Τα βασικά του UFW: Μαθαίνοντας τις βασικές εντολές του τείχους προστασίας

Εισαγωγή

UFW σημαίνει uncomplicated firewall. Είναι μια πλατφόρμα frontend που σας επιτρέπει να διαχειρίζεστε εύκολα τις λειτουργίες και τις εντολές του τείχους προστασίας σας. Λαμβάνετε το UFW ως προεπιλεγμένη επιλογή με τον Ubuntu διακομιστή σας. Η μεγιστοποίηση των δυνατοτήτων των εντολών και των λειτουργιών του τείχους προστασίας μπορεί να είναι δύσκολη αν δεν είστε ήδη εξοικειωμένοι με το εργαλείο.

Στόχος μας είναι να σας παρέχουμε έναν ολοκληρωμένο οδηγό που μπορείτε να χρησιμοποιήσετε ως αρχάριος. Θα συμπληρώσουμε τις επεξηγήσεις με παραδείγματα διαφόρων ενεργειών που μπορείτε να εκτελέσετε με το UFW. Πολλοί από τους κανόνες θα είναι πολύ χρήσιμοι για καθημερινές υπηρεσίες και δραστηριότητες. Ας ξεκινήσουμε!

Προαπαιτούμενα

Πριν διαβάσετε παρακάτω, βεβαιωθείτε ότι το UFW σας είναι ρυθμισμένο στο προεπιλεγμένο σύνολο κανόνων. Αυτό σημαίνει ότι το τείχος προστασίας επιτρέπει την εξερχόμενη κίνηση αλλά αποκλείει την εισερχόμενη κίνηση. Το όφελος αυτής της προεπιλεγμένης επαναφοράς είναι ότι μπορείτε να επιλέξετε ποια κίνηση θα επιτρέπεται μέσω του τείχους προστασίας. Εάν δεν είστε σίγουροι για την κατάσταση του τρέχοντος συνόλου κανόνων στο UFW σας, χρησιμοποιήστε αυτήν την εντολή για να ελέγξετε: sudo ufw status. Μπορείτε επίσης να χρησιμοποιήσετε αυτήν την εντολή:

Εκτός από αυτό, είστε ελεύθεροι να μεταβείτε σε οποιαδήποτε ενότητα είναι πιο σχετική με τις απαιτήσεις σας. Δεν χρειάζεται απαραίτητα να χρησιμοποιήσετε κάθε εντολή που παρέχεται σε αυτόν τον οδηγό. Μπορείτε να κάνετε συνδυασμούς με βάση τις προσωπικές σας ανάγκες.

Πώς να αποκλείσετε μια διεύθυνση IP

Ας ξεκινήσουμε με μία από τις πιο βασικές λειτουργίες οποιουδήποτε τείχους προστασίας: τον αποκλεισμό διευθύνσεων IP. Υπάρχει μια πολύ απλή εντολή που μπορείτε να χρησιμοποιήσετε για να αποκλείσετε οποιεσδήποτε συνδέσεις δικτύου προέρχονται από μια δεδομένη διεύθυνση IP. Ας υποθέσουμε, για παράδειγμα, ότι η συγκεκριμένη διεύθυνση IP στην περίπτωσή μας είναι η 15.15.15.51. Μπορείτε να αντικαταστήσετε αυτήν την τιμή με τη διεύθυνση IP που θέλετε να αποκλείσετε μέσω του UFW σας. Αυτή είναι η εντολή που θα χρησιμοποιούσατε για αυτόν τον σκοπό:

Εδώ, το from 15.15.15.51 υποδεικνύει μόνο την πηγαία διεύθυνση IP, η οποία είναι η ‘15.15.15.51’. Εάν υπάρχει ένα υποδίκτυο που θέλετε να καθορίσετε αντ' αυτού, μπορείτε να το προσθέσετε ως εξής: 15.15.15.0/24. Η εντολή θα λειτουργήσει εξίσου καλά. Μπορείτε να καθορίσετε αυτήν την πηγαία διεύθυνση IP σε οποιονδήποτε κανόνα τείχους προστασίας θέλετε, όπως ο κανόνας allow.

• Αποκλεισμός συνδέσεων διεπαφής δικτύου

Μερικές φορές, η απαίτηση μπορεί να είναι ο αποκλεισμός συνδέσεων δικτύου που προέρχονται από μια συγκεκριμένη διεύθυνση IP προς μια συγκεκριμένη διεπαφή δικτύου. Εάν συμβαίνει αυτό, θα πρέπει να καθορίσουμε τη διεπαφή δικτύου μαζί με την πηγαία διεύθυνση IP. Για αυτό το παράδειγμα, θεωρήστε ότι η πηγαία διεύθυνση IP είναι η 15.15.15.51 και η διεπαφή δικτύου είναι η eth0:

Παρόμοια με την πηγαία διεύθυνση IP, μπορείτε επίσης να καθορίσετε τη διεπαφή δικτύου σε οποιονδήποτε κανόνα τείχους προστασίας. Ο σκοπός αυτών των προδιαγραφών είναι να περιορίσουν τον δεδομένο κανόνα τείχους προστασίας μόνο σε ένα συγκεκριμένο δίκτυο ή σύνδεση.

Πώς να επιτρέψετε συνδέσεις SSH

Αυτή η ενότητα είναι σχετική με εσάς εάν χρησιμοποιείτε έναν διακομιστή cloud. Για να μπορέσετε να δημιουργήσετε μια σύνδεση με τον διακομιστή cloud σας, χρειάζεστε το τείχος προστασίας να επιτρέπει τις εισερχόμενες συνδέσεις SSH. Αυτές οι συνδέσεις SSH πραγματοποιούνται μέσω της θύρας 22. Μπορείτε να ακολουθήσετε αυτόν τον οδηγό για να μάθετε πώς να χρησιμοποιείτε το SSH για να συνδεθείτε σε έναν απομακρυσμένο διακομιστή στο Ubuntu.

Δημιουργώντας συνδέσεις SSH, μπορείτε να διαχειριστείτε με επιτυχία τον διακομιστή cloud σας χρησιμοποιώντας την τοπική σας μονάδα. Εδώ, θα καλύψουμε τους διάφορους κανόνες που σχετίζονται με τη διαμόρφωση του τείχους προστασίας που σχετίζεται με το SSH:

• Επίτρεψη SSH

Χρησιμοποιήστε την ακόλουθη εντολή για να επιτρέψετε όλες τις εισερχόμενες συνδέσεις SSH:

Από την άλλη πλευρά, μπορείτε επίσης να εκτελέσετε την εντολή καθορίζοντας αντ' αυτού τον αριθμό θύρας της υπηρεσίας SSH:

• Επίτρεψη εισερχόμενου SSH από συγκεκριμένη διεύθυνση IP

Σε περίπτωση που θέλετε να επιτρέψετε εισερχόμενες συνδέσεις SSH μόνο από μια συγκεκριμένη διεύθυνση IP ή υποδίκτυο, έχετε τη δυνατότητα να καθορίσετε την πηγή. Για παράδειγμα, ας υποθέσουμε ότι το υποδίκτυο που θέλετε να επιτρέψετε είναι το 15.15.15.0/24. Εδώ είναι η εντολή που θα πρέπει να εκτελέσετε:

• Επιτρέποντας εισερχόμενο Rsync από συγκεκριμένη διεύθυνση IP

Λειτουργώντας στη θύρα 873, το Rsync σάς επιτρέπει να εκτελείτε μεταφορά αρχείων από ένα σύστημα υπολογιστή σε άλλο. Εάν θέλετε να επιτρέψετε τη σύνδεση Rsync που προέρχεται μόνο από μια συγκεκριμένη διεύθυνση IP ή υποδίκτυο (σε αυτό το παράδειγμα, 15.15.15.0/24), μπορείτε να το κάνετε χρησιμοποιώντας αυτήν την εντολή:

Αυτό σημαίνει ότι ολόκληρο το υποδίκτυο 15.15.15.0/24 θα επιτρέπεται να κάνει Rsync στον διακομιστή σας. Εδώ υπάρχει επίσης ένας ολοκληρωμένος οδηγός για τον τρόπο χρήσης του Rsync για το συγχρονισμό τοπικών και απομακρυσμένων καταλόγων στον διακομιστή σας.

Πώς να διαμορφώσετε τα αιτήματα διακομιστή Ιστού

Στη συνέχεια, θα προχωρήσουμε στους κανόνες που σχετίζονται με την υπηρεσία Web Server. Οι διακομιστές ιστού όπως ο Apache και ο Nginx γενικά δέχονται αιτήματα για συνδέσεις HTTP και HTTPS από δύο θύρες: τη θύρα 80 και τη θύρα 443. Η θύρα 80 εξυπηρετεί αιτήματα HTTP. Η θύρα 443 είναι υπεύθυνη για τα αιτήματα HTTPS.

Όπως συζητήσαμε στις προϋποθέσεις, χρησιμοποιείτε το προεπιλεγμένο σύνολο κανόνων για το UFW. Με βάση αυτό το σύνολο κανόνων, το τείχος προστασίας αποκλείει ή απορρίπτει όλη την εισερχόμενη κίνηση. Επομένως, θα πρέπει να διαμορφώσετε νέους κανόνες που επιτρέπουν στον διακομιστή να δέχεται και να διαβάζει αυτά τα εισερχόμενα αιτήματα.

• Επιτρέποντας όλα τα HTTP

Εάν θέλετε να επιτρέψετε όλες τις συνδέσεις και τα αιτήματα HTTP που προέρχονται από τη θύρα 80, χρησιμοποιήστε την εντολή:

Μπορείτε επίσης να χρησιμοποιήσετε τον αριθμό θύρας (θύρα 80) για να καθορίσετε την υπηρεσία HTTP στην εντολή:

• Επιτρέποντας όλα τα HTTPS

Εάν θέλετε να επιτρέψετε όλες τις συνδέσεις και τα αιτήματα HTTPS που προέρχονται από τη θύρα 443, τότε εκτελέστε αυτήν την εντολή:

Παρόμοια με την προηγούμενη εντολή, μπορείτε να αντικαταστήσετε το ‘https’ με τον αριθμό θύρας της υπηρεσίας HTTPS:

• Επιτρέποντας όλα τα HTTP και HTTPS

Σε περίπτωση που θέλετε να επιτρέψετε τόσο αιτήματα HTTP όσο και HTTPS, μπορείτε να χρησιμοποιήσετε έναν συλλογικό κανόνα και για τα δύο. Μέσω αυτής της μοναδικής εντολής, μπορείτε να επιτρέψετε την εισερχόμενη κίνηση τόσο από τη θύρα 80 όσο και από τη θύρα 443:

Η εντολή proto tcp είναι απαραίτητο να χρησιμοποιείται όταν καθορίζετε πολλές θύρες ταυτόχρονα.

Μπορείτε επίσης να ακολουθήσετε αυτούς τους λεπτομερείς οδηγούς σχετικά με τον τρόπο ασφάλισης του Nginx και του Apache με Let’s Encrypt on Ubuntu.

Πώς να επιτρέψετε το MySQL

MySQL οι συνδέσεις εισέρχονται μέσω της θύρας 3306. Θα πρέπει να χρησιμοποιήσετε έναν κανόνα για να επιτρέψετε την εισερχόμενη κίνηση εάν ένας πελάτης χρησιμοποιεί τη βάση δεδομένων MySQL σε έναν απομακρυσμένο διακομιστή. Ακολουθήστε τον οδηγό μας για να μάθετε τα βασικά της MySQL και πώς να εγκαταστήσετε τη MySQL σε έναν διακομιστή.

• Επιτρέποντας τη MySQL από συγκεκριμένη διεύθυνση IP

Όπως έχουμε ήδη δει σε προηγούμενους κανόνες, πρέπει να καθορίσετε την πηγή για να επιτρέψετε τις εισερχόμενες συνδέσεις MySQL. Η πηγή σας μπορεί να είναι μια συγκεκριμένη διεύθυνση IP ή ένα υποδίκτυο. Στο παράδειγμά μας, θα χρησιμοποιήσουμε ολόκληρο το υποδίκτυο 15.15.15.0/24 για να εκτελέσουμε την εντολή:

• Επιτρέποντας τη MySQL σε συγκεκριμένη διεπαφή δικτύου

Θα χρησιμοποιήσετε μια διαφορετική εντολή εάν πρέπει επίσης να καθορίσετε τη διεπαφή δικτύου στην οποία επιτρέπετε τις συνδέσεις MySQL. Ας υποθέσουμε ότι η διεπαφή δικτύου που χρησιμοποιείτε είναι μια ιδιωτική διεπαφή δικτύου που ονομάζεται eth1. Μπορείτε να αντικαταστήσετε αυτήν την τιμή με το όνομα της δικής σας διεπαφής δικτύου:

Πώς να επιτρέψετε το PostgreSQL

Οι PostgreSQL συνδέσεις εισέρχονται μέσω της θύρας 5432. Παρόμοια με τις συνδέσεις MySQL, εάν ένας πελάτης χρησιμοποιεί τη βάση δεδομένων PostgreSQL σε έναν απομακρυσμένο διακομιστή, πρέπει να επιτρέψετε την εισερχόμενη κίνηση. Μπορείτε να το κάνετε αυτό χρησιμοποιώντας τις εντολές που ακολουθούν.

• Επιτρέποντας το PostgreSQL από συγκεκριμένη διεύθυνση IP

Εάν γνωρίζετε ότι οι συνδέσεις PostgreSQL προέρχονται από ένα συγκεκριμένο υποδίκτυο ή διεύθυνση IP, πρέπει να καθορίσετε την πηγή. Εδώ, θα χρησιμοποιήσουμε το παράδειγμα του υποδικτύου 15.15.15.0/24 για άλλη μια φορά:

Σε περίπτωση που η πολιτική OUTPUT δεν έχει οριστεί σε ACCEPT, θα πρέπει να εκτελέσετε μια δεύτερη εντολή. Αυτή η εντολή επιτρέπει την εξερχόμενη κίνηση των ήδη εγκατεστημένων συνδέσεων PostgreSQL.

• Επιτρέποντας την PostgreSQL σε μια συγκεκριμένη διεπαφή δικτύου

Παρόμοια με τον προηγούμενο κανόνα, θα επιτρέψουμε τις συνδέσεις PostgreSQL σε μια συγκεκριμένη διεπαφή δικτύου. Στη δική μας περίπτωση είναι η eth1:

Σε περίπτωση που η πολιτική OUTPUT δεν έχει οριστεί σε ACCEPT, θα πρέπει να εκτελέσετε μια δεύτερη εντολή. Αυτή η εντολή επιτρέπει την εξερχόμενη κίνηση των ήδη εγκατεστημένων συνδέσεων PostgreSQL. Μπορείτε να μάθετε πώς να εγκαταστήσετε την PostgreSQL στο Ubuntu ακολουθώντας τον αναλυτικό οδηγό μας.

Πώς να ρυθμίσετε τους διακομιστές αλληλογραφίας

Ενδέχεται επίσης να χρησιμοποιείτε διακομιστές αλληλογραφίας όπως οι Sendmail και Postfix στο σύστημά σας. Αυτοί οι διακομιστές είναι ανοιχτοί σε διάφορες θύρες. Οι θύρες στις οποίες ακούν εξαρτώνται από τα πρωτόκολλα που έχουν οριστεί για την παράδοση αλληλογραφίας. Γι' αυτό θα πρέπει πρώτα να προσδιορίσετε ποια πρωτόκολλα εκτελείτε στο σύστημα παράδοσης αλληλογραφίας σας. Στη συνέχεια, θα επιτρέψετε τους σχετικούς τύπους κίνησης με βάση αυτές τις πληροφορίες.

• Αποκλεισμός εξερχόμενης αλληλογραφίας SMTP

Πριν προχωρήσουμε στις εντολές που επιτρέπουν την εισερχόμενη κίνηση για τους διακομιστές αλληλογραφίας σας, ας δούμε πώς μπορείτε να αποκλείσετε την εξερχόμενη αλληλογραφία SMTP. Μπορείτε να χρησιμοποιήσετε αυτήν την εντολή εάν δεν θέλετε ο διακομιστής σας να στέλνει εξερχόμενη αλληλογραφία. Η αλληλογραφία SMTP χρησιμοποιεί τη θύρα 25. Χρησιμοποιήστε αυτήν την εντολή για να αποκλείσετε αυτήν την κίνηση:

Ως αποτέλεσμα της εκτέλεσης αυτής της εντολής, το τείχος προστασίας σας θα απορρίψει όλη την εξερχόμενη κίνηση στη θύρα 25. Εάν θέλετε να αποκλείσετε μια άλλη θύρα, απλώς αντικαταστήστε τη θύρα «25» με τον κατάλληλο αριθμό θύρας.

• Επιτρέποντας το εισερχόμενο SMTP

Τώρα που γνωρίζετε πώς να αποκλείετε την εξερχόμενη κίνηση, η επιτροπή της εισερχόμενης κίνησης θα φαίνεται εξίσου απλή. Χρησιμοποιήστε αυτήν την εντολή για να επιτρέψετε στον διακομιστή να δέχεται σύνδεση SMTP στη θύρα 25:

• Επιτρέποντας το εισερχόμενο IMAP

Εάν θέλετε να επιτρέψετε στον διακομιστή να δημιουργήσει σύνδεση IMAP στη θύρα 143, χρησιμοποιήστε την ακόλουθη εντολή:

• Επιτρέποντας το εισερχόμενο IMAPS

Χρησιμοποιήστε αυτήν την εντολή για να επιτρέψετε στον διακομιστή να ανταποκρίνεται σε συνδέσεις IMAPS στη θύρα 993:

• Επιτρέποντας το εισερχόμενο POP3

Αυτή η εντολή επιτρέπει στον διακομιστή σας να ανταποκρίνεται σε όλες τις συνδέσεις POP3 μέσω της θύρας 110:

• Επιτρέποντας το εισερχόμενο POP3S

Τέλος, μπορείτε να επιτρέψετε στον διακομιστή σας να λαμβάνει αιτήματα από τη θύρα 995 για συνδέσεις POP3S χρησιμοποιώντας αυτήν την εντολή:

Συμπέρασμα

Αυτός ο οδηγός θα σας βοηθήσει να εξοικειωθείτε με τις βασικές λειτουργίες του UFW. Έχουμε καλύψει τις απαραίτητες εντολές που πρέπει να γνωρίζετε για να μπορείτε να ρυθμίσετε το τείχος προστασίας σας. Μπορείτε να επιλέξετε τις εντολές που ταιριάζουν καλύτερα στις συγκεκριμένες απαιτήσεις σας για να δημιουργήσετε μια εξατομικευμένη λύση τείχους προστασίας. Η ευέλικτη φύση του UFW επιτρέπει τέτοιου είδους προσαρμογές. Πειραματιστείτε για να βρείτε τι λειτουργεί καλύτερα για εσάς.

Καλή συνέχεια!