Osnove UFW-a: Učenje ključnih naredbi vatrozida

Uvod

UFW označava jednostavan vatrozid (uncomplicated firewall). To je sučelje koje vam omogućuje jednostavno upravljanje funkcijama i naredbama vašeg vatrozida. UFW dobivate kao zadanu opciju uz svoj Ubuntu poslužitelj. Maksimiziranje potencijala naredbi i funkcija vatrozida može biti teško ako već niste upoznati s alatom.

Naš cilj je pružiti vam sveobuhvatan vodič koji možete koristiti kao početnik. Objašnjenja ćemo nadopuniti primjerima raznih radnji koje možete izvesti s UFW-om. Mnoga pravila bit će vrlo korisna za svakodnevne usluge i aktivnosti. Krenimo!

Preduvjeti

Prije nego što nastavite čitati, provjerite je li vaš UFW postavljen na zadani skup pravila. To znači da vatrozid dopušta odlazni promet, ali blokira dolazni promet. Prednost ovog zadanog resetiranja je u tome što možete odabrati koji promet želite dopustiti kroz vatrozid. Ako niste sigurni u status trenutnog skupa pravila na vašem UFW-u, upotrijebite ovu naredbu za provjeru: sudo ufw status. Također možete koristiti ovu naredbu:

Osim toga, slobodno možete skočiti na bilo koji odjeljak koji je najrelevantniji za vaše zahtjeve. Ne morate nužno koristiti svaku pojedinu naredbu navedenu u ovom vodiču. Možete ih kombinirati i usklađivati na temelju svojih osobnih potreba.

Kako blokirati IP adresu

Započnimo s jednom od najosnovnijih funkcija svakog vatrozida: blokiranjem IP adresa. Postoji vrlo jednostavna naredba koju možete koristiti za blokiranje svih mrežnih veza koje dolaze s određene IP adrese. Recimo, na primjer, da je specifična IP adresa u našem slučaju 15.15.15.51. Ovu vrijednost možete zamijeniti IP adresom koju želite blokirati putem svog UFW-a. Ovo je naredba koju biste koristili u tu svrhu:

Ovdje 'from 15.15.15.51' označava samo izvornu IP adresu, a to je '15.15.15.51'. Ako umjesto toga želite odrediti podmrežu, možete je dodati na sljedeći način: 15.15.15.0/24. Naredba će raditi jednako dobro. Ovu izvornu IP adresu možete odrediti u bilo kojem pravilu vatrozida koje želite, kao što je pravilo dopuštanja (allow).

• Blokiranje veza mrežnog sučelja

Ponekad zahtjev može biti blokiranje mrežnih veza koje dolaze s određene IP adrese na određeno mrežno sučelje. Ako je to slučaj, morat ćemo navesti mrežno sučelje zajedno s izvornom IP adresom. Za ovaj primjer, uzmimo da je izvorna IP adresa 15.15.15.51, a mrežno sučelje eth0:

Slično izvornoj IP adresi, mrežno sučelje možete odrediti i u bilo kojem pravilu vatrozida. Svrha ovih specifikacija je ograničiti zadano pravilo vatrozida samo na određenu mrežu ili vezu.

Kako dopustiti SSH veze

Ovaj odjeljak je relevantan za vas ako koristite poslužitelj u oblaku. Da biste mogli uspostaviti vezu sa svojim poslužiteljem u oblaku, vatrozid mora dopustiti dolazne SSH veze. Ove SSH veze dolaze preko porta 22. Možete pratiti ovaj vodič kako biste naučili kako koristiti SSH za povezivanje s udaljenim poslužiteljem u Ubuntuu.

