Ubuntu we Debian-da UFW Firewall-y nädip gurmaly
Dogry işleýän gorag diwary, Linux ulgamynyň howpsuzlygynyň iň möhüm bölegi. Düzgüne görä, Debian we Ubuntu paýlanyşy, UFW (Çylşyrymly Firewall) atly gorag diwary konfigurasiýa guraly bilen gelýär, Ubuntu we Debian paýlamalarynda gorag diwaryny sazlamak we dolandyrmak üçin iň meşhur we ulanylmagy aňsat buýruk guralydyr.
Bu makalada Ubuntu we Debian paýlamalarynda UFW gorag diwaryny nädip gurmalydygyny we gurnamalydygyny düşündireris.
Bu makalany başlamazdan ozal, Ubuntu ýa-da Debian serweriňize sudo ulanyjysy ýa-da kök hasaby bilen girendigiňize göz ýetiriň. Sudo ulanyjyňyz ýok bolsa, kök ulanyjy hökmünde aşakdaky görkezmeleri ulanyp birini döredip bilersiňiz.
# adduser username # usermod -aG sudo username # su - username $ sudo whoami
Ubuntu we Debian-da UFW Firewall guruň
UFW (Çylşyrymly Firewall), Ubuntu we Debian-da deslapky tertipde gurulmalydyr, ýok bolsa, aşakdaky buýrugy ulanyp, APT paket dolandyryjysyny ulanyp guruň.
$ sudo apt install ufw
Gurmak gutaransoň, ýazmak arkaly UFW-iň ýagdaýyny barlap bilersiňiz.
$ sudo ufw status verbose
Ilkinji gurnamada, UFW firewall deslapky ýagdaýda ýapylýar, çykyş aşakdaky ýaly bolar.
Status: inactive
Gorag diwaryny ýüklemeli we ýüklemäge başlamaga mümkinçilik berýän aşakdaky buýrugy ulanyp, UFW gorag diwaryny işjeňleşdirip ýa-da işledip bilersiňiz.
$ sudo ufw enable
UFW gorag diwaryny öçürmek üçin, diwar diwaryny düşürýän we ýüklemäge başlamaz ýaly aşakdaky buýrugy ulanyň.
$ sudo ufw disable
Düzgüne görä, UFW firewall her gelýän birikmäni inkär edýär we diňe serwerdäki ähli birikmelere rugsat berýär. Diýmek, porty ýörite açmasaňyz, serweriňizdäki ähli hyzmatlar ýa-da amaly programmalar daşarky tora girip bilýän bolsa, hiç kim serweriňize girip bilmez.
Adaty UFW gorag diwar polisleri /etc/default/ufw
faýlynda ýerleşdirilýär we aşakdaky buýruk bilen üýtgedilip bilner.
$ sudo ufw default deny incoming $ sudo ufw default allow outgoing
APT paket dolandyryjysyny ulanyp, programma üpjünçiligi bukjasy gurlanda, hyzmaty kesgitleýän we UFW sazlamalaryny saklaýan /etc/ufw/applications.d
bukjasyna programma profilini goşar.
Aşakdaky buýrugy ulanyp, serweriňizdäki ähli amaly profilleri sanap bilersiňiz.
$ sudo ufw app list
Ulgamyňyzdaky programma üpjünçiligi paket gurnamalaryna baglylykda çykyş aşakdakylara meňzeýär:
Available applications: APACHE APACHE Full APACHE SECURE CUPS OpenSSH Postfix Postfix SMTPS Postfix Submission
Belli bir profil we kesgitlenen düzgünler barada has giňişleýin maglumat almak isleseňiz, aşakdaky buýrugy ulanyp bilersiňiz.
$ sudo ufw app info 'Apache'
Profile: Apache Title: Web Server Description: Apache V2 is the next generation f the omnipresent Apache web server. Ports: 80/tcp
Serweriňiz IPv6 bilen düzülen bolsa, UFW-iňiziň IPv6 we IPv4 goldawy bilen düzülendigine göz ýetiriň. Muny barlamak üçin halaýan redaktoryňyzy ulanyp UFW konfigurasiýa faýlyny açyň.
$ sudo vi /etc/default/ufw
Soňra görkezilişi ýaly konfigurasiýa faýlynda IPV6 \yes\
düzülendigine göz ýetiriň.
IPV6=yes
Saklaň we taşlaň. Soňra diwar diwaryny aşakdaky buýruklar bilen täzeden açyň:
$ sudo ufw disable $ sudo ufw enable
UFW gorag diwaryny şu wagta çenli işleden bolsaňyz, gelýän ähli birikmeleri petiklär we uzak ýerden SSH-den serweriňize birikdirilen bolsaňyz, ony täzeden birikdirip bilmersiňiz.
Aşakdaky buýrugy ulanyp, munuň bolmazlygy üçin serwerimize SSH birikmelerini açalyň:
$ sudo ufw allow ssh
Customörite SSH portuny ulanýan bolsaňyz (mysal üçin 2222-nji port), şol porty UFW firewall-da aşakdaky buýrugy ulanyp açmaly.
$ sudo ufw allow 2222/tcp
SSH birikmeleriniň hemmesini blokirlemek üçin aşakdaky buýrugy ýazyň.
$ sudo ufw deny ssh/tcp $ sudo ufw deny 2222/tcp [If using custom SSH port]
Şeýle hem, belli bir hyzmata birikmek üçin gorag diwarynda belli bir port açyp bilersiňiz. Mysal üçin, 80-nji portda (HTTP) we 443 (HTTPS) diňleýän web serwerini gurmak isleseňiz.
