Základy UFW: Naučte sa základné príkazy firewallu

Úvod

UFW znamená uncomplicated firewall. Je to frontendová platforma, ktorá vám umožňuje jednoducho spravovať funkcie a príkazy vášho firewallu. UFW získate ako predvolenú možnosť s vaším Ubuntu serverom. Maximalizácia potenciálu príkazov a funkcií firewallu môže byť náročná, ak tento nástroj ešte nepoznáte.

Naším cieľom je poskytnúť vám komplexného sprievodcu, ktorého môžete použiť ako začiatočník. Vysvetlenia doplníme príkladmi rôznych akcií, ktoré môžete s UFW vykonávať. Mnohé z pravidiel budú veľmi užitočné pre každodenné služby a činnosti. Poďme na to!

Predpoklady

Skôr než budete čítať ďalej, uistite sa, že váš UFW je nastavený na predvolenú sadu pravidiel. To znamená, že firewall povoľuje odchádzajúcu prevádzku, ale blokuje prichádzajúcu prevádzku. Výhodou tohto predvoleného nastavenia je, že si môžete vybrať, ktorú prevádzku cez firewall povolíte. Ak si nie ste istí stavom aktuálnej sady pravidiel vo vašom UFW, použite na kontrolu tento príkaz: sudo ufw status. Môžete použiť aj tento príkaz:

Okrem toho môžete prejsť na ktorúkoľvek sekciu, ktorá je pre vaše požiadavky najrelevantnejšia. Nemusíte nevyhnutne použiť každý jeden príkaz uvedený v tejto príručke. Môžete ich kombinovať podľa svojich osobných potrieb.

Ako zablokovať IP adresu

Začnime jednou z najzákladnejších funkcií každého firewallu: blokovaním IP adries. Existuje veľmi jednoduchý príkaz, ktorý môžete použiť na zablokovanie akýchkoľvek sieťových pripojení prichádzajúcich z danej IP adresy. Povedzme napríklad, že konkrétna IP adresa v našom prípade je 15.15.15.51. Túto hodnotu môžete nahradiť IP adresou, ktorú chcete zablokovať prostredníctvom vášho UFW. Na tento účel by ste použili nasledujúci príkaz:

Tu 'from 15.15.15.51' označuje iba zdrojovú IP adresu, ktorou je „15.15.15.51“. Ak namiesto toho chcete špecifikovať podsieť, môžete ju pridať nasledovne: 15.15.15.0/24. Príkaz bude fungovať rovnako dobre. Túto zdrojovú IP adresu môžete špecifikovať v akomkoľvek pravidle firewallu, napríklad v pravidle allow.

• Blokovanie pripojení sieťového rozhrania

Niekedy môže byť požiadavkou zablokovať sieťové pripojenia prichádzajúce z konkrétnej IP adresy na konkrétne sieťové rozhranie. V takom prípade budeme musieť špecifikovať sieťové rozhranie spolu so zdrojovou IP adresou. Pre tento príklad predpokladajme, že zdrojová IP adresa je 15.15.15.51 a sieťové rozhranie je eth0:

Podobne ako zdrojovú IP adresu, aj sieťové rozhranie môžete špecifikovať v akomkoľvek pravidle firewallu. Účelom týchto špecifikácií je obmedziť dané pravidlo firewallu iba na konkrétnu sieť alebo pripojenie.

Ako povoliť SSH pripojenia

Táto sekcia je pre vás dôležitá, ak používate cloudový server. Aby ste mohli nadviazať pripojenie k vášmu cloudovému serveru, potrebujete, aby firewall povoľoval prichádzajúce SSH pripojenia. Tieto SSH pripojenia prechádzajú cez port 22. Môžete postupovať podľa tohto návodu, kde sa dozviete, ako použiť SSH na pripojenie k vzdialenému serveru v Ubuntu.

