Главная » Linux

Как установить и использовать брандмауэр Linux

Автор На чтение 6 мин Просмотров 452 Опубликовано Обновлено
Содержание
  1. Защитите свой рабочий стол Ubuntu с помощью брандмауэра UFW
  2. Что такое брандмауэр?
  3. Установка UFW
  4. Активация UFW
  5. Политика по умолчанию
  6. Разрешение входящего трафика
  7. Удаление правил

Защитите свой рабочий стол Ubuntu с помощью брандмауэра UFW

Linux является одной из самых безопасных настольных и серверных платформ на планете. Из коробки вы найдете большинство дистрибутивов Linux гораздо более безопасными, чем Windows или macOS. На самом деле, для большинства случаев использования настольных систем безопасность, предлагаемая в большинстве дистрибутивов Linux, будет вам полезна. Однако это не означает, что вы должны полностью игнорировать безопасность операционной системы, для которой вы доверили свои данные. На самом деле, вам следует знать, как работать с брандмауэром Linux.

Что такое брандмауэр?

Проще говоря, брандмауэр – это подсистема на компьютере, которая блокирует входящий или исходящий сетевой трафик на ваш компьютер. Брандмауэры могут быть созданы как очень ограничивающие (позволяющие очень мало входить и/или выходить) или очень разрешающие (допускающие довольно много входов и/или выходов). Брандмауэры бывают двух разных типов:

  • Аппаратное обеспечение – физические устройства, которые служат только для защиты вашей сети (и компьютеров в вашей сети).
  • Программное обеспечение – подсистемы на отдельных компьютерах, которые защищают только хост-компьютер.

Большинство домашних сетей зависят от их комбинации. Аппаратным решением обычно является модем/маршрутизатор, развернутый вашим провайдером. Много раз эти устройства настроены как очень строгие. Что касается программного обеспечения, ваш настольный компьютер использует программный брандмауэр. Одним из таких брандмауэров, который можно установить и использовать во многих дистрибутивах Linux (таких как Ubuntu и его производные), является Uncomplicated Firewall (UFW). Несложный брандмауэр – именно то, на что это похоже. Это простой инструмент, который делает управление блокировкой/разрешением сетевого трафика довольно простым. UFW – это инструмент для командной строки, который отлично справляется с задачей защиты вашего компьютера с Linux.

Установка UFW

Как на Ubuntu, так и на большинстве производных Ubuntu UWF уже установлен. Чтобы узнать, установлен ли UFW на вашем компьютере, откройте окно терминала и введите команду: 

 sudo ufw status

Эта команда (скорее всего) сообщит, что UFW неактивен. Если вы обнаружите, что UFW не установлен, введите команду 

 sudo apt-get install ufw -y

Активация UFW

Поскольку UFW по умолчанию неактивен, вы захотите его активировать. Для этого выполните команду 

 sudo ufw enable

Теперь, когда вы проверяете статус, он будет отображаться как активный.

Политика по умолчанию

Большинству пользователей не нужно слишком беспокоиться о политике по умолчанию. Однако лучше по крайней мере понять основы этой политики.

Политика по умолчанию – это набор правил, которые управляют обработкой трафика, который явно не соответствует никаким другим правилам. Существует четыре политики по умолчанию:

  • INPUT – трафик, поступающий в компьютер.
  • ВЫХОД – трафик, выходящий из компьютера.
  • FORWARD – трафик, который пересылается из одного пункта назначения в другой.
  • ПОЛИТИКА ПРИЛОЖЕНИЯ – трафик, который определяется приложением (а не сетевым портом).

Для большинства пользователей будут важны только политики INPUT и OUTPUT.

Политики UFW по умолчанию задаются в файле /etc/default/ufw . Выполните команду 

 sudo nano/etc/default/ufw

и найдите следующие четыре строки:

  • DEFAULT_INPUT_POLICY = “DROP”
  • DEFAULT_OUTPUT_POLICY = “ПРИНЯТЬ”
  • DEFAULT_FORWARD_POLICY = “DROP”
  • DEFAULT_APPLICATION_POLICY = “SKIP”

Важно знать, что каждая из вышеперечисленных политик может быть скорректирована с немного разными значениями по умолчанию.