Aşakda Apache hyzmatlaryna gelýän birikmelere nädip rugsat bermelidiginiň birnäçe mysallary bar.
$ sudo ufw allow http [By service name] $ sudo ufw allow 80/tcp [By port number] $ sudo ufw allow 'Apache' [By application profile]
$ sudo ufw allow https $ sudo ufw allow 443/tcp $ sudo ufw allow 'Apache Secure'
Birnäçe portda (5000-5003) işlemek isleýän käbir programmalaryňyzyň bardygyny göz öňünde tutsaňyz, aşakdaky buýruklary ulanyp, bu portlaryň hemmesini goşup bilersiňiz.
sudo ufw allow 5000:5003/tcp sudo ufw allow 5000:5003/udp
Portshli portlarda 192.168.56.1 IP adresinden birikmelere rugsat bermek isleseňiz, IP adresinden öň görkezmeli.
$ sudo ufw allow from 192.168.56.1
Öý enjamyňyzdan 192.168.56.1 IP adresi bilen belli bir portda (mysal üçin 22-nji port) birikmäge rugsat bermek üçin, görkezilişi ýaly IP adresinden soň islendik port we port belgisini goşmaly.
$ sudo ufw allow from 192.168.56.1 to any port 22
192.168.1.1-den 192.168.1.254-den 22-nji porta (SSH) çenli aýratyn IP adresleri birikdirmäge rugsat bermek üçin aşakdaky buýrugy işlediň.
$ sudo ufw allow from 192.168.1.0/24 to any port 22
Belli bir port 22 (SSH) üçin belli bir tor interfeýs et2-e birikmäge rugsat bermek üçin aşakdaky buýrugy işlediň.
$ sudo ufw allow in on eth2 to any port 22
Düzgüne görä, UFW-de birikmäni ýörite açmasaňyz, gelýän ähli birikmeler petiklenýär. Mysal üçin, 80 we 443 portlaryny açdyňyz we web serweriňiz 11.12.13.0/24 näbelli ulgamyň hüjümine sezewar boldy.
Bu aýratyn 11.12.13.0/24 set aralygyndaky ähli baglanyşyklary blokirlemek üçin aşakdaky buýrugy ulanyp bilersiňiz.
$ sudo ufw deny from 11.12.13.0/24
Diňe 80 we 443 portlarda birikmeleri blokirlemek isleseňiz, aşakdaky buýruklary ulanyp bilersiňiz.
$ sudo ufw deny from 11.12.13.0/24 to any port 80 $ sudo ufw deny from 11.12.13.0/24 to any port 443
UFW düzgünlerini, düzgün belgisi we hakyky düzgün boýunça ýok etmegiň 2 usuly bar.
UFW düzgünlerini düzgün belgisini ulanyp pozmak üçin ilki bilen aşakdaky buýrugy ulanyp sanlary tertipleşdirmeli.
$ sudo ufw status numbered
Status: active To Action From -- ------ ---- [ 1] 22/tcp ALLOW IN Anywhere [ 2] 80/tcp ALLOW IN Anywhere
1-nji düzgüni pozmak üçin aşakdaky buýrugy ulanyň.
$ sudo ufw delete 1
Ikinji usul, hakyky düzgüni ulanyp, bir düzgüni pozmak, mysal üçin bir düzgüni pozmak, port belgisini görkezilişi ýaly protokol bilen görkezmek.
$ sudo ufw delete allow 22/tcp
Islendik ufw buýruklaryny - gurak işletmek
baýdagyny ulanyp ulgam gorag diwarynda hiç hili üýtgeşme girizmezden işledip bilersiňiz, bu diňe nirede boljakdygyny çaklaýan üýtgeşmeleri görkezýär.
$ sudo ufw --dry-run enable
Bir sebäbe görä, ähli diwar gorag düzgünlerini pozmak/täzeden düzmek isleseňiz, aşakdaky buýruklary ýazyň, ähli üýtgeşmeleriňizi yzyna öwürer we täze başlar.
$ sudo ufw reset $ sudo ufw status
UFW gorag diwary, iptables-iň edýän zatlaryny edip biler. Bu dürli düzgünler faýllary bilen edilip bilner, olar hiç zat däl, ýöne ýönekeý iptables-dikeltmek tekst faýllary.
UFW diwaryny düzmek ýa-da ufw buýrugy arkaly goşmaça iptables buýruklaryny goşmak gadagan, diňe tekst faýllaryny üýtgetmek meselesi.
- /etc/default/ufw: Öň kesgitlenen düzgünler bilen esasy konfigurasiýa faýly.
- /etc/ufw/befoto 6).rules: Bu faýlda düzgünler ufw buýrugy bilen goşmazdan ozal hasaplanýar.
- /etc/ufw/after Foto6).rules: Bu faýlda düzgünler ufw buýrugy arkaly goşulandan soň hasaplanýar.
- /etc/ufw/sysctl.conf: Bu faýl ýadro ulgamyny sazlamak üçin ulanylýar.
- /etc/ufw/ufw.conf: Bu faýl ufw-i ýüklemäge mümkinçilik berýär.
Bu! UFW, ýekeje ufw buýrugy bilen çylşyrymly düzgünleri kesgitlemek üçin ulanyjy üçin amatly interfeýsi bolan iptable-laryň ajaýyp öň tarapy.
Bu ufw makalasy barada paýlaşjak soraglaryňyz ýa-da pikirleriňiz bar bolsa, bize ýetmek üçin aşakdaky düşündiriş formuny ulanyň.