- Thread Author
- #1
Debian sisaldab mitmeid pakette, mis pakuvad tööriistu tulemüüri haldamiseks koos baassüsteemi osana paigaldatud iptabeliga.
Algajatele võib olla keeruline õppida, kuidas iptabeli tööriistaga tulemüüri õigesti konfigureerida ja hallata, kuid UFW lihtsustab seda.
UFW (Uncomplicated Firewall) on kasutajasõbralik kasutajaliides iptabeli tulemüürireeglite haldamiseks.
See õpetus näitab, kuidas Debian 9-s UFW-ga tulemüüri seadistada.
Enne selle õpetusega jätkamist veenduge, et kasutajal, kellena olete sisse logitud, on sudo õigused.
UFW ei ole Debian 9-s vaikimisi paigaldatud. UFW paketi saate paigaldada järgmise käsuga:
Kui paigaldusprotsess on lõppenud, saate UFW olekut kontrollida järgmise käsuga:
Väljund näeb välja selline:
UFW on vaikimisi keelatud. Paigaldamine ei aktiveeri tulemüüri automaatselt, et vältida serveri blokeerimist.
Vaikimisi blokeerib UFW kõik sissetulevad ühendused ja lubab kõik väljaminevad ühendused. See tähendab, et kõik kes proovivad teie serverile ligi pääseda, ei saa ühendust luua, kui te spetsiaalselt porti ei ava. Samal ajal kui kõik teie serveris töötavad rakendused ja teenused pääsevad ligi välismaailmale. Vaikepoliitikad on määratletud failis /etc/default/ufw ja neid saab muuta käsuga sudo ufw default <policy> <chain>
Tulemüüripoliitikad on aluseks üksikasjalikumate ja kasutaja määratletud reeglite koostamisel. Enamikul juhtudel on esialgsed UFW vaikepoliitikad heaks lähtepunktiks.
Apt-ga paketi paigaldamisel lisab see kataloogi /etc/ufw/applications.d rakenduse profiili, mis kirjeldab teenust ja sisaldab UFW sätteid.
Kõigi teie süsteemitüübis saadaolevate rakendusprofiilide loetlemiseks käivitage järgmine käsk:
Sõltuvalt teie süsteemi paigaldatud pakettidest näeb väljund välja sarnane:
Konkreetse profiili ja kaasatud reeglite kohta lisateabe saamiseks kasutage järgmist käsku:
Kuvatakse:
Ülaltoodud väljund ütleb meile, et OpenSSH profiil avab pordi 22.
Enne UFW tulemüüri lubamist peame esmalt lubama sissetulevad SSH ühendused.
Kui loote ühenduse oma serveriga teisest asukohast (mis on peaaegu alati nii) ja lubate enne sissetulevate SSH ühenduste selgesõnalist lubamist UFW tulemüüri, siis ei saa te enam luua Debiani serveriga ühendust.
UFW tulemüüri konfigureerimiseks sissetulevate SSH ühenduste lubamiseks käivitage järgmine käsk:
Kuvatakse:
Kui SSH server kuulab teist porti kui 22 (vaikeport on 22), peate selle pordi avama.
Näiteks teie SSH server kuulab porti 8822, seejärel saate selles pordis ühenduste lubamiseks kasutada järgmist käsku:
Kui kasutate Virtualmini, mis on 10000 pordi peal, siis tuleks ka see lubada.
Nüüd kui teie UFW tulemüür on konfigureeritud lubama sissetulevaid SSH ühendusi, siis saate selle lubada käivitades käsi:
Kuvatakse:
Teid hoiatatakse, et tulemüüri lubamine võib olemasolevaid SSH ühendusi häirida. Kirjutage y ja vajutage enter.
Sõltuvalt teie serveris töötavatest rakendustest ja teie konkreetsetest vajadustest, peate lubama sissetuleva juurdepääsu ka mõnele teisele pordile.
Allpool on mõned näited selle kohta, kuidas lubada sissetulevaid ühendusi mõne kõige levinuma teenusega.
HTTP ühendusi (port 80) saab lubada järgmise käsuga:
http asemel võite kasutada pordi numbrit 80:
HTTPS ühendusi saab lubada järgmise käsuga:
Sama saavutamiseks võite https asemel kasutada pordi numbrit 443:
Kui kasutate Tomcati või mõnda muud rakendust, mis kuulab porti 8080, saate lubada sissetulevaid ühendusi:
UFW-ga saate lubada juurdepääsu ka pordivahemikele. UFW-ga pordivahemike lubamisel peate määrama protokolli, kas tcp või udp.
Näiteks pordide 7100–7200 lubamiseks nii tcp-l kui ka udp-l käivitage järgmine käsk:
Kui soovite lubada juurdepääsu kõikidele portidele konkreetselt IP aadressilt, kasutage käsku ufw allow from, millele järgneb IP-aadress:
Juurdepääsu lubamiseks konkreetsele pordile, kui teie töömasina port 22 IP aadress 64.61.72.60 kasutage järgmist käsku:
IP aadresside alamvõrgust ühenduse lubamise käsk on sama, mis ühe IP aadressi kasutamisel. Ainus erinevus on see, et peate määrama võrgumaski.