  • INPUT/OUTPUT/FORWARD может быть установлен на ACCEPT, DROP или REJECT
  • ПРИЛОЖЕНИЕ может быть установлено на ПРИНЯТЬ, ОТКЛЮЧИТЬ, ОТКАЗАТЬ или ПРОПУСТИТЬ

Разница между ACCEPT, DROP и REJECT:

  • ПРИНЯТЬ – разрешить трафик через брандмауэр.
  • REJECT – не разрешать трафик через брандмауэр и отправлять сообщение о недоступности получателя ICMP обратно отправляющему источнику.
  • DROP – запретить прохождение пакета через брандмауэр и не отправлять ответ.

Вы можете настроить политики по умолчанию в соответствии с вашими потребностями. Если вы измените политики в файле, перезагрузите правила UFW с помощью команды: 

 перезагрузка sudo ufw

Разрешение входящего трафика

Поскольку вам, вероятно, не потребуется изменять политику исходящего трафика по умолчанию, давайте сосредоточимся на разрешении входящего трафика. Скажем, например, вы хотите иметь возможность защищать оболочку на своем рабочем столе (используя команду ssh ) с другого компьютера. Для этого вам нужно указать UFW разрешить входящий трафик через стандартный порт SSH (порт 22).Команда для этого будет: 

 sudo ufw allow ssh

Приведенная выше команда позволит любому компьютеру в вашей сети (или даже вне вашей сети, если ваш маршрутизатор настроен на пропуск внешнего трафика) получить доступ к вашему компьютеру через порт 22.

Это все хорошо, если только вы не хотите разрешить доступ к определенным компьютерам в вашей сети. Скажем, например, вы хотите разрешить только один компьютер – компьютер с IP-адресом 192.168.1.162. Для этого команда будет: 

 sudo ufw разрешает с 192.168.1.162 на любой порт 22

Оператор allow from указывает UFW, что ниже следует адрес, с которого разрешается трафик. к любому порту указывает UFW разрешить трафик для указанного порта. В приведенном выше примере компьютер only в вашей сети, которому будет разрешено защищать оболочку на вашем компьютере, будет иметь компьютер с IP-адресом 192.168.1.162.

Вы также можете запретить трафик на указанный сетевой интерфейс. Скажем, например, ваша машина имеет два сетевых интерфейса:

  • ВНУТРЕННИЙ – с использованием сетевого интерфейса ens5 со схемой IP-адресов 192.168.1.x.
  • ВНЕШНЕЕ – использование сетевого интерфейса enp0s3 со схемой IP-адресов 172.217.1.x

Что если вы хотите оставить правило, разрешающее входящий трафик ssh на 192.168.1.162, но запретить весь входящий трафик от внешнего интерфейса? Для этого команда будет: 

 Запрет sudo ufw на enp0s3 для любого порта ssh

Выполните команду 

 sudo ufw status

, чтобы увидеть, что трафик ssh из 192.168.1.162 по-прежнему разрешен, тогда как трафик с внешнего интерфейса запрещен.

Удаление правил

Если вы обнаружите, что создали правила, вызывающие проблемы с подключением компьютеров к вашему компьютеру, вы можете удалить созданные вами правила. Первое, что вы хотите сделать, – это чтобы UFW перечислил ваши правила по номеру. Для этого выполните команду: 

 статус sudo ufw пронумерован

Скажем, вы хотите удалить правило номер 1. Для этого введите команду: 

 sudo ufw delete 1

Вам будет предложено подтвердить удаление правила. Введите y и используйте Enter/Return на клавиатуре для подтверждения. Выполните команду 

 sudo ufw status

, чтобы увидеть, что правило было удалено.

Оцените статью
Solutics.ru
Добавить комментарий

© 2024 solutics.ru | Контакты | Политика конфиденциальности