Základy UFW: Výuka základních příkazů firewallu

Úvod

UFW znamená uncomplicated firewall (jednoduchý firewall). Je to frontendová platforma, která vám umožňuje snadno spravovat funkce a příkazy firewallu. UFW získáte jako výchozí možnost se svým Ubuntu serverem. Maximalizovat potenciál příkazů a funkcí firewallu může být obtížné, pokud tento nástroj ještě neznáte.

Naším cílem je poskytnout vám komplexního průvodce, kterého můžete použít jako začátečník. Vysvětlení doplníme příklady různých akcí, které můžete s UFW provádět. Mnoho pravidel bude velmi užitečných pro každodenní služby a činnosti. Pojďme začít!

Požadavky

Než budete číst dále, ujistěte se, že je váš UFW nastaven na výchozí sadu pravidel. To znamená, že firewall povoluje odchozí provoz, ale blokuje příchozí provoz. Výhodou tohoto výchozího nastavení je, že si můžete vybrat, který provoz přes firewall povolíte. Pokud si nejste jisti stavem aktuální sady pravidel na vašem UFW, použijte ke kontrole tento příkaz: sudo ufw status. Můžete také použít tento příkaz:

Kromě toho můžete libovolně přejít do kterékoli sekce, která je pro vaše požadavky nejrelevantnější. Nemusíte nutně použít každý jednotlivý příkaz uvedený v této příručce. Můžete je kombinovat podle svých osobních potřeb.

Jak zablokovat IP adresu

Začněme jednou z nejzákladnějších funkcí každého firewallu: blokováním IP adres. Existuje velmi jednoduchý příkaz, kterým můžete zablokovat jakékoli síťové připojení přicházející z dané IP adresy. Řekněme například, že konkrétní IP adresa v našem případě je 15.15.15.51. Tuto hodnotu můžete nahradit IP adresou, kterou chcete prostřednictvím UFW zablokovat. Pro tento účel byste použili následující příkaz:

Zde „from 15.15.15.51“ označuje pouze zdrojovou IP adresu, což je „15.15.15.51“. Pokud chcete místo toho specifikovat podsíť, můžete ji přidat následovně: 15.15.15.0/24. Příkaz bude fungovat stejně dobře. Tuto zdrojovou IP adresu můžete specifikovat v jakémkoli pravidle firewallu, například v pravidle allow.

• Blokování připojení k síťovému rozhraní

Někdy může být požadavkem zablokovat síťová připojení pocházející z konkrétní IP adresy na konkrétní síťové rozhraní. V takovém případě budeme muset specifikovat síťové rozhraní společně se zdrojovou IP adresou. V tomto příkladu uvažujme zdrojovou IP adresu 15.15.15.51 a síťové rozhraní eth0:

Podobně jako zdrojovou IP adresu můžete síťové rozhraní specifikovat v jakémkoli pravidle firewallu. Účelem těchto specifikací je omezit dané pravidlo firewallu pouze na konkrétní síť nebo připojení.

Jak povolit připojení SSH

Tato sekce je pro vás relevantní, pokud používáte cloudový server. Abyste mohli navázat připojení ke svému cloudovému serveru, potřebujete, aby firewall povoloval příchozí připojení SSH. Tato připojení SSH procházejí portem 22. Můžete postupovat podle tohoto návodu, jak se pomocí SSH připojit ke vzdálenému serveru v Ubuntu.

Navázáním připojení SSH můžete úspěšně spravovat svůj cloudový server pomocí svého lokálního počítače. Zde se budeme zabývat různými pravidly relevantními pro konfiguraci firewallu spojenou s SSH:

• Povolení SSH

Chcete-li povolit všechna příchozí připojení SSH, použijte následující příkaz:

Na druhou stranu můžete příkaz spustit také tak, že místo toho zadáte číslo portu služby SSH:

• Povolení příchozího SSH z konkrétní IP adresy

V případě, že chcete povolit příchozí připojení SSH pouze z konkrétní IP adresy nebo podsítě, máte možnost specifikovat zdroj. Řekněme například, že podsíť, kterou chcete povolit, je 15.15.15.0/24. Zde je příkaz, který budete muset spustit:

• Povolení příchozího Rsync ze specifické IP adresy

Rsync běží na portu 873 a umožňuje provádět přenos souborů z jednoho počítačového systému do druhého. Pokud chcete povolit pouze připojení Rsync přicházející ze specifické IP adresy nebo podsítě (v tomto příkladu 15.15.15.0/24), můžete tak učinit pomocí tohoto příkazu:

To znamená, že celé podsíti 15.15.15.0/24 bude povolen přístup přes Rsync k vašemu serveru. Zde je také komplexní návod, jak využít Rsync k synchronizaci lokálních a vzdálených adresářů na vašem serveru.

Jak nakonfigurovat požadavky na webový server

Dále přejdeme k pravidlům souvisejícím se službou webového serveru. Webové servery jako Apache a Nginx obecně přijímají požadavky na připojení HTTP a HTTPS ze dvou portů: portu 80 a portu 443. Port 80 slouží pro požadavky HTTP. Port 443 je zodpovědný za požadavky HTTPS.

Jak jsme si řekli v předpokladech, používáte výchozí sadu pravidel pro UFW. Na základě této sady pravidel firewall blokuje nebo odmítá veškerý příchozí provoz. Proto budete muset nakonfigurovat nová pravidla, která serveru umožní tyto příchozí požadavky přijímat a číst.

• Povolení veškerého HTTP

Pokud chcete povolit všechna HTTP připojení a požadavky přicházející z portu 80, použijte příkaz:

K určení služby HTTP v příkazu můžete použít také číslo portu (port 80):

• Povolení veškerého HTTPS

Pokud chcete povolit všechna HTTPS připojení a požadavky přicházející z portu 443, pak spusťte tento příkaz:

Podobně jako v předchozím příkazu můžete „https“ nahradit číslem portu služby HTTPS:

• Povolení veškerého HTTP a HTTPS

V případě, že chcete povolit požadavky HTTP i HTTPS, můžete pro oba použít společné pravidlo. Pomocí tohoto jediného příkazu můžete povolit příchozí provoz jak z portu 80, tak z portu 443:

Příkaz proto tcp je nutné použít, pokud specifikujete více portů najednou.

Můžete také postupovat podle těchto podrobných návodů, jak zabezpečit Nginx a Apache pomocí Let’s Encrypt na Ubuntu.

Jak povolit MySQL

MySQL připojení přicházejí přes port 3306. Pokud klient používá vaši databázi MySQL na vzdáleném serveru, budete muset použít pravidlo pro povolení příchozího provozu. Postupujte podle našeho návodu, kde se dozvíte základy MySQL a jak nastavit MySQL na serveru.

• Povolení MySQL ze specifické IP adresy

Jak jsme již viděli v předchozích pravidlech, pro povolení příchozích připojení MySQL musíte specifikovat zdroj. Vaším zdrojem může být konkrétní IP adresa nebo podsíť. V našem příkladu použijeme ke spuštění příkazu celou podsíť 15.15.15.0/24:

• Povolení MySQL pro konkrétní síťové rozhraní

Pokud potřebujete také specifikovat síťové rozhraní, pro které připojení k MySQL povolujete, použijete jiný příkaz. Předpokládejme, že síťové rozhraní, které používáte, je soukromé síťové rozhraní s názvem eth1. Tuto hodnotu můžete nahradit názvem vlastního síťového rozhraní:

Jak povolit PostgreSQL

Připojení k PostgreSQL přicházejí přes port 5432. Podobně jako u připojení MySQL, pokud klient používá databázi PostgreSQL na vzdáleném serveru, musíte povolit příchozí provoz. Můžete to provést pomocí následujících příkazů.

• Povolení PostgreSQL ze specifické IP adresy

Pokud víte, že připojení k PostgreSQL přicházejí z konkrétní podsítě nebo IP adresy, musíte specifikovat zdroj. Zde opět použijeme příklad podsítě 15.15.15.0/24:

V případě, že vaše zásada OUTPUT není nastavena na ACCEPT, budete muset spustit druhý příkaz. Tento příkaz povoluje odchozí provoz již navázaných připojení PostgreSQL.

• Povolení PostgreSQL pro konkrétní síťové rozhraní

Podobně jako u předchozího pravidla povolíme připojení PostgreSQL ke konkrétnímu síťovému rozhraní. V našem případě se jedná o eth1:

V případě, že vaše zásada OUTPUT není nastavena na ACCEPT, budete muset spustit druhý příkaz. Tento příkaz povoluje odchozí provoz již navázaných připojení PostgreSQL. Jak nastavit PostgreSQL na Ubuntu se dozvíte v našem podrobném návodu.

Jak nakonfigurovat poštovní servery

Ve svém systému můžete také používat poštovní servery jako Sendmail a Postfix na vašem systému. Tyto servery jsou otevřené pro několik portů. Porty, na kterých naslouchají, závisí na protokolech, které jsou nastaveny pro doručování pošty. Proto budete muset nejprve zjistit, které protokoly ve svém systému doručování pošty provozujete. Následně na základě těchto informací povolíte příslušné typy provozu.

• Blokování odchozí pošty SMTP

Než přejdeme k příkazům, které povolují příchozí provoz pro vaše poštovní servery, podívejme se, jak můžete zablokovat odchozí SMTP poštu. Tento příkaz můžete použít, pokud nechcete, aby váš server odesílal jakoukoli odchozí poštu. SMTP pošta využívá port 25. K zablokování tohoto provozu použijte tento příkaz:

V důsledku spuštění tohoto příkazu váš firewall zahodí veškerý odchozí provoz na portu 25. Pokud chcete zablokovat jiný port, jednoduše nahraďte port „25“ příslušným číslem portu.

• Povolení příchozího SMTP

Nyní, když víte, jak zablokovat odchozí provoz, se povolení příchozího provozu bude zdát stejně jednoduché. Pomocí tohoto příkazu povolíte serveru přijímat připojení SMTP na portu 25:

• Povolení příchozího IMAP

Pokud chcete serveru povolit navázání připojení IMAP na portu 143, použijte následující příkaz:

• Povolení příchozího IMAPS

Pomocí tohoto příkazu povolíte serveru odpovídat na připojení IMAPS na portu 993:

• Povolení příchozího POP3

Tento příkaz umožňuje vašemu serveru odpovídat na všechna připojení POP3 přes port 110:

• Povolení příchozího POP3S

Nakonec můžete pomocí tohoto příkazu povolit serveru přijímat požadavky z portu 995 pro připojení POP3S:

Závěr

Tato příručka vám pomůže seznámit se se základními funkcemi UFW. Probrali jsme základní příkazy, se kterými se musíte seznámit, abyste mohli nakonfigurovat svůj firewall. Můžete si vybrat příkazy, které nejlépe vyhovují vašim konkrétním požadavkům, a vytvořit si tak personalizované řešení firewallu. Flexibilní povaha UFW takové přizpůsobení umožňuje. Experimentujte a zjistěte, co vám nejlépe vyhovuje.

Příjemnou práci s počítačem!