GNU/Linux >> LINUX-Kenntnisse >  >> Debian

So richten Sie eine Firewall mit UFW unter Debian 9 ein

Debian enthält mehrere Pakete, die Tools zum Verwalten einer Firewall mit iptables bereitstellen, die als Teil des Basissystems installiert sind. Für Anfänger kann es kompliziert sein zu lernen, wie man das iptables-Tool verwendet, um eine Firewall richtig zu konfigurieren und zu verwalten, aber UFW vereinfacht es.

UFW (Uncomplicated Firewall) ist ein benutzerfreundliches Frontend zur Verwaltung von iptables-Firewallregeln und sein Hauptziel ist es, die Verwaltung von iptables einfacher oder, wie der Name schon sagt, unkompliziert zu machen.

In diesem Tutorial zeigen wir Ihnen, wie Sie eine Firewall mit UFW unter Debian 9 einrichten.

Voraussetzungen #

Bevor Sie mit diesem Tutorial fortfahren, vergewissern Sie sich, dass der Benutzer, als der Sie angemeldet sind, über sudo-Berechtigungen verfügt.

UFW # installieren

UFW ist standardmäßig nicht in Debian 9 installiert. Sie können ufw installieren Paket durch Eingabe von:

sudo apt install ufw

UFW-Status prüfen #

Sobald der Installationsvorgang abgeschlossen ist, können Sie den Status von UFW mit dem folgenden Befehl überprüfen:

sudo ufw status verbose

Die Ausgabe sieht folgendermaßen aus:

Status: inactive

UFW ist standardmäßig deaktiviert. Die Installation aktiviert die Firewall nicht automatisch, um eine Sperrung des Servers zu vermeiden.

Wenn UFW aktiviert ist, sieht die Ausgabe etwa so aus:

UFW-Standardrichtlinien #

Standardmäßig blockiert UFW alle eingehenden Verbindungen und lässt alle ausgehenden Verbindungen zu. Dies bedeutet, dass jeder, der versucht, auf Ihren Server zuzugreifen, keine Verbindung herstellen kann, es sei denn, Sie öffnen ausdrücklich den Port, während alle Anwendungen und Dienste, die auf Ihrem Server ausgeführt werden, auf die Außenwelt zugreifen können.

Die Standardrichtlinien sind in /etc/default/ufw definiert Datei und kann mit sudo ufw default <policy> <chain> geändert werden Befehl.

Firewall-Richtlinien bilden die Grundlage für die Erstellung detaillierterer und benutzerdefinierter Regeln. In den meisten Fällen sind die ursprünglichen UFW-Standardrichtlinien ein guter Ausgangspunkt.

Anwendungsprofile #

Beim Installieren eines Pakets mit apt es fügt ein Anwendungsprofil zu /etc/ufw/applications.d hinzu Verzeichnis, das den Dienst beschreibt und UFW-Einstellungen enthält.

Geben Sie Folgendes ein, um alle auf Ihrem System verfügbaren Anwendungsprofile aufzulisten:

sudo ufw app list

Abhängig von den auf Ihrem System installierten Paketen sieht die Ausgabe etwa so aus:

Available applications:
  DNS
  IMAP
  IMAPS
  OpenSSH
  POP3
  POP3S
  Postfix
  Postfix SMTPS
  Postfix Submission
  ...

Um weitere Informationen zu einem bestimmten Profil und enthaltenen Regeln zu erhalten, verwenden Sie den folgenden Befehl:

sudo ufw app info OpenSSH
Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.

Port:
  22/tcp

ADie obige Ausgabe sagt uns, dass das OpenSSH-Profil Port 22 öffnet .

SSH-Verbindungen zulassen #

Bevor wir die UFW-Firewall aktivieren, müssen wir zuerst eingehende SSH-Verbindungen zulassen.

Wenn Sie sich von einem entfernten Standort aus mit Ihrem Server verbinden, was fast immer der Fall ist, und Sie die UFW-Firewall aktivieren, bevor Sie explizit eingehende SSH-Verbindungen zulassen, können Sie sich nicht mehr mit Ihrem Debian-Server verbinden.

