Как установить брандмауэр в Linux
Брандмауэр - это функция безопасности, которая фильтрует входящий и исходящий трафик и блокирует потенциально вредоносные приложения. Кроме того, брандмауэр дает системному администратору право определять, какие службы и порты разрешить, а какие заблокировать или запретить.
В Linux существует множество систем межсетевых экранов. Чаще всего используются межсетевые экраны Firewalld и Iptables. Firewalld - это интерфейсная служба динамического управления брандмауэром, доступная по умолчанию как на серверах CentOS, так и на серверах Fedora. Firewalld - это мощная служба управления межсетевым экраном, которая теперь заменила Iptables. Он управляет трафиком IPv4 и IPv6.
Как установить и настроить брандмауэр UFW в Ubuntu 18.04
В Ubuntu брандмауэр по умолчанию - UFW, сокращение от Uncomplicated FireWall . Он существует с момента выпуска Ubuntu 18.04 и был создан для упрощения настройки iptables, что было довольно сложно.
Установка UFW
По умолчанию Ubuntu 18.04 поставляется с установленным ufw. Однако для более ранних систем вам нужно будет выполнить команду ниже
Чтобы проверить, запущен ли ufw, запустите
Если он запущен, вы должны получить результат ниже
Чтобы проверить, активен он или неактивен, запустить
Если он неактивен, вы получите вывод ниже
Чтобы включить UFW с набором правил по умолчанию, выполните
Чтобы отключить брандмауэр, запустите
Настройка правил ufw по умолчанию
Чтобы настроить правила по умолчанию, разрешающие все исходящие протоколы, войдите в систему как root и запустите
Результат:
Чтобы запретить все входящие соединения, запустите
Результат:
Вышеупомянутые команды разрешают все исходящие соединения и запрещают или блокируют все входящие соединения.
На этом этапе вы можете включить брандмауэр, однако, прежде чем это делать, сначала разрешите ssh. Это предотвращает отключение от сервера, поскольку ранее мы указали запрет всех входящих подключений.
Чтобы разрешить ssh, запустите
Результат:
Доступ по ssh также может быть разрешен по имени службы,
Если вы хотите удалить правило, запустите
Чтобы запретить услугу по имени, запустите
Например
Чтобы увидеть все службы, которые могут быть разрешены или запрещены в системе, проверьте /etc/servicesфайл.
Результат:
Запуск брандмауэра ufw
Чтобы активировать брандмауэр, войдите в систему как root и выполните следующую команду:
Вам может быть предложено следующее предупреждение
Если вы выберете да, вы получите результат ниже.
Брандмауэр теперь активен и запускается при каждой загрузке. Мы можем снова взглянуть на правила брандмауэра:
Теперь выходные данные будут отображать статус брандмауэра плюс разрешенные службы / порты.
Результат:
Разрешение подключений в ufw
Вы можете легко разрешить входящее соединение по порту / диапазону, имени приложения, IP-адресу / подсети в ufw.
Ознакомьтесь с примерами ниже.
а) Разрешение приложений по имени или номеру порта / диапазону
ИЛИ
Например
sudo ufw разрешить 1500: 2000 / tcp
б) Разрешает IP-адрес / подсети
Нижеприведенные команды разрешают подключения с определенного IP-адреса или подсетей, а также мы можем использовать определенные номера портов.
Чтобы разрешить соединения с определенного IP-адреса
Чтобы указать IP-адрес, по которому разрешено подключаться к определенному порту, запустите
Вышеупомянутое позволяет IP-адресу 10.200.20.45 подключаться только через ssh.
Чтобы разрешить определенной подсети IP-адресов для подключения к системе, используйте нотацию CIDR для указания сетевой маски.
Вышеупомянутое позволяет IP-адресам от 192.168.1 до 192.168.1.254 подключаться к системе.
Вы также можете указать порт назначения подсети.
Это означает, что IP-адреса от 192.168.1 до 192.168.1.254 могут подключаться к системе через порт 22, который является ssh.
в) Разрешить по имени интерфейса
Если нам нужно разрешить соединения через имя интерфейса, это возможно
Как запретить соединения в ufw
По умолчанию ufw настроен на запрет всех входящих подключений.
а) IP-адрес / подсеть
Если мы хотим заблокировать доступ к определенному IP-адресу, мы можем сделать это с помощью следующей команды:
Это заблокирует все входящие соединения с хоста с IP-адресом 192.168.1.15.
