Sử dụng tường lửa với UFW trong Ubuntu Linux [Hướng dẫn cho người mới bắt đầu]
|
Tường lửa không phức tạp (UFW) là một công cụ tường lửa dễ sử dụng với nhiều tùy chọn cho các loại người dùng khác nhau Show
Nó thực sự là một giao diện cho iptables, công cụ cấp thấp truyền thống (và khó thành thạo hơn) để tạo quy tắc mạng Lợi ích của việc sử dụng tường lửaTường lửa là phương pháp kiểm soát lưu lượng truy cập vào và ra trên mạng của bạn, giúp hệ thống của người dùng thông thường an toàn hơn và cần thiết cho máy chủ. Bạn có thể nghĩ đến việc thiết lập tường lửa nếu bạn là một trong những người thích kiểm soát mọi thứ ở mức cao ngay cả trên máy tính để bàn Đối với máy chủ, tường lửa là một yêu cầu; thiết lập tường lửa bằng UFWNếu bạn đang thiết lập tường lửa cho một hệ thống Linux từ xa, chẳng hạn như máy chủ đám mây hoặc VPS, thì việc cấu hình không đúng có thể khiến máy chủ không thể truy cập được. Chẳng hạn, bạn sẽ không thể truy cập máy chủ qua SSH nếu bạn chặn tất cả lưu lượng truy cập đến trên máy chủ Hướng dẫn này phải phù hợp với cả người dùng máy chủ và máy tính để bàn Ubuntu, vì tôi sẽ tiến hành định cấu hình tường lửa phù hợp với nhu cầu của bạn và cung cấp cho bạn tổng quan về những gì có thể được thực hiện bằng tiện ích đơn giản này Có một giao diện người dùng GUI được gọi là Gufw dành cho người dùng máy tính để bàn, nhưng tôi sẽ không đề cập đến nó trong hướng dẫn này, vì vậy hãy nhớ rằng tôi sẽ sử dụng phương pháp dòng lệnh ở đây. Nếu bạn muốn sử dụng nó, có một hướng dẫn dành riêng cho Gufw Cài đặt UFWNếu UFW chưa được cài đặt trên hệ thống Ubuntu của bạn, bạn có thể cài đặt nó bằng cách chạy lệnh sau _10Vui lòng sử dụng trình quản lý gói của bạn để cài đặt UFW trên các bản phân phối khác Enter để xác minh rằng UFW đã được cài đặt chính xác ________Đầu tiênNếu nó được cài đặt, thông tin phiên bản sẽ hiển thị Tuyệt vời, vậy là hệ thống của bạn đã được cài đặt UFW. Hãy thử sử dụng ngay Ghi chú. Để chạy (gần như) tất cả các lệnh ufw, bạn phải sử dụng sudo hoặc root Kiểm tra trạng thái và quy tắc ufwUFW hoạt động bằng cách thiết lập các quy tắc cho lưu lượng truy cập vào và ra, bao gồm cho phép và không cho phép các nguồn và đích cụ thể Sử dụng lệnh sau để kiểm tra các quy tắc tường lửa Tại thời điểm này, điều này sẽ dẫn đến đầu ra được liệt kê bên dưới Theo mặc định, UFW không được bật và không ảnh hưởng đến mạng của bạn; . Điều đó sẽ được xử lý trong phần sau này Nhưng đây là điều. ngay cả khi ufw bị tắt, bạn vẫn có thể xem và sửa đổi các quy tắc tường lửa _15Và nó tạo ra kết quả này trong trường hợp của tôi _16Đây không phải là một hệ thống mới, nhưng tôi không thể nhớ mình đã thêm quy tắc này theo cách thủ công hay chưa Chính sách mặc địnhĐối với người dùng máy tính để bàn thông thường, hành vi này hoàn toàn hợp lý vì bạn muốn có thể kết nối với nhiều dịch vụ khác nhau (chẳng hạn như http/https để truy cập các trang web) và không muốn có bất kỳ ai kết nối với máy của mình Tuy nhiên, để kết nối với hệ thống từ xa khi sử dụng máy chủ từ xa, bạn phải cho phép lưu lượng truy cập trên cổng SSH Bạn có hai tùy chọn để cho phép lưu lượng truy cập cổng 22 mặc định của SSH _17Nếu bạn đang sử dụng SSH trên một cổng khác, bạn