Skip to content

Hur man installerar och använder en Linux -brandvägg

15 de september de 2021
security 2168233 1920 5c5f396246e0fb0001105fb1

Linux är en av de säkraste stationära och serverplattformarna på planeten. Utan lådan hittar du de flesta Linux -distributioner mycket säkrare än antingen Windows eller macOS. Faktum är att säkerheten som erbjuds i de flesta Linux-distributioner tjänar dig väl för de flesta stationära användningsfall. Det betyder dock inte att du helt ska ignorera säkerheten för operativsystemet som du har anförtrott dina data för. Faktum är att du borde veta hur du arbetar med en Linux -brandvägg.

Vad är en brandvägg?

Enkelt uttryckt är en brandvägg ett delsystem på en dator som blockerar viss nätverkstrafik från att gå in eller ut ur din dator. Brandväggar kan skapas för att vara mycket restriktiva (tillåta väldigt lite in och/eller ut) eller mycket tillåtande (tillåta ganska mycket in och/eller ut). Brandväggar finns i två olika typer:

  • Hårdvara – fysiska enheter som endast tjänar syftet med att skydda ditt nätverk (och datorerna i ditt nätverk).
  • Programvara – delsystem på enskilda datorer som endast skyddar värdmaskinen.

De flesta hemnätverk är beroende av en kombination av de två. Hårdvarulösningen är i allmänhet modemet/routern som din ISP använder. Många gånger är dessa enheter inställda för att vara mycket restriktiva. I slutet av programvaran använder din stationära dator en brandvägg för programvara. En sådan brandvägg, som kan installeras och användas på många Linux -distributioner (t.ex. Ubuntu och dess derivat), är Uncomplicated Firewall (UFW). Okomplicerad brandvägg är exakt hur det låter. Det är ett enkelt verktyg som gör det enkelt att hantera blockering/tillåtande av nätverkstrafik. UFW är ett enda kommandoradsverktyg som gör ett utmärkt jobb med att hjälpa till att säkra din Linux-dator.

Installation av UFW

På både Ubuntu och de flesta Ubuntu -derivat är UWF redan installerat. För att ta reda på om UFW är installerat på din dator, öppna ett terminalfönster och ge kommandot: sudo ufw status

type = ”code”> Detta kommando kommer (troligtvis) att rapportera att UFW är inaktivt. Om du upptäcker att UFW inte är installerat, utfärdar du kommandot sudo apt -get install ufw -y

typ = ”kod”>

Aktivera UFW

Aktivera UFW -brandväggen

Eftersom UFW är inaktivt som standard vill du aktivera det. Utför kommandot för att göra det

sudo ufw enable Nu när du kontrollerar status visas den som aktiv. Standardpolicyn

konfigurationsfil i UFW

De flesta användare behöver inte oroa sig för mycket om standardpolicyn. Det är dock bäst att åtminstone förstå grunderna i dessa policyer. En standardpolicy är en uppsättning regler som reglerar hur man hanterar trafik som inte uttryckligen matchar andra regler. Det finns fyra standardpolicyer:

  • INPUT — trafik kommer in i datorn.
  • OUTPUT — trafik som går ut ur datorn.
  • FRAMÅT — trafik som vidarebefordras från en destination till en annan.
  • ANVÄNDNINGSPOLICY — trafik som definieras av applikation (och inte nätverksport).

För de flesta användare kommer bara INPUT- och OUTPUT -policyn att vara oroande. Standard UFW -principer anges i filen /etc/default/ufw. Ge kommandot

  • sudo nano/etc/default/ufw

    och leta efter dessa fyra rader:
    DEFAULT_INPUT_POLICY = ”DROP”

  • DEFAULT_OUTPUT_POLICY = ”ACCEPTERA”
  • DEFAULT_FORWARD_POLICY = ”DROP”
  • DEFAULT_APPLICATION_POLICY = ”SKIPPA”

Det är viktigt att veta att var och en av ovanstående policyer kan justeras med en något annan standard.

  • INPUT/OUTPUT/FORWARD kan ställas in på ACCEPT, DROP eller REJECT
  • APPLIKATION kan ställas in på ACCEPT, DROP, REJECT eller SKIP

Skillnaden mellan ACCEPT, DROP och REJECT är:

  • ACCEPTERA – Tillåt trafik genom brandväggen.
  • REJECT — Tillåt inte trafik genom brandväggen och skicka ett meddelande från ICMP-destination som inte kan nås till sändningskällan.
  • DROP — Förbjud ett paket att passera genom brandväggen och skicka inget svar.

Du kan justera standardpolicyn för att passa dina behov. Om du ändrar principerna i filen, ladda om UFW -reglerna med kommandot: sudo ufw reload

typ = ”kod”>

Tillåter inkommande trafik

Tillåter SSH -trafik i UFW

Eftersom du förmodligen inte behöver ändra standardpolicyn för utgående trafik, låt oss fokusera på att tillåta inkommande trafik. Säg till exempel att du vill kunna säkra skalet på skrivbordet (med ssh kommando) från en annan maskin. För detta behöver du instruera UFW för att tillåta inkommande trafik på standard SSH -port (port 22). Kommandot för detta skulle vara: sudo ufw allow ssh

type = ”code”> Ovanstående kommando skulle tillåta vilken dator som helst i ditt nätverk (eller till och med utanför ditt nätverk, om din router är konfigurerad för att tillåta extern trafik in) att komma åt din dator, via port 22.

Tillåter SSH -trafik från en specifik IP -adress

Det är bra och bra, om du inte bara vill tillåta specifika datorer i ditt nätverk. Säg till exempel att du bara vill tillåta en dator – en dator med IP -adressen 192.168.1.162. För detta skulle kommandot vara: sudo ufw tillåt från 192.168.1.162 till valfri port 22

type = ”code”>

tillåta från

uttalande instruerar UFW att det som följer är adressen att tillåta trafik från. De

till någon hamn

instruerar UFW att tillåta trafik den angivna porten. I exemplet ovan,

endast

dator i ditt nätverk som skulle få säkra skalet i din dator skulle vara den på IP -adressen 192.168.1.162. Du kan också neka trafik till ett specifikt nätverksgränssnitt. Säg till exempel att din maskin har två nätverksgränssnitt:

  • INTERNT – med nätverksgränssnitt ens5 med IP -adressschema 192.168.1.x.
  • EXTERNAL – använder nätverksgränssnitt enp0s3 med IP -adressschema 172.217.1.x

Vad händer om du vill lämna regeln som tillåter inkommande ssh -trafik på 192.168.1.162, men nekar all inkommande trafik från det externa gränssnittet? För detta skulle kommandot vara: sudo ufw neka in på enp0s3 till någon port ssh

type = ”code”> Ge kommandot

sudo ufw -status för att se att ssh -trafik från 192.168.1.162 fortfarande är tillåten, medan trafik från det externa gränssnittet nekas.

En lista över UFW -regler efter nummer

Om du upptäcker att du har skapat regler som orsakar problem med datorer som ansluter till din maskin är det möjligt att ta bort de regler du har skapat. Det första du vill göra är att UFW listar dina regler efter nummer. För att göra detta, utfärda kommandot: sudo ufw status numbered

type = ”code”> Säg att du vill ta bort regelnummer 1. För att göra detta, utfärdar du kommandot: sudo ufw delete 1

type = ”code”> Du kommer att bli ombedd att verifiera raderingen. Typ y och använda Enter/Return på tangentbordet för att bekräfta. Ge kommandot sudo ufw -status

typ = ”kod”>