[KVM Ubuntu] Ugniasienės valdymas naudojant UFW

iv_vytenisg

UFW (angl. Uncomplicated Firewall) - lengvai administruojama Ubuntu ugniasienė veikianti tokiu pačiu principu, kaip iptables.


0. Preliminarūs reikalavimai:

- KVM technologijos Linux serveris.
- Ubuntu 16.04 operacinė sistema.

Pamoka parengta naudojant Ubuntu 16.04 operacinę sistemą ir yra pritaikyta veikti tik mūsų savarankiškai administruojamuose virtualiuose dedikuotuose KVM serveriuose.


1. Sistemos atnaujinimas:

Prisijunkite prie serverio naudodami SSH prieigą ir įvykdykite žemiau pateiktas komandas:

apt-get update
apt-get upgrade -y

2. Diegimas:

Pagal nutylėjimą UFW jau turi būti įdiegta Ubuntu OS, tačiau dėl viso pikto siūlome įvykdyti diegimo komandą:

apt-get install ufw

3. Pritaikymas IPv6:

Pastaba: Jeigu nenaudojate IPv6, pereikite prie 4 žingsnio.

Naudojant IPv6 reikia papildomai įjungti IPv6 palaikymą tam, kad saugumo taisyklės veiktų tiek su IPv6 tiek su IPv4. Atsidarykite konfigūracinį UFW failą įvykdydami komandą:

nano /etc/default/ufw

Įsitikinkite, kad IPV6 reikšmė yra yes. Jeigu ne, pakeiskite į yes ir išsaugokite.


4. Standartinių taisyklių nustatymas:

Tam, kad galima būtų toliau sėkmingai nustatyti sekančias taisykles, reikia atlikti standartinių nustatymų įvedimą. Įvykdykite šias komandas:

ufw default deny incoming
ufw default allow outgoing

Įvykdžius komandas bus apribojami įeinantys susijungimai ir leidžiami išeinantys susijungimai.


5. SSH prieigos leidimas:

UFW sintaksė yra gana paprasta. Taisyklės nustatomos terminalo pagalba įvedant komandas. Kol kas UFW ugniasienės įjungti nereikia, nes tokiu būdu būtų atjungiama SSH prieiga ir nebebūtų galimybės prisijungti. Todėl dabar riekia atlikti SSH prieigos leidimo komandą:

ufw allow 22/tcp

Pastaba: Jeigu SSH prieigai naudojate kitą prievadą, nurodykite jį vietoje 22.


6. Kitų susijungimų leidimas:

Svetainės bei FTP prieigos įjungimas:

ufw allow www
ufw allow ftp

Prievadų leidimas:

ufw allow xxxx/tcp

Taip pat galite nurodyti visą prievadų intervalą. Pavyzdžiui, norint leisti susijungimą prievadams nuo 1000 iki 10000, naudokite komandą:

ufw allow 1000:10000/tcp

arba

ufw allow 1000:10000/udp

Taip pat galite leisti prieigą konkrečiam IP adresui:

ufw allow from 123.12.1.123

Galite leisti prieigą konkrečiam IP adresui naudojant konkretų prievadą. Pavyzdžiui, leisti prieigą IP adresui 123.12.1.123 naudojant 22 (SSH) prievadą:

ufw allow from 123.12.1.123 to any port 22

7. Susijungimų draudimas:

Ketvirtame žingsnyje nustatėme, kad būtų blokuojami visi įeinantys susijungimai. Tai palengvina UFW administravimą, nes turime leisti susijungimus tik prie konkrečių prievadų ar IP adresų. Tačiau galite pasirinkti ir atvirkštinį variantą (nerekomenduojame) t.y. blokuoti prieigą tik prie tų IP adresų ir prievadų, kurie yra nepageidaujami. Tam galite naudoti komandas:

ufw deny http

arba

ufw deny http

ir panašiai.



8. Taisyklių trynimas:

Tai galite atlikti, kaip pavyzdžiui:

ufw delete allow ssh

arba

ufw delete allow 80/tcp

arba

ufw delete allow 1000:2000/tcp

9. UFW įjungimas:

Kai nurodėte visus prievadus ir IP adresus, kurie gali prisijungti, galite įjungti UFW ugniasienę naudodami komandą:

sudo ufw enable

10. Taisyklių gražinimas į standartines

Jeigu vis dėlto atsitiks taip, kad Jums reikės gražinti visas taisykle į standartines, tai galite atlikti įvykdydami komandą:

ufw reset

Atlikę visus nurodytus veiksmus Jūs turėsite korektiškai sukonfigūruota ugniasienę.