nên kích hoạt nó ở cấp độ dịch vụ Thật tốt khi tường lửa vẫn chưa hoạt động. Trước khi bật ufw, bạn có thể thay đổi quy tắc để đảm bảo rằng các dịch vụ quan trọng không được kết nối Vui lòng đảm bảo cho phép các cổng thông qua UFW cho các dịch vụ đang chạy nếu bạn định sử dụng UFW làm máy chủ sản xuất Bạn có thể làm điều đó ở cấp độ dịch vụ với "sudo ufw allow apache", chẳng hạn, vì các máy chủ web thường sử dụng cổng 80 Đây là trách nhiệm của bạn và bạn chịu trách nhiệm đảm bảo máy chủ của mình hoạt động bình thường Bạn có thể tiếp tục với các chính sách mặc định cho người dùng máy tính để bàn _19Bật và tắt UFWBạn cần kích hoạt UFW để nó hoạt động ________mườiTường lửa sẽ kích hoạt và được đặt để khởi chạy mỗi khi bạn khởi động do thực hiện việc này Một lần nữa, trước khi bật ufw nếu bạn được kết nối với máy qua ssh, hãy đảm bảo ssh được cho phép bằng cách nhập sudo ufw allow ssh Nhập để tắt UFW nếu bạn muốn Bạn sẽ quay lại Tải lại tường lửa cho các quy tắc mớiNếu bạn sửa đổi các quy tắc tường lửa trong khi UFW đã được bật, bạn phải tải lại để các thay đổi có hiệu lực UFW có thể được khởi động lại bằng cách tắt và bật lại Hoặc tải lại các quy tắc Đặt lại quy tắc tường lửa mặc địnhBạn có thể bắt đầu lại với các quy tắc mặc định nếu bạn mắc lỗi với một trong các quy tắc của mình và muốn quay lại các quy tắc đó (i. e. , không có ngoại lệ cho lưu lượng đến hoặc từ chối lưu lượng đi) Hãy nhớ rằng làm điều này sẽ loại bỏ tất cả các cấu hình tường lửa của bạn Thiết lập tường lửa bằng UFW (xem kỹ hơn)Được rồi, vậy là bây giờ bạn đã biết phần lớn các lệnh ufw cơ bản. Tôi muốn đi vào chi tiết hơn một chút về cấu hình quy tắc tường lửa vào thời điểm này Cho phép và cấm bởi các giao thức và cổngBạn có thể thêm các ngoại lệ mới vào tường lửa của mình theo cách này; Bạn phải chỉnh sửa /etc/default/ufw để thay đổi hành vi mặc định của các lệnh này trong việc thêm quy tắc cho cả IP và IPv6. Biến đổi to lớn Kết quả là, các hướng dẫn cơ bản là Bạn sẽ nhận được tiền hoàn lại nếu quy tắc được thêm thành công Ví dụ Cần lưu ý rằng nếu bạn bỏ qua việc chỉ định một giao thức cụ thể, quy tắc sẽ được áp dụng cho cả tcp và udp Các quy tắc mới đã được triển khai thành công nếu bạn bật UFW và kiểm tra trạng thái của nó (hoặc, nếu nó đang chạy, hãy tải lại nó) Giao thức phải được chỉ định cho loại quy tắc này và bạn cũng có thể cho phép/từ chối phạm vi cổng. Ví dụ Bạn có thể tải lại và kiểm tra trạng thái. Sẽ cho phép tất cả các dịch vụ trên cổng 90 đến 100 bằng giao thức TCP Cho phép và từ chối bởi các dịch vụBạn cũng có thể thêm các quy tắc sử dụng tên dịch vụ để đơn giản hóa mọi thứ Chẳng hạn, để chặn và cho phép các dịch vụ HTTP và lưu lượng truy cập ssh đến Bạn có thể tự xem danh sách và UFW sẽ đọc các dịch vụ từ /etc/services trong khi thực hiện việc này Thêm quy tắc cho ứng dụngĐể dễ sử dụng, một số ứng dụng cung cấp các dịch vụ được đặt tên cụ thể và thậm chí có thể sử dụng các cổng khác nhau. Một ví dụ như vậy là ssh. Lệnh sau sẽ hiển thị danh sách các ứng dụng như vậy được cài đặt trên máy tính của bạn Các chương trình tôi có quyền truy cập là CUPS (hệ thống in qua mạng) và OpenSSH.Trong trường hợp của tôi, các ứng dụng khả dụng là CUPS (hệ thống