Brána firewall sa teraz stala jedným zo základných bezpečnostných nástrojov pre akýkoľvek počítač, či už doma alebo v práci. Jeho konfigurácia často nie je jednoduchá A pre menej skúsených používateľov to môže byť bolesť hlavy. Na pomoc pri tejto práci existujú nástroje, ako je UWF (nekomplikovaný firewall), ktoré sa o to pokúšajú zjednodušiť správu pravidiel brány firewall tímu.
UWF je front-end iptables, ktorý je zvlášť vhodný pre servery a je v skutočnosti predvolený konfiguračný nástroj v Ubuntu Linux. Jeho vývoj sa uskutočnil s myšlienkou vytvoriť jednoduchú a ľahko použiteľnú aplikáciu a bol. Vytváranie pravidiel pre adresy IPv4 a IPv6 nebolo nikdy jednoduchšie. V tutoriáli, ktorý vám ukážeme nižšie, vás naučíme používať základné pokyny UWF na konfiguráciu typických pravidiel, ktoré môžete vo svojom firewalle potrebovať.
Základné úlohy, ktoré môžeme vykonať v bráne firewall systému, sú veľmi rozmanité a zahŕňajú blokovanie určitej adresy IP alebo portu až po povolenie prenosu iba z konkrétnej podsiete. Teraz skontrolujeme tie najrelevantnejšie pomocou príkazov potrebných na vyvolanie UWF, áno, vždy zo systémového terminálu:
Blokujte konkrétnu adresu IP pomocou UWF
Základná syntax, ktorú musíme zaviesť, je nasledujúca:
sudo ufw deny from {dirección-ip} to any
Aby sme zablokovali alebo zabránili priechodu všetkých paketov konkrétnej adresy IP, zavedieme:
sudo ufw deny from {dirección-ip} to any
Zobraziť stav brány firewall a jej pravidlá
Nové pravidlá, ktoré sme práve zaviedli, môžeme overiť pomocou nasledujúcej vety:
$ sudo ufw status numbered
Alebo pomocou nasledujúceho príkazu:
$ sudo ufw status
Konkrétne blokovanie konkrétnej adresy IP alebo portu
Syntax v tomto prípade bude táto:
ufw deny from {dirección-ip} to any port {número-puerto}
Opäť platí, že ak si chceme overiť pravidlá, urobíme to pomocou nasledujúceho príkazu:
$ sudo ufw status numbered
Príklad výstupu, ktorý by tento príkaz poskytol, je nasledujúci:
Stav: aktívny Do akcie Od - ------ ---- [1] 192.168.1.10 80 / tcp POVOLENÉ kdekoľvek [2] 192.168.1.10 22 / tcp POVOLENÉ kdekoľvek [3] kdekoľvek DENY 192.168.1.20 [4] 80 ZAMIETNUTIE V 202.54.1.5
Blokujte konkrétnu adresu IP, port a typ protokolu
Ak chcete vo svojom počítači zablokovať konkrétnu adresu IP, port alebo typ protokolu, musíte zadať nasledujúci príkaz:
sudo ufw deny proto {tcp|udp} from {dirección-ip} to any port {número-puerto}
Napríklad, ak by sme dostávali útok z průnikář Od adresy IP 202.54.1.1, cez port 22 a podľa protokolu TCP, by mala byť zadaná veta:
$ sudo ufw deny proto tcp from 202.54.1.1 to any port 22 $ sudo ufw status numbered
Blokovanie podsiete
V tomto konkrétnom prípade je syntax veľmi podobná predchádzajúcim prípadom, všimnite si:
$ sudo ufw deny proto tcp from sub/net to any port 22 $ sudo ufw deny proto tcp from 202.54.1.0/24 to any port 22
Odblokujte adresu IP alebo odstráňte pravidlo
Ak už nechcete blokovať adresu IP vo vašom systéme alebo ste sa pri zadávaní pravidla jednoducho zmätili, vyskúšajte nasledujúci príkaz:
$ sudo ufw status numbered $ sudo ufw delete NUM
Napríklad, ak chceme vylúčiť pravidlo číslo 4, musíme zadať príkaz nasledovne:
$ sudo ufw delete 4
V dôsledku zadaného príkazu by sme dostali na obrazovku správu podobnú nasledujúcej, ktorú vám ukážeme:
Mazanie:
odmietnuť z 202.54.1.5 na akýkoľvek port 80
Pokračovať v operácii (y | n)? y
Pravidlo bolo odstránené
Ako dosiahnuť, aby UWF neblokoval adresu IP
Platia pravidlá, ktoré UWF (alebo iptables, v závislosti od toho, ako sa na to pozeráte) vždy sledujú vašu objednávku a sú vykonané hneď, ako dôjde k zhode. Napríklad ak pravidlo umožňuje počítaču so špecifickou adresou IP pripojiť sa k nášmu počítaču cez port 22 a cez protokol TCP (povedzme, sudo ufw povolí 22), a neskôr pribudne nové pravidlo, ktoré špecificky blokuje konkrétnu IP adresu na ten istý port 22 (napríklad s ufw popierať proto tcp z 192.168.1.2 na akýkoľvek port 22), najskôr sa použije pravidlo, ktoré umožňuje prístup na port 22 a novšie, ktoré blokuje tento port na uvedenú adresu IP, č. Je to kvôli tomu poradie pravidiel je rozhodujúcim faktorom pri konfigurácii brány firewall stroja.
Ak chceme zabrániť výskytu tohto problému, môžeme upraviť súbor umiestnený v /etc/ufw/before.rules a v rámci nej pridajte sekciu ako napríklad „Blokovať adresu IP“ hneď za riadok, ktorý označuje koniec rovnakého „# Konca požadovaných riadkov“.
Sprievodca, ktorý sme pre vás pripravili, sa tu končí. Ako vidíte, odteraz a s pomocou UWF bude správa firewall Už nebude výhradné pre správcov systému alebo pokročilých používateľov.
export UWF = UFW
?