Nadviazaním SSH pripojení môžete úspešne spravovať svoj cloudový server pomocou vášho lokálneho zariadenia. Tu sa budeme zaoberať rôznymi pravidlami relevantnými pre konfiguráciu firewallu spojenú s SSH:

• Povolenie SSH

Na povolenie všetkých prichádzajúcich SSH pripojení použite nasledujúci príkaz:

Na druhej strane môžete príkaz vykonať aj tak, že namiesto toho špecifikujete číslo portu služby SSH:

• Povolenie prichádzajúceho SSH z konkrétnej IP adresy

V prípade, že chcete povoliť prichádzajúce SSH pripojenia iba z konkrétnej IP adresy alebo podsiete, máte možnosť špecifikovať zdroj. Povedzme napríklad, že podsieť, ktorú chcete povoliť, je 15.15.15.0/24. Tu je príkaz, ktorý budete musieť spustiť:

• Povolenie prichádzajúceho Rsync zo špecifickej IP adresy

Rsync beží na porte 873 a umožňuje vám vykonávať prenos súborov z jedného počítačového systému do druhého. Ak chcete povoliť pripojenie Rsync prichádzajúce iba zo špecifickej IP adresy alebo podsiete (v tomto príklade 15.15.15.0/24), môžete tak urobiť pomocou tohto príkazu:

To znamená, že celá podsieť 15.15.15.0/24 bude mať povolené pripojenie Rsync k vášmu serveru. Tu je tiež komplexný návod, ako využiť Rsync na synchronizáciu lokálnych a vzdialených adresárov na vašom serveri.

Ako nakonfigurovať požiadavky webového servera

Ďalej prejdeme k pravidlám súvisiacim so službou webového servera. Webové servery ako Apache a Nginx vo všeobecnosti prijímajú požiadavky na pripojenia HTTP a HTTPS z dvoch portov: port 80 a port 443. Port 80 slúži pre požiadavky HTTP. Port 443 je zodpovedný za požiadavky HTTPS.

Ako sme už spomínali v predpokladoch, používate predvolenú sadu pravidiel pre UFW. Na základe tejto sady pravidiel firewall blokuje alebo odmieta všetku prichádzajúcu prevádzku. Preto budete musieť nakonfigurovať nové pravidlá, ktoré serveru umožnia prijímať a čítať tieto prichádzajúce požiadavky.

• Povolenie všetkých HTTP

Ak chcete povoliť všetky HTTP pripojenia a požiadavky prichádzajúce z portu 80, použite príkaz:

Na špecifikáciu služby HTTP v príkaze môžete použiť aj číslo portu (port 80):

• Povolenie všetkých HTTPS

Ak chcete povoliť všetky HTTPS pripojenia a požiadavky prichádzajúce z portu 443, spustite tento príkaz:

Podobne ako v predchádzajúcom príkaze, môžete „https“ nahradiť číslom portu služby HTTPS:

• Povolenie všetkých HTTP a HTTPS

V prípade, že chcete povoliť požiadavky HTTP aj HTTPS, môžete pre ne použiť spoločné pravidlo. Pomocou tohto jediného príkazu môžete povoliť prichádzajúcu prevádzku z portu 80 aj z portu 443:

Príkaz proto tcp je potrebné použiť, keď špecifikujete viacero portov naraz.

Môžete tiež postupovať podľa týchto podrobných návodov, ako zabezpečiť Nginx a Apache s Let’s Encrypt na Ubuntu.

Ako povoliť MySQL

MySQL pripojenia prichádzajú cez port 3306. Ak klient používa vašu databázu MySQL na vzdialenom serveri, budete musieť použiť pravidlo na povolenie prichádzajúcej prevádzky. Postupujte podľa nášho návodu, kde sa dozviete základy MySQL a ako nastaviť MySQL na serveri.

• Povolenie MySQL zo špecifickej IP adresy

Ako sme už videli v predchádzajúcich pravidlách, na povolenie prichádzajúcich pripojení MySQL musíte špecifikovať zdroj. Vaším zdrojom môže byť konkrétna IP adresa alebo podsieť. V našom príklade použijeme na spustenie príkazu celú podsieť 15.15.15.0/24:

• Povolenie MySQL pre konkrétne sieťové rozhranie

Ak potrebujete špecifikovať aj sieťové rozhranie, pre ktoré povoľujete pripojenia MySQL, použijete iný príkaz. Predpokladajme, že sieťové rozhranie, ktoré používate, je súkromné sieťové rozhranie s názvom eth1. Túto hodnotu môžete nahradiť názvom vlastného sieťového rozhrania:

Ako povoliť PostgreSQL

Pripojenia PostgreSQL prichádzajú cez port 5432. Podobne ako pri pripojeniach MySQL, ak klient používa databázu PostgreSQL na vzdialenom serveri, musíte povoliť prichádzajúcu prevádzku. Môžete to urobiť pomocou nasledujúcich príkazov.