in qua mạng) và OpenSSH. Nhập "thêm quy tắc vào ứng dụng" để làm như vậy Ví dụ Nếu bạn tải lại và kiểm tra trạng thái, quy tắc sẽ hiện diện Sự kết luậnCòn nhiều điều về tường lửa trong Linux hơn những gì được trình bày ở đây đến mức có thể viết một cuốn sách về chúng. Trên thực tế, Steve Suehring đã viết một cuốn sách tuyệt vời có tựa đề Tường lửa Linux Tường lửa Linux. Sử dụng nftables để tăng cường bảo mật và BeyondFourth Edition của "Cải thiện bảo mật với nftables và Beyond" $49. 99 Nếu bạn mua thứ gì đó, chúng tôi sẽ nhận được hoa hồng mà bạn không phải trả thêm phí 06/12/2022 05. 08 giờ sáng theo giờ GMT Nếu bạn nghĩ việc thiết lập tường lửa với UFW là phức tạp, bạn nên thử sử dụng iptables hoặc nftables trước để xem UFW cấu hình tường lửa đơn giản như thế nào UFW (Tường lửa không phức tạp) là tiện ích tường lửa dễ sử dụng với nhiều tùy chọn cho mọi đối tượng người dùng Nó thực sự là một giao diện cho iptables, là công cụ cấp thấp cổ điển (và khó sử dụng hơn) để thiết lập các quy tắc cho mạng của bạn Tại sao bạn nên sử dụng Tường lửa?Tường lửa là một cách để điều chỉnh lưu lượng truy cập vào và ra trên mạng của bạn. Điều này rất quan trọng đối với máy chủ, nhưng nó cũng giúp hệ thống của người dùng thông thường an toàn hơn nhiều, giúp bạn kiểm soát. Nếu bạn là một trong những người muốn kiểm soát mọi thứ ở cấp độ nâng cao ngay cả trên máy tính để bàn, bạn có thể cân nhắc thiết lập tường lửa Nói tóm lại, tường lửa là điều bắt buộc đối với các máy chủ. Trên máy tính để bàn, bạn muốn thiết lập hay không là tùy bạn. Thiết lập tường lửa với UFWĐiều quan trọng là thiết lập tường lửa đúng cách. Việc thiết lập không chính xác có thể khiến máy chủ không truy cập được nếu bạn đang thực hiện việc này cho hệ thống Linux từ xa, chẳng hạn như máy chủ đám mây hoặc VPS. Ví dụ: bạn chặn tất cả lưu lượng đến trên máy chủ mà bạn đang truy cập qua SSH. Bây giờ bạn sẽ không thể truy cập máy chủ qua SSH Trong hướng dẫn này, tôi sẽ đi qua cấu hình tường lửa phù hợp với nhu cầu của bạn, cung cấp cho bạn cái nhìn tổng quan về những gì có thể được thực hiện bằng tiện ích đơn giản này. Điều này phải phù hợp cho cả người dùng máy chủ và máy tính để bàn Ubuntu Xin lưu ý rằng tôi sẽ sử dụng phương pháp dòng lệnh ở đây. Có một giao diện người dùng GUI được gọi là Gufw dành cho người dùng máy tính để bàn nhưng tôi sẽ không đề cập đến nó trong hướng dẫn này. Có một hướng dẫn dành riêng cho Gufw nếu bạn muốn sử dụng nó Cài đặt UFWNếu bạn đang sử dụng Ubuntu, UFW đã được cài đặt sẵn. Nếu không, bạn có thể cài đặt nó bằng lệnh sau Đối với các bản phân phối khác, vui lòng sử dụng trình quản lý gói của bạn để cài đặt UFW Để kiểm tra xem UFW đã được cài đặt đúng chưa, hãy nhập Nếu nó được cài đặt, bạn sẽ thấy chi tiết phiên bản Tuyệt quá. Vì vậy, bạn có UFW trên hệ thống của mình. Hãy xem về việc sử dụng nó ngay bây giờ Ghi chú. Bạn cần sử dụng sudo hoặc root để chạy (gần như) tất cả các lệnh ufw Kiểm tra trạng thái và quy tắc ufwUFW hoạt động bằng cách thiết lập các quy tắc cho lưu lượng đến và đi. Các quy tắc này bao gồm cho phép và từ chối các nguồn và đích cụ thể Bạn có thể kiểm tra các quy tắc tường lửa bằng cách sử dụng lệnh sau Điều này sẽ cung cấp cho bạn đầu ra sau ở giai đoạn này Lệnh trên sẽ hiển thị cho bạn các quy tắc tường lửa nếu tường lửa được bật. Theo mặc định, UFW không được bật và không ảnh hưởng đến mạng của bạn. Chúng tôi sẽ giải quyết vấn đề đó trong phần tiếp theo Nhưng vấn đề là ở đây, bạn có thể xem và sửa đổi các quy tắc tường lửa ngay cả khi ufw không được bật Và trong trường hợp của tôi, nó cho thấy kết quả này Bây giờ, tôi không nhớ mình đã thêm quy tắc này theo cách thủ công hay chưa. Nó không phải là một hệ thống mới Chính sách mặc địnhTheo mặc định, UFW từ chối tất cả lưu lượng đến và cho phép tất cả lưu lượng gửi đi. Hành vi này hoàn toàn hợp lý đối với người dùng máy tính để bàn thông thường, vì bạn muốn có thể kết nối với nhiều dịch vụ khác nhau (chẳng hạn như http/https để truy cập các trang web) và không muốn có bất kỳ ai kết nối với máy của mình Tuy nhiên, nếu bạn đang sử dụng máy chủ từ xa, bạn phải cho phép lưu lượng truy cập trên cổng SSH để có thể kết nối với hệ thống từ xa Bạn có thể cho phép lưu lượng trên cổng mặc định SSH 22 Trong trường hợp bạn đang sử dụng SSH trên một số cổng khác, hãy cho phép nó ở cấp độ dịch vụ Xin lưu ý rằng tường lửa chưa hoạt động. Đây là một điều tốt. Bạn có thể sửa đổi các quy tắc trước khi bật ufw để các dịch vụ thiết yếu không bị ảnh hưởng Nếu bạn định sử dụng UFW một máy chủ sản xuất, vui lòng đảm bảo cho phép các cổng thông qua UFW cho các dịch vụ đang chạy Ví dụ: máy chủ web thường sử dụng cổng 80, vì vậy hãy sử dụng “sudo ufw allow 80”. Bạn cũng có thể làm điều đó ở cấp độ dịch vụ “sudo ufw allow apache” Trách nhiệm này thuộc về phía bạn và bạn có trách nhiệm đảm bảo máy chủ của mình hoạt động bình thường Đối với người dùng máy tính để bàn, bạn có thể tiếp tục với các chính sách mặc định Bật và tắt UFWĐể UFW hoạt động, bạn phải kích hoạt nó Làm như vậy sẽ khởi động tường lửa và lên lịch khởi động mỗi khi bạn khởi động. Bạn nhận được thông báo sau Lại. nếu bạn được kết nối với máy qua ssh, hãy đảm bảo ssh được cho phép trước khi bật ufw bằng cách nhập sudo ufw allow ssh Nếu bạn muốn tắt UFW, hãy nhập Bạn sẽ nhận lại Tải lại tường lửa cho các quy tắc mớiNếu UFW đã được bật và bạn sửa đổi các quy tắc tường lửa, bạn cần tải lại nó trước khi các thay đổi có hiệu lực Bạn có thể khởi động lại UFW bằng cách tắt và bật lại Hoặc tải lại các quy tắc Đặt lại quy tắc tường lửa mặc địnhNếu bất cứ lúc nào bạn làm hỏng bất kỳ quy tắc nào của mình và muốn quay lại quy tắc mặc định (nghĩa là không có ngoại lệ cho phép lưu lượng truy cập đến hoặc từ chối lưu lượng truy cập đi), bạn có thể bắt đầu lại từ đầu bằng Hãy nhớ rằng điều này sẽ xóa tất cả các cấu hình tường lửa của bạn Cấu hình tường lửa với UFW (xem chi tiết hơn)Được rồi. Vậy là bạn đã học được hầu hết các lệnh ufw cơ bản. Ở giai đoạn này, tôi muốn đi chi tiết hơn một chút về cấu hình quy tắc tường lửa Cho phép và từ chối theo giao thức và cổngĐây là cách bạn thêm các ngoại lệ mới vào tường lửa của mình; Theo mặc định, các lệnh này sẽ thêm các quy tắc cho cả IP và IPv6. Nếu bạn muốn sửa đổi hành vi này, bạn sẽ phải chỉnh sửa /etc/default/ufw. Biến đổi đến Điều đó đang được nói, các lệnh cơ bản là Nếu quy tắc đã được thêm thành công, bạn sẽ quay lại Ví dụ Ghi chú. nếu bạn không bao gồm một giao thức cụ thể, quy tắc sẽ được áp dụng cho cả tcp và udp Nếu bạn bật (hoặc, nếu đã chạy, hãy tải lại) UFW và kiểm tra trạng thái của nó, bạn có thể thấy rằng các quy tắc mới đã được áp dụng thành công Bạn cũng có thể cho phép/từ chối phạm vi cổng. Đối với loại quy tắc này, bạn phải chỉ định giao thức. Ví dụ Sẽ cho phép tất cả các dịch vụ trên cổng 90 đến 100 bằng giao thức TCP. Bạn có thể tải lại và xác minh trạng thái Cho phép và từ chối bởi các dịch vụĐể làm cho mọi thứ dễ dàng hơn, bạn cũng có thể thêm các quy tắc bằng tên dịch vụ Ví dụ: để cho phép ssh đến và chặn và các dịch vụ HTTP đến Trong khi làm như vậy, UFW sẽ đọc các dịch vụ từ /etc/services. Bạn có thể tự kiểm tra danh sách Thêm quy tắc cho ứng dụngMột số ứng dụng cung cấp các dịch vụ được đặt tên cụ thể để dễ sử dụng và thậm chí có thể sử dụng các cổng khác nhau. Một ví dụ như vậy là ssh. Bạn có thể xem danh sách các ứng dụng như vậy có trên máy của mình bằng cách sau Trong trường hợp của tôi, các ứng dụng khả dụng là CUPS (hệ thống in qua mạng) và OpenSSH. Để thêm quy tắc cho ứng dụng, hãy nhập Ví dụ Tải lại và kiểm tra trạng thái, bạn sẽ thấy rằng quy tắc đã được thêm vào Sự kết luậnĐây chỉ là phần nổi của bức tường lửa tảng băng chìm. Còn rất nhiều điều về tường lửa trong Linux mà có thể viết cả một cuốn sách về nó. Trên thực tế, đã có một cuốn sách tuyệt vời Tường lửa Linux của Steve Suehring Tường lửa Linux. Tăng cường bảo mật với nftables và hơn thế nữa. Tăng cường bảo mật với nftables và Beyond (Phiên bản thứ 4) $49. 99 Mua trên AmazonChúng tôi kiếm được hoa hồng nếu bạn mua hàng, bạn không phải trả thêm phí 06/12/2022 05. 08 giờ sáng theo giờ GMT Nếu bạn nghĩ thiết lập tường lửa bằng UFW thì nên thử dùng iptables hoặc nftables. Sau đó, bạn sẽ nhận ra cách UFW đơn giản hóa cấu hình tường lửa Cách cấu hình tường lửa ufw Ubuntu?Bước 1 – Thiết lập chính sách UFW mặc định. Để xem trạng thái của ufw, gõ. . Bước 2 – Mở kết nối SSH TCP port 22. Bước hợp lý tiếp theo là cho phép các cổng SSH đến. . Bước 3 – Bật tường lửa. . Bước 4 – Mở các kết nối/cổng đến cụ thể. . Bước 5 – Chặn và từ chối các kết nối/cổng đến. . Bước 6 – Xác minh trạng thái của UFW Quá trình cấu hình tường lửa ufw trong Linux là gì?Định cấu hình Tường lửa với UFW trên Ubuntu 18. 04
. 04 cục bộ, chỉ cần mở một thiết bị đầu cuối. Nếu bạn nhận được lỗi không tìm thấy lệnh, hãy cài đặt UFW bằng lệnh sau. Sau đó, chúng ta phải kiểm tra trạng thái UFW
Làm cách nào để chạy tường lửa trong Ubuntu?ufw - Tường lửa đơn giản . Đầu tiên, ufw cần được kích hoạt. . Để mở một cổng (SSH trong ví dụ này). Sudo ufw cho phép 22 Các quy tắc cũng có thể được thêm bằng định dạng được đánh số. Sudo ufw chèn 1 cho phép 80 Tương tự, để đóng một cổng đã mở. Sudo ufw từ chối 22 Để xóa quy tắc, hãy sử dụng xóa theo sau quy tắc. sudo ufw xóa từ chối 22 ufw có phải là tường lửa tốt không?UFW – đây có lẽ là tường lửa thân thiện với người dùng nhất hiện có trong Linux . Nếu bạn là người mới hoàn toàn hoặc bạn chỉ muốn sử dụng Linux của mình mà không đi sâu vào cài đặt của nó, hãy sử dụng UFW. iptables - đây là một cách nâng cao hơn nhưng có lẽ là cách phù hợp để định cấu hình Tường lửa Linux.
|