Далее заблокируем всю подсеть:
Это заблокирует все подключения, исходящие из этой подсети.
б) Запретить порты и приложения
Чтобы запретить порт или услугу
ИЛИ
sudo ufw deny 1500: 2000 / tcp * Это запретит диапазоны портов *
Удаление и отслеживание правил
Когда вы добавляете много правил, вы можете лучше отслеживать их, просматривая их номера. Вы можете получить числа с помощью следующей команды:
Результат:
Допустим, мы хотим удалить правило номер 2. Мы делаем это с помощью следующей команды:
Примечание :
После удаления второго правила в брандмауэре правило 3 станет новым правилом 2. Поэтому, если вы хотите удалить текущее правило 3, вы удалите его, используя номер 2.
Сброс правил
Если вас не устраивают текущие правила и вы хотите начать все сначала, вы можете сделать это, запустив
Регистрация и перезагрузка
Чтобы включить ведение журнала, используйте следующую команду:
Если вы по какой-то причине хотите отключить ведение журнала (не рекомендуется), вы можете использовать эту команду:
sudo ufw выход из системы
Журналы по умолчанию находятся /var/log/ufw.logв режиме реального времени. Чтобы просмотреть их в реальном времени, используйте tail -f следующим образом:
Если вы хотите увидеть недавно добавленные правила
Файлы конфигурации UFW
В большинстве сценариев вы можете использовать команды терминала, но в некоторых случаях вам нужно напрямую редактировать файлы конфигурации. У ufw есть несколько файлов конфигурации, а именно:
Эти два файла содержат правила, которые оцениваются перед всеми правилами, добавленными вами с помощью команд ufw. Так что, если вы хотите, чтобы какое-то правило было применено первым, вы хотите, чтобы оно было там. Первый файл предназначен для ipv4, а второй - для v6.
Они оцениваются после правил команды ufw. Их удобно использовать, если вы хотите отменить какое-то правило и применить его, несмотря ни на что. Опять же, два файла для двух версий протокола IP, которые используются в настоящее время.
Здесь у нас есть модули ядра, которые использует ufw, а также другие общие настройки. Вы можете редактировать любой из этих файлов конфигурации только как root, и вы можете использовать любой текстовый редактор, который вам нравится.
Избегайте добавления повторяющихся правил.
Теперь давайте рассмотрим механизм против дублирования правил. Сначала откроем порт 101
Обратите внимание, что команда без протокола, как указано выше, открывает порт UDP и TCP. Итак, давайте снова запустим ту же команду, чтобы посмотреть, что произойдет.
Результат:
Это не позволяет нам добавлять повторяющееся правило. Это хорошо, но все же есть шанс добавить повторяющееся правило с помощью этой серии команд:
После разрешения TCP и UDP на порт 101 мы все еще можем добавить открытый порт 101 для всех протоколов, и это повторяющееся правило, поскольку порт 101 открывается дважды, один раз для каждого протокола и один раз для всех.
Это оставляет место для ошибки, и обычно это не очень хорошая практика. Нам нужно отменить все три команды с помощью команды ufw delete, если мы хотим вернуться к настройкам по умолчанию для порта 101.
Чтобы закрыть какой-либо порт, вы запускаете те же команды, просто вместо этого введите deny.
Как остановить и отключить брандмауэр в CentOS 8
Обычно отключать или отключать брандмауэр не рекомендуется. Однако некоторые приложения могут не работать должным образом при активном брандмауэре, и это может вынудить вас временно остановить или отключить его.
Если вы используете CentOS 8 / RHEL 8, Fedora 20 и более поздние версии, выполните описанную ниже процедуру, чтобы остановить и отключить Firewalld.
1) Как проверить статус Firewalld
Войдите на свой сервер через SSH и выполните команду ниже, чтобы проверить или проверить состояние вашего брандмауэра.
2) Как остановить Firewalld
Чтобы остановить брандмауэр, введите следующую команду:
3) Как отключить Firewalld
Наконец, чтобы отключить брандмауэр при загрузке, выполните команду:
Отключив брандмауэр, нам нужно убедиться, что он действительно отключен. Опять же, чтобы проверить статус firewalld, введите команду:
Всегда рекомендуется, чтобы ваш брандмауэр был постоянно активен, чтобы не допускать нежелательных сервисов и трафика. Таким образом вы защитите свою систему от возможных угроз и атак. Не забывайте снова включать брандмауэр после его отключения.