Näiteks kui soovite lubada juurdepääsu IP aadressidele vahemikus 192.168.1.1 kuni 192.168.1.254 kuni pordini 3360 (MySQL), käivitage järgmine käsk:
UFW reeglite kustutamiseks on kaks erinevat viisi: reegli numbri järgi ja tegeliku reegli täpsustamine.
UFW reeglite kustutamine reegli numbri järgi on lihtsam, eriti kui olete UFW-ga alles alustanud.
Reegli kustutamiseks reegli numbri järgi peate esmalt leidma kustutatava reegli numbri. Selleks käivitage järgmine käsk:
Kuvatakse:
Näiteks reegli nr 3 kustutamiseks, reegli, mis võimaldab ühendusi pordiga 8080, sisestage:
Teine meetod on reegli kustutamine, kus täpsustate tegeliku reegli. Näiteks kui lisasite reegli pordi 8069 avamiseks, saate selle kustutada järgmiselt:
Kui soovite mingil põhjusel UFW peatada ja kõik reeglid desaktiveerida, sisestage järgmine käsk:
Kui soovite hiljem UFW uuesti lubada ja kõik reeglid aktiveerida, sisestage järgmine käsk:
UFW lähtestamine keelab UFW ja kustutab kõik aktiivsed reeglid. See on kasulik, kui soovite kõik muudatused ennistada ja alustada uuesti.
UFW lähtestamiseks sisestage järgmine käsk:
Olete õppinud, kuidas paigaldada ja konfigureerida oma Debian 9 masinasse UFW tulemüüri. Lubage kindlasti kõik sissetulevad ühendused, mis on vajalikud teie süsteemi nõuetekohaseks toimimiseks, piirates samas kõiki mittevajalikke ühendusi.
Algajatele võib olla keeruline õppida, kuidas iptabeli tööriistaga tulemüüri õigesti konfigureerida ja hallata, kuid UFW lihtsustab seda.
UFW (Uncomplicated Firewall) on kasutajasõbralik kasutajaliides iptabeli tulemüürireeglite haldamiseks.
See õpetus näitab, kuidas Debian 9-s UFW-ga tulemüüri seadistada.
Enne selle õpetusega jätkamist veenduge, et kasutajal, kellena olete sisse logitud, on sudo õigused.
UFW ei ole Debian 9-s vaikimisi paigaldatud. UFW paketi saate paigaldada järgmise käsuga:
Code:
sudo apt install ufwKui paigaldusprotsess on lõppenud, saate UFW olekut kontrollida järgmise käsuga:
Code:
sudo ufw status verboseVäljund näeb välja selline:
PHP:
Status: inactiveUFW on vaikimisi keelatud. Paigaldamine ei aktiveeri tulemüüri automaatselt, et vältida serveri blokeerimist.
Vaikimisi blokeerib UFW kõik sissetulevad ühendused ja lubab kõik väljaminevad ühendused. See tähendab, et kõik kes proovivad teie serverile ligi pääseda, ei saa ühendust luua, kui te spetsiaalselt porti ei ava. Samal ajal kui kõik teie serveris töötavad rakendused ja teenused pääsevad ligi välismaailmale. Vaikepoliitikad on määratletud failis /etc/default/ufw ja neid saab muuta käsuga sudo ufw default <policy> <chain>
Tulemüüripoliitikad on aluseks üksikasjalikumate ja kasutaja määratletud reeglite koostamisel. Enamikul juhtudel on esialgsed UFW vaikepoliitikad heaks lähtepunktiks.
Apt-ga paketi paigaldamisel lisab see kataloogi /etc/ufw/applications.d rakenduse profiili, mis kirjeldab teenust ja sisaldab UFW sätteid.
Kõigi teie süsteemitüübis saadaolevate rakendusprofiilide loetlemiseks käivitage järgmine käsk:
Code:
sudo ufw app listSõltuvalt teie süsteemi paigaldatud pakettidest näeb väljund välja sarnane:
PHP:
Available applications:
DNS
IMAP
IMAPS
OpenSSH
POP3
POP3S
Postfix
Postfix SMTPS
Postfix Submission
...Konkreetse profiili ja kaasatud reeglite kohta lisateabe saamiseks kasutage järgmist käsku:
Code:
sudo ufw app info OpenSSHKuvatakse:
PHP:
Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.
Port:
22/tcpÜlaltoodud väljund ütleb meile, et OpenSSH profiil avab pordi 22.
Enne UFW tulemüüri lubamist peame esmalt lubama sissetulevad SSH ühendused.
Kui loote ühenduse oma serveriga teisest asukohast (mis on peaaegu alati nii) ja lubate enne sissetulevate SSH ühenduste selgesõnalist lubamist UFW tulemüüri, siis ei saa te enam luua Debiani serveriga ühendust.
UFW tulemüüri konfigureerimiseks sissetulevate SSH ühenduste lubamiseks käivitage järgmine käsk:
Code:
sudo ufw allow OpenSSHKuvatakse:
PHP:
Rules updated
Rules updated (v6)Kui SSH server kuulab teist porti kui 22 (vaikeport on 22), peate selle pordi avama.
Näiteks teie SSH server kuulab porti 8822, seejärel saate selles pordis ühenduste lubamiseks kasutada järgmist käsku:
Code:
sudo ufw allow 8822/tcpKui kasutate Virtualmini, mis on 10000 pordi peal, siis tuleks ka see lubada.
Nüüd kui teie UFW tulemüür on konfigureeritud lubama sissetulevaid SSH ühendusi, siis saate selle lubada käivitades käsi:
Code:
sudo ufw enableKuvatakse:
PHP:
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startupSõltuvalt teie serveris töötavatest rakendustest ja teie konkreetsetest vajadustest, peate lubama sissetuleva juurdepääsu ka mõnele teisele pordile.
Allpool on mõned näited selle kohta, kuidas lubada sissetulevaid ühendusi mõne kõige levinuma teenusega.
HTTP ühendusi (port 80) saab lubada järgmise käsuga:
Code:
sudo ufw allow httphttp asemel võite kasutada pordi numbrit 80:
Code:
sudo ufw allow 80/tcpHTTPS ühendusi saab lubada järgmise käsuga:
Code:
sudo ufw allow httpsSama saavutamiseks võite https asemel kasutada pordi numbrit 443:
Code:
sudo ufw allow 443/tcpKui kasutate Tomcati või mõnda muud rakendust, mis kuulab porti 8080, saate lubada sissetulevaid ühendusi:
Code:
sudo ufw allow 8080/tcpUFW-ga saate lubada juurdepääsu ka pordivahemikele. UFW-ga pordivahemike lubamisel peate määrama protokolli, kas tcp või udp.
Näiteks pordide 7100–7200 lubamiseks nii tcp-l kui ka udp-l käivitage järgmine käsk:
Code:
sudo ufw allow 7100:7200/udpKui soovite lubada juurdepääsu kõikidele portidele konkreetselt IP aadressilt, kasutage käsku ufw allow from, millele järgneb IP-aadress:
Code:
sudo ufw allow from 64.61.72.60Juurdepääsu lubamiseks konkreetsele pordile, kui teie töömasina port 22 IP aadress 64.61.72.60 kasutage järgmist käsku:
Code:
sudo ufw allow from 64.63.62.61 to any port 22IP aadresside alamvõrgust ühenduse lubamise käsk on sama, mis ühe IP aadressi kasutamisel. Ainus erinevus on see, et peate määrama võrgumaski.
Näiteks kui soovite lubada juurdepääsu IP aadressidele vahemikus 192.168.1.1 kuni 192.168.1.254 kuni pordini 3360 (MySQL), käivitage järgmine käsk:
Code:
sudo ufw allow from 192.168.1.0/24 to any port 3306UFW reeglite kustutamiseks on kaks erinevat viisi: reegli numbri järgi ja tegeliku reegli täpsustamine.
UFW reeglite kustutamine reegli numbri järgi on lihtsam, eriti kui olete UFW-ga alles alustanud.
Reegli kustutamiseks reegli numbri järgi peate esmalt leidma kustutatava reegli numbri. Selleks käivitage järgmine käsk:
Code:
sudo ufw status numberedKuvatakse:
PHP:
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 8080/tcp ALLOW IN AnywhereNäiteks reegli nr 3 kustutamiseks, reegli, mis võimaldab ühendusi pordiga 8080, sisestage:
Code:
sudo ufw delete 3Teine meetod on reegli kustutamine, kus täpsustate tegeliku reegli. Näiteks kui lisasite reegli pordi 8069 avamiseks, saate selle kustutada järgmiselt:
Code:
sudo ufw delete allow 8069Kui soovite mingil põhjusel UFW peatada ja kõik reeglid desaktiveerida, sisestage järgmine käsk:
Code:
sudo ufw disableKui soovite hiljem UFW uuesti lubada ja kõik reeglid aktiveerida, sisestage järgmine käsk:
Code:
sudo ufw enableUFW lähtestamine keelab UFW ja kustutab kõik aktiivsed reeglid. See on kasulik, kui soovite kõik muudatused ennistada ja alustada uuesti.
UFW lähtestamiseks sisestage järgmine käsk:
Code:
sudo ufw resetOlete õppinud, kuidas paigaldada ja konfigureerida oma Debian 9 masinasse UFW tulemüüri. Lubage kindlasti kõik sissetulevad ühendused, mis on vajalikud teie süsteemi nõuetekohaseks toimimiseks, piirates samas kõiki mittevajalikke ühendusi.