UFW (angl. Uncomplicated Firewall) – lengvai administruojama Ubuntu ugniasienė, veikianti kaip į iptables / nftables sistema.
0. Preliminarūs reikalavimai
KVM technologijos Linux serveris
Ubuntu operacinė sistema (20.04, 22.04, 24.04)
Pamoka parengta Ubuntu aplinkai ir pritaikyta savarankiškai administruojamiems virtualiems dedikuotiems KVM serveriams.
1. Sistemos atnaujinimas
Prisijunkite prie serverio naudodami SSH prieigą ir įvykdykite:
sudo apt update sudo apt upgrade -y
2. UFW diegimas
Pagal nutylėjimą UFW jau būna įdiegta Ubuntu OS, tačiau rekomenduojama įsitikinti:
sudo apt install ufw
3. IPv6 palaikymo nustatymas
Pastaba: jeigu nenaudojate IPv6, galite pereiti prie 4. žingsnio.
Atidarykite UFW konfigūracinį failą:
sudo nano /etc/default/ufw
Įsitikinkite, kad reikšmė yra:
IPV6=yes
Jei pakeitėte į yes ir išsaugokite failą.
4. Standartinių taisyklių nustatymas
Nustatome saugią bazinę politiką:
sudo ufw default deny incoming
sudo ufw default allow outgoing
Tai reiškia:
visi įeinantys susijungimai blokuojami
visi išeinantys susijungimai leidžiami
5. SSH prieigos leidimas
Šis žingsnis būtinas prieš įjungiant UFW, kad neprarastumėte SSH prieigos.
Jei naudojamas standartinis SSH prievadas:
sudo ufw allow 22/tcp
Jei naudojamas nestandartinis prievadas (pvz. 2322):
sudo ufw allow 2322/tcp
6. Kitų susijungimų leidimas
Svetainės ir FTP prieigos įjungimas
sudo ufw allow www
sudo ufw allow ftp
Konkretaus prievado leidimas
sudo ufw allow XXXX/tcp
Pvz.:
sudo ufw allow 3306/tcp
Prievadų intervalo leidimas
Pavyzdžiui, norint leisti susijungimą prievadams nuo 1000 iki 10000, naudokite komandą:
TCP (lėtesniu, bet patikimesniu) protokolu:
sudo ufw allow 1000:10000/tcp
UDP (greitesniu, be papildomų patikrinimų) protokolu:
sudo ufw allow 1000:10000/udp
Prieigos leidimas konkrečiam IP adresui
sudo ufw allow from 123.12.1.123
Prieigos leidimas IP adresui prie konkretaus prievado
Pvz., SSH (22):
sudo ufw allow from 123.12.1.123 to any port 22
7. Susijungimų draudimas
Kadangi 4 žingsnyje nustatėme deny incoming (blokuojami visi įeinantys susijungimai), dažniausiai papildomai blokuoti nereikia. Tai palengvina UFW administravimą, nes turime leisti susijungimus tik prie konkrečių prievadų ar IP adresų. Tačiau galite pasirinkti ir atvirkštinį variantą (nerekomenduojame) t.y. blokuoti prieigą tik prie tų IP adresų ir prievadų, kurie yra nepageidaujami. Tam galite naudoti komandas:
sudo ufw deny http
arba konkretų prievadą:
sudo ufw deny 8080/tcp
8. Taisyklių trynimas
Pavyzdžiai:
sudo ufw delete allow ssh
sudo ufw delete allow 80/tcp
sudo ufw delete allow 1000:2000/tcp
9. UFW įjungimas
Kai visos reikalingos taisyklės jau nustatytos, įjunkite ugniasienę:
sudo ufw enable
Patvirtinkite veiksmą įvesdami y.
10. Taisyklių atstatymas į numatytąsias
Jeigu reikia visiškai išvalyti UFW konfigūraciją:
sudo ufw reset
Ši komanda:
išjungs UFW
pašalins visas taisykles
grąžins pradinę būseną