• Povolenie PostgreSQL zo špecifickej IP adresy

Ak viete, že pripojenia PostgreSQL prichádzajú z konkrétnej podsiete alebo IP adresy, musíte špecifikovať zdroj. Tu opäť použijeme príklad podsiete 15.15.15.0/24:

V prípade, že vaša OUTPUT politika nie je nastavená na  ACCEPT, budete musieť spustiť druhý príkaz. Tento príkaz povoľuje odchádzajúcu prevádzku už nadviazaných PostgreSQL spojení.

• Povolenie PostgreSQL pre konkrétne sieťové rozhranie

Podobne ako pri predchádzajúcom pravidle, povolíme PostgreSQL spojenia pre konkrétne sieťové rozhranie. V našom prípade je to eth1:

V prípade, že vaša OUTPUT politika nie je nastavená na  ACCEPT, budete musieť spustiť druhý príkaz. Tento príkaz povoľuje odchádzajúcu prevádzku už nadviazaných PostgreSQL spojení. Môžete sa dozvedieť, ako nastaviť PostgreSQL na Ubuntu podľa nášho podrobného návodu.

Ako nakonfigurovať poštové servery

Na svojom systéme môžete tiež používať poštové servery ako Sendmail a Postfix vo vašom systéme. Tieto servery sú otvorené pre niekoľko portov. Porty, na ktorých načúvajú, závisia od protokolov, ktoré sú nastavené na doručovanie pošty. Preto budete musieť najprv určiť, ktoré protokoly vo vašom systéme doručovania pošty používate. Následne na základe týchto informácií povolíte príslušné typy prevádzky.

• Blokovanie odchádzajúcej SMTP pošty

Predtým, ako prejdeme k príkazom, ktoré povoľujú prichádzajúcu prevádzku pre vaše poštové servery, pozrime sa, ako môžete zablokovať odchádzajúcu SMTP poštu. Tento príkaz môžete použiť, ak nechcete, aby váš server odosielal akúkoľvek odchádzajúcu poštu. SMTP pošta používa port 25. Na zablokovanie tejto prevádzky použite tento príkaz:

V dôsledku spustenia tohto príkazu váš firewall zahodí všetku odchádzajúcu prevádzku na porte 25. Ak chcete zablokovať iný port, jednoducho nahraďte port „25“ príslušným číslom portu.

• Povolenie prichádzajúceho SMTP

Teraz, keď už viete, ako zablokovať odchádzajúcu prevádzku, povolenie prichádzajúcej prevádzky sa bude zdať rovnako jednoduché. Použite tento príkaz na povolenie serveru prijímať SMTP spojenia na porte 25:

• Povolenie prichádzajúceho IMAP

Ak chcete serveru povoliť nadviazanie IMAP spojenia na porte 143, použite nasledujúci príkaz:

• Povolenie prichádzajúceho IMAPS

Použite tento príkaz na povolenie serveru odpovedať na IMAPS spojenia na porte 993:

• Povolenie prichádzajúceho POP3

Tento príkaz umožňuje vášmu serveru odpovedať na všetky POP3 spojenia cez port 110:

• Povolenie prichádzajúceho POP3S

Nakoniec môžete pomocou tohto príkazu povoliť serveru prijímať požiadavky z portu 995 pre POP3S spojenia:

Záver

Tento návod vám pomôže oboznámiť sa so základnými funkciami UFW. Prebrali sme základné príkazy, s ktorými sa musíte oboznámiť, aby ste mohli nakonfigurovať svoj firewall. Môžete si vybrať príkazy, ktoré najlepšie vyhovujú vašim špecifickým požiadavkám, a vytvoriť si tak personalizované riešenie firewallu. Flexibilná povaha UFW umožňuje takéto prispôsobenie. Experimentujte, aby ste zistili, čo vám najlepšie vyhovuje.

Príjemnú prácu s počítačom!