Führen Sie den folgenden Befehl aus, um Ihre UFW-Firewall so zu konfigurieren, dass eingehende SSH-Verbindungen zugelassen werden:

sudo ufw allow OpenSSH
Rules updated
Rules updated (v6)

Wenn der SSH-Server einen anderen Port als den Standardport 22 überwacht, müssen Sie diesen Port öffnen.

Beispielsweise lauscht Ihr SSH-Server auf Port 8822 , dann können Sie den folgenden Befehl verwenden, um Verbindungen auf diesem Port zuzulassen:

sudo ufw allow 8822/tcp

UFW aktivieren #

Nachdem Ihre UFW-Firewall nun so konfiguriert ist, dass sie eingehende SSH-Verbindungen zulässt, können Sie sie aktivieren, indem Sie Folgendes ausführen:

sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

Sie werden gewarnt, dass das Aktivieren der Firewall bestehende SSH-Verbindungen unterbrechen kann, geben Sie einfach y ein und drücken Sie Enter .

Verbindungen auf anderen Ports zulassen #

Abhängig von den Anwendungen, die auf Ihrem Server ausgeführt werden, und Ihren spezifischen Anforderungen müssen Sie auch den eingehenden Zugriff auf einige andere Ports zulassen.

Nachfolgend finden Sie einige Beispiele dafür, wie Sie eingehende Verbindungen zu einigen der gängigsten Dienste zulassen:

Port 80 öffnen - HTTP #

HTTP-Verbindungen können mit dem folgenden Befehl zugelassen werden:

sudo ufw allow http

Statt http -Profil können Sie die Portnummer 80 verwenden :

sudo ufw allow 80/tcp

Port 443 öffnen - HTTPS #

HTTPS-Verbindungen können mit dem folgenden Befehl zugelassen werden:

sudo ufw allow https

Um dasselbe zu erreichen, statt https Sie können die Portnummer 443 verwenden :

sudo ufw allow 443/tcp

Port 8080 öffnen #

Wenn Sie Tomcator mit einer anderen Anwendung ausführen, die auf Port 8080 lauscht, können Sie eingehende Verbindungen zulassen mit:

sudo ufw allow 8080/tcp

Portbereiche zulassen #

Mit UFW können Sie auch den Zugriff auf Portbereiche zulassen. Wenn Sie Portbereiche mit UFW zulassen, müssen Sie das Protokoll angeben, entweder tcp oder udp .

Zum Beispiel, um Ports von 7100 zuzulassen bis 7200 auf beiden tcp und udp , führen Sie den folgenden Befehl aus:

sudo ufw allow 7100:7200/tcpsudo ufw allow 7100:7200/udp

Bestimmte IP-Adressen zulassen #

Wenn Sie den Zugriff auf alle Ports von einer bestimmten IP-Adresse zulassen möchten, verwenden Sie den ufw allow from Befehl gefolgt von der IP-Adresse:

sudo ufw allow from 64.63.62.61

Erlaube bestimmte IP-Adressen auf bestimmtem Port #

Um den Zugriff auf einen bestimmten Port zuzulassen, sagen wir Port 22 von Ihrem Arbeitscomputer mit der IP-Adresse 64.63.62.61, verwenden Sie den folgenden Befehl:

sudo ufw allow from 64.63.62.61 to any port 22

Teilnetze zulassen #

Der Befehl zum Zulassen einer Verbindung von einem Subnetz von IP-Adressen ist derselbe wie bei der Verwendung einer einzelnen IP-Adresse, der einzige Unterschied besteht darin, dass Sie die Netzmaske angeben müssen. Wenn Sie beispielsweise den Zugriff für IP-Adressen von 192.168.1.1 bis 192.168.1.254 auf Port 3360 zulassen möchten (MySQL) würden Sie den folgenden Befehl ausführen:

sudo ufw allow from 192.168.1.0/24 to any port 3306

Zulassen von Verbindungen zu einer bestimmten Netzwerkschnittstelle #

Um den Zugriff auf einen bestimmten Port zu erlauben, sagen wir Port 3360 auf einer bestimmten Netzwerkschnittstelle eth2 , verwenden Sie den allow in on Befehl gefolgt vom Namen der Schnittstelle:

sudo ufw allow in on eth2 to any port 3306

Verbindungen werden abgelehnt #

Die Standardrichtlinie für alle eingehenden Verbindungen ist auf deny eingestellt Das bedeutet, dass UFW alle eingehenden Verbindungen blockiert, es sei denn, Sie öffnen die Verbindung ausdrücklich.

Angenommen, Sie haben die Ports 80 geöffnet und 443 und Ihr Server wird von 23.24.25.0/24 angegriffen Netzwerk. Um alle Verbindungen von 23.24.25.0/24 abzulehnen , führen Sie den folgenden Befehl aus:

sudo ufw deny from 23.24.25.0/24

Wenn Sie nur den Zugriff auf die Ports 80 verweigern möchten und 443 ab 23.24.25.0/24 Sie würden verwenden:

sudo ufw deny from 23.24.25.0/24 to any port 80sudo ufw deny from 23.24.25.0/24 to any port 443

Das Schreiben von Deny-Regeln ist dasselbe wie das Schreiben von Allow-Regeln, Sie müssen nur allow ersetzen mit deny .

Lösche UFW-Regeln #

Es gibt zwei verschiedene Möglichkeiten, UFW-Regeln zu löschen, anhand der Regelnummer und durch Angabe der eigentlichen Regel.

Das Löschen von UFW-Regeln nach Regelnummer ist einfacher, insbesondere wenn Sie neu bei UFW sind.

Um eine Regel anhand einer Regelnummer zu löschen, müssen Sie zuerst die Nummer der Regel finden, die Sie löschen möchten. Führen Sie dazu den folgenden Befehl aus:

sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 80/tcp                     ALLOW IN    Anywhere
[ 3] 8080/tcp                   ALLOW IN    Anywhere

Um beispielsweise Regel Nummer 3 zu löschen, die Regel, die Verbindungen zu Port 8080 zulässt, würden Sie Folgendes eingeben:

sudo ufw delete 3

Die zweite Methode besteht darin, eine Regel zu löschen, indem die eigentliche Regel angegeben wird. Zum Beispiel, wenn Sie eine Regel zum Öffnen von Port 8069 hinzugefügt haben Sie können es löschen mit:

sudo ufw delete allow 8069

UFW deaktivieren #

Wenn Sie aus irgendeinem Grund UFW stoppen und alle Regeln deaktivieren möchten, führen Sie Folgendes aus:

sudo ufw disable

Wenn Sie UTF später wieder aktivieren und alle Regeln aktivieren möchten, geben Sie einfach Folgendes ein:

sudo ufw enable

UFW # zurücksetzen

Das Zurücksetzen von UFW deaktiviert UFW und löscht alle aktiven Regeln. Dies ist hilfreich, wenn Sie alle Ihre Änderungen rückgängig machen und neu beginnen möchten.

Um UFW zurückzusetzen, geben Sie einfach den folgenden Befehl ein:

sudo ufw reset

Debian
  1. Festlegen einer statischen IP auf Debian 11 - Wie geht das?

  2. So richten Sie eine Firewall mit UFW in Ubuntu \ Debian ein

  3. So richten Sie eine Firewall mit UFW unter Ubuntu 16.04 ein

  4. So konfigurieren Sie eine Firewall mit CSF unter Debian 9

  5. So konfigurieren Sie eine Firewall mit UFW unter Debian 9

So richten Sie ModSecurity mit Nginx unter Debian/Ubuntu ein

So richten Sie eine Firewall mit GUFW unter Linux ein

So richten Sie die UFW-Firewall unter Debian 10 ein

So richten Sie die UFW-Firewall unter Debian 11 ein

So richten Sie eine Firewall mit UFW unter Debian 11 ein

So richten Sie die UFW-Firewall unter Linux ein