер. Соединения, которые вы должны разрешить, зависят от ваших конкретных потребностей. К счастью, вы уже знаете, как писать правила, разрешающие соединения на основе имени службы или порта; мы уже сделали это для SSH на порту + 22 +. Вы также можете сделать это для:

Есть несколько других способов разрешить другие соединения, кроме указания порта или известной службы.

Если вы не изменили политику по умолчанию для входящих подключений, UFW настроен на запрет всех входящих подключений. Как правило, это упрощает процесс создания политики безопасного брандмауэра, требуя от вас создания правил, которые явно пропускают определенные порты и IP-адреса.

Однако иногда вам может потребоваться запретить определенные подключения на основе исходного IP-адреса или подсети, возможно, потому что вы знаете, что ваш сервер подвергается атаке оттуда. Кроме того, если вы хотите изменить политику входящих сообщений по умолчанию на * allow * (что не рекомендуется), вам необходимо создать правила * deny * для любых служб или IP-адресов, для которых вы не хотите разрешать подключения.

Чтобы написать правила * deny *, вы можете использовать команды, описанные выше, заменив * allow * на * deny *.

Например, чтобы запретить HTTP-соединения, вы можете использовать эту команду:

Или, если вы хотите запретить все соединения из + 203.0.113.4 +, вы можете использовать эту команду:

Теперь давайте посмотрим, как удалять правила.

Знать, как удалять правила брандмауэра, так же важно, как знать, как их создавать. Есть два разных способа указать, какие правила удалять: по номеру правила или по фактическому правилу (аналогично тому, как правила были указаны при их создании). Мы начнем с метода * delete by rule number *, потому что он проще.

В любое время вы можете проверить состояние UFW с помощью этой команды:

Если UFW отключен, что по умолчанию, вы увидите что-то вроде этого:

Если UFW активен, что и должно быть, если вы выполнили шаг 3, в выходных данных будет указано, что он активен, и в нем будут перечислены все установленные правила. Например, если брандмауэр настроен на разрешение SSH (порт + 22 +) из любого места, выходные данные могут выглядеть примерно так:

Используйте команду + status +, если вы хотите проверить, как UFW настроил брандмауэр.

Если вы решите, что не хотите использовать UFW, вы можете отключить его с помощью этой команды:

Любые правила, созданные с помощью UFW, больше не будут активными. Вы всегда можете запустить + sudo ufw enable +, если вам нужно активировать его позже.

Если у вас уже настроены правила UFW, но вы решили, что хотите начать все сначала, вы можете использовать команду сброса:

Это отключит UFW и удалит все ранее определенные правила. Имейте в виду, что политики по умолчанию не изменятся на свои первоначальные настройки, если вы изменили их в любой момент. Это должно дать вам новый старт с UFW.

Ваш брандмауэр теперь настроен на разрешение (как минимум) SSH-соединений. Обязательно разрешите любые другие входящие подключения, которые ваш сервер, при этом ограничивая любые ненужные подключения, чтобы ваш сервер был работоспособным и безопасным.

Чтобы узнать о более распространенных конфигурациях UFW, ознакомьтесь с учебником UFW Essentials: Общие правила и команды брандмауэра.