Comment installer et configurer UFW - un pare-feu non compliqué dans Debian / Ubuntu

Étant donné que les ordinateurs sont connectés les uns aux autres, les services se développent rapidement. E-mail, Réseaux sociaux, Magasin en ligne, Discuter jusqu'à Conférences sur le Web sont des services utilisés par l'utilisateur. Mais de l'autre côté, cette connectivité aime juste un couteau à double côte. Il est également possible d'envoyer de mauvais messages à ces ordinateurs comme Virus, malware, trojan-applications sont l'un d'eux.

Internet, car le plus grand réseau informatique n'est pas toujours rempli de bonnes personnes. Afin de nous assurer que nos ordinateurs / serveurs sont en sécurité, nous devons le protéger.

L'un des composants incontournables de votre ordinateur / serveurs est Pare-feu. Depuis Wikipédia, Une définition est:

En informatique, un pare-feu est un système de sécurité réseau logiciel ou matériel qui contrôle le trafic réseau entrant et sortant en analysant les paquets de données et en déterminant s'ils doivent être autorisés ou non, en fonction de l'ensemble de règles appliqué.

Iptables est l'un des pare-feu largement utilisé par les serveurs. Il s'agit d'un programme utilisé pour gérer le trafic entrant et sortant dans le serveur en fonction d'un ensemble de règles. Généralement, seule la connexion de confiance est autorisée à entrer le serveur. Mais Iptables s'exécute en mode console et c'est compliqué. Ceux qui connaissent les règles et les commandes iptables, ils peuvent lire l'article suivant qui décrit comment utiliser le pare-feu iptables.

1. Guide de base iptables (pare-feu Linux)

Installation du pare-feu UFW dans Debian / Ubuntu