Uspostavljanjem SSH veza možete uspješno upravljati svojim poslužiteljem u oblaku pomoću svoje lokalne jedinice. Ovdje ćemo pokriti različita pravila relevantna za konfiguraciju vatrozida povezanu s SSH-om:

• Dopuštanje SSH-a

Koristite sljedeću naredbu kako biste dopustili sve dolazne SSH veze:

S druge strane, naredbu možete izvršiti i tako da umjesto toga navedete broj porta SSH usluge:

• Dopuštanje dolaznog SSH-a s određene IP adrese

U slučaju da želite dopustiti samo dolazne SSH veze s određene IP adrese ili podmreže, imate mogućnost odrediti izvor. Na primjer, recimo da je podmreža koju želite dopustiti 15.15.15.0/24. Evo naredbe koju ćete morati pokrenuti:

• Dopuštanje dolaznog Rsync-a s određene IP adrese

Radeći na portu 873, Rsync vam omogućuje prijenos datoteka s jednog računalnog sustava na drugi. Ako želite dopustiti samo Rsync vezu koja dolazi s određene IP adrese ili podmreže (u ovom primjeru, 15.15.15.0/24), to možete učiniti pomoću ove naredbe:

To znači da će cijeloj podmreži 15.15.15.0/24 biti dopušten Rsync na vaš poslužitelj. Ovdje je također i sveobuhvatan vodič o tome kako koristiti Rsync za sinkronizaciju lokalnih i udaljenih direktorija na vašem poslužitelju.

Kako konfigurirati zahtjeve web poslužitelja

Zatim ćemo prijeći na pravila povezana s uslugom web poslužitelja. Web poslužitelji poput Apache i Nginx općenito primaju zahtjeve za HTTP i HTTPS veze s dva porta: porta 80 i porta 443. Port 80 služi za HTTP zahtjeve. Port 443 odgovoran je za HTTPS zahtjeve.

Kao što smo raspravljali u preduvjetima, koristite zadani skup pravila za UFW. Na temelju ovog skupa pravila, vatrozid blokira ili odbija sav dolazni promet. Stoga ćete morati konfigurirati nova pravila koja omogućuju poslužitelju primanje i čitanje tih dolaznih zahtjeva.

• Dopuštanje svih HTTP veza

Ako želite dopustiti sve HTTP veze i zahtjeve koji dolaze s porta 80, upotrijebite naredbu:

Također možete koristiti broj porta (port 80) za određivanje HTTP usluge u naredbi:

• Dopuštanje svih HTTPS veza

Ako želite dopustiti sve HTTPS veze i zahtjeve koji dolaze s porta 443, pokrenite ovu naredbu:

Slično prethodnoj naredbi, možete zamijeniti ‘https’ brojem porta HTTPS usluge:

• Dopuštanje svih HTTP i HTTPS veza

U slučaju da želite dopustiti i HTTP i HTTPS zahtjeve, možete koristiti zajedničko pravilo za oba. Putem ove jedinstvene naredbe možete dopustiti dolazni promet s porta 80 kao i s porta 443:

Naredbu proto tcp potrebno je koristiti kada specificirate više portova odjednom.

Također možete pratiti ove detaljne vodiče o tome kako osigurati Nginx i Apache s Let’s Encrypt na Ubuntuu.

Kako dopustiti MySQL

MySQL veze dolaze kroz port 3306. Morat ćete upotrijebiti pravilo za dopuštanje dolaznog prometa ako klijent koristi vašu MySQL bazu podataka na udaljenom poslužitelju. Pratite naš vodič kako biste naučili osnove MySQL-a i kako postaviti MySQL na poslužitelju.

• Dopuštanje MySQL-a s određene IP adrese

Kao što smo već vidjeli u prethodnim pravilima, morate navesti izvor kako biste dopustili dolazne MySQL veze. Vaš izvor može biti određena IP adresa ili podmreža. U našem primjeru koristit ćemo cijelu podmrežu 15.15.15.0/24 za pokretanje naredbe:

• Dopuštanje MySQL-a na određeno mrežno sučelje

Koristit ćete drugu naredbu ako također trebate navesti mrežno sučelje na kojem dopuštate MySQL veze. Pretpostavimo da je mrežno sučelje koje koristite privatno mrežno sučelje pod nazivom eth1. Ovu vrijednost možete zamijeniti nazivom vlastitog mrežnog sučelja:

Kako dopustiti PostgreSQL

The PostgreSQL veze dolaze kroz port 5432. Slično kao i kod MySQL veza, ako klijent koristi PostgreSQL bazu podataka na udaljenom poslužitelju, morate dopustiti dolazni promet. To možete učiniti pomoću naredbi koje slijede.

• Dopuštanje PostgreSQL-a s određene IP adrese

Ako znate da PostgreSQL veze dolaze iz određene podmreže ili IP adrese, morate navesti izvor. Ovdje ćemo još jednom upotrijebiti primjer podmreže 15.15.15.0/24:

U slučaju da vaša OUTPUT politika nije postavljena na ACCEPT, morat ćete pokrenuti drugu naredbu. Ova naredba dopušta odlazni promet već uspostavljenih PostgreSQL veza.

• Dopuštanje PostgreSQL-a na određeno mrežno sučelje

Slično prethodnom pravilu, dopustit ćemo PostgreSQL veze na određeno mrežno sučelje. U našem slučaju to je eth1:

U slučaju da vaša OUTPUT politika nije postavljena na ACCEPT, morat ćete pokrenuti drugu naredbu. Ova naredba dopušta odlazni promet već uspostavljenih PostgreSQL veza. Možete saznati kako postaviti PostgreSQL na Ubuntu prateći naš detaljni vodič.

Kako konfigurirati poslužitelje e-pošte

Možda također koristite poslužitelje e-pošte poput Sendmail i Postfix na vašem sustavu. Ovi su poslužitelji otvoreni za nekoliko portova. Portovi koje slušaju ovise o protokolima koji su postavljeni za dostavu pošte. Zato ćete najprije morati utvrditi koje protokole koristite u svom sustavu za dostavu pošte. Nakon toga ćete dopustiti relevantne vrste prometa na temelju tih informacija.

• Blokiranje odlazne SMTP pošte

Prije nego što prijeđemo na naredbe koje dopuštaju dolazni promet za vaše poslužitelje e-pošte, pogledajmo kako možete blokirati odlaznu SMTP poštu. Ovu naredbu možete koristiti ako ne želite da vaš poslužitelj šalje odlaznu poštu. SMTP pošta koristi port 25. Koristite ovu naredbu za blokiranje ovog prometa:

Kao rezultat pokretanja ove naredbe, vaš će vatrozid odbaciti sav odlazni promet na portu 25. Ako želite blokirati neki drugi port, jednostavno zamijenite port '25' odgovarajućim brojem porta.

• Dopuštanje dolaznog SMTP-a

Sada kada znate kako blokirati odlazni promet, dopuštanje dolaznog prometa činit će se jednako jednostavnim. Koristite ovu naredbu kako biste poslužitelju omogućili primanje SMTP veze na portu 25:

• Dopuštanje dolaznog IMAP-a

Ako želite dopustiti poslužitelju uspostavljanje IMAP veze na portu 143, koristite sljedeću naredbu:

• Dopuštanje dolaznog IMAPS-a

Koristite ovu naredbu kako biste poslužitelju omogućili odgovaranje na IMAPS veze na portu 993:

• Dopuštanje dolaznog POP3

Ova naredba omogućuje vašem poslužitelju da odgovori na sve POP3 veze putem porta 110:

• Dopuštanje dolaznog POP3S-a

Naposljetku, možete dopustiti svom poslužitelju primanje zahtjeva s porta 995 za POP3S veze pomoću ove naredbe:

Zaključak

Ovaj vodič pomoći će vam da se upoznate s osnovnim funkcijama UFW-a. Pokrili smo bitne naredbe s kojima morate biti upoznati kako biste mogli konfigurirati svoj vatrozid. Možete odabrati naredbe koje najbolje odgovaraju vašim specifičnim zahtjevima kako biste stvorili personalizirano rješenje vatrozida. Fleksibilna priroda UFW-a omogućuje takvu prilagodbu. Eksperimentirajte kako biste saznali što vam najbolje odgovara.

Ugodno računanje!