Djupare konfiguration av Ubuntu Firewall (UFW)4 min read
Reading Time: 2 minutesHej igen! I den här handledningen ska jag gå djupgående på hur du konfigurerar UFW ( UncomplicatedFirewall ). Om du redan har installerat UFW kan du hoppa över det första avsnittet.
Detta testas för att fungera med Ubuntu 16.04-18.04, även om det också fungerar på andra versioner!
Installation av UFW och grundläggande information
Du kan kontrollera om du redan har installerat brandväggen genom att köra:
which ufw
Om den matar ut / usr / sbin / ufw är den redan installerad, om inte kör följande:
sudo apt-get install ufw
Du kan se status för din brandvägg genom att köra
sudo ufw status
Den matar ut antingen status: inaktiv eller status: aktiv
För att starta brandväggen igen behöver du bara skicka följande kommando:
sudo service ufw start
För att stoppa din Ubuntu-brandvägg:
sudo service ufw stop
Tillåt anslutningar
När du vill tillåta anslutningar skriver du helt enkelt sudo ufw allow
, följt av porten ELLER programmet du vill tillåta. Ett exempel på detta är SSH.
sudo ufw allow ssh / tcp
Eller så kan du tillåta det med porten.
sudo ufw allow 22 / tcp
Nedan hittar du en lista över de vanligaste portarna, källan är utilizewindow.
Hamn | Service namn | Transportprotokoll |
---|---|---|
20, 21 | Protokoll för filöverföring (FTP) | TCP |
22 | Secure Shell (SSH) | TCP och UDP |
23 | Telnet | TCP |
25 | Simple Mail Transfer Protocol (SMTP) | TCP |
50, 51 | IPSec | |
53 | Domain Name System (DNS) | TCP och UDP |
67, 68 | Dynamic Host Configuration Protocol (DHCP) | UDP |
69 | Trivial File Transfer Protocol (TFTP) | UDP |
80 | HyperText Transfer Protocol (HTTP) | TCP |
110 | Postkontorprotokoll (POP3) | TCP |
119 | Network News Transport Protocol (NNTP) | TCP |
123 | Network Time Protocol (NTP) | UDP |
135-139 | NetBIOS | TCP och UDP |
143 | Internet Message Access Protocol (IMAP4) | TCP och UDP |
161, 162 | Simple Network Management Protocol (SNMP) | TCP och UDP |
389 | Lätt viktprotokoll | TCP och UDP |
443 | HTTP: er Secure Sockets Layer (SSL) | TCP och UDP |
3389 | Protokoll för fjärrskrivbord | TCP och UDP |
Så låt oss säga att vi vill aktivera HTTP. Vi kan se i listan ovan att port 80 har protokollnamn HTTP. För att tillåta detta måste vi göra samma sak som vi gjorde ovan. Exempel:
sudo ufw allow HTTP / tcp
ELLER
sudo ufw allow 80 / tcp
En allmän ekvation för detta skulle vara sudo ufw allow (SERVICENAME/PORT)/(TRANSPORT PROTOCOL)
. Du kan också hitta vilket transportprotokoll du ska använda i listan ovan.
Blockera anslutningar
När du vill blockera anslutningar skriver du helt enkelt sudo ufw deny
, följt av porten eller programmet som du vill blockera, precis som visas ovan.
Om du vill blockera en specifik IP:
sudo ufw deny from 88.88.88.88
Kom bara ihåg att ersätta 88.88.88.88
den IP-adress du väljer. Du kan också blockera ett helt undernät:
sudo ufw deny from 88.88.88.0/24
Hastighetsbegränsning med UFW
En annan bra funktion att inkludera är hastighetsbegränsning. Detta skulle göra det så att om en IP-adress har försökt initiera> 6 anslutningar under de senaste 30 sekunderna skulle den blockeras tillfälligt. Detta kan vara mycket användbart för SSH eftersom det gör brute-forcing nästan omöjligt.
ufw limit ssh
Eller begränsa efter hamn:
ufw limit 22
Du kan ändra tjänsten ssh eller 22 till den tjänst du vill begränsa.
Konfigurera värdbrandväggen för att skydda mot interna hot
Om du inte står bakom en korrekt konfigurerad hårdvarubrandvägg kan du lösa detta genom programvarukonfigurationer genom att ställa in default_output_policy = drop för att styra alla rutor i / o.
Detta förutsätter att du är i ett 10.xxx- nätverk och under installationen behöver du bara själv för att kunna komma åt rutan via ssh. Ändra 10.xxx så att det passar din konfiguration enligt nedan.
Öppna konfigurationsfilen genom att köra:
sudo nano /etc/default/ufw
Se till att din standardutmatningspolicy är inställd på att släppa, så här: DEFAULT_OUTPUT_POLICY="DROP"
Spara genom att trycka på CTRL + X och följ instruktionerna på skärmen.
Tillbaka vid terminalen kör du följande kommandon:
sudo ufw allow proto tcp from 10.x.x.x to any port 22
sudo ufw enable
sudo service ufw start
sudo ufw logging medium
Se till att ändra 10.x.x.x
till din egen IP-adress eller ditt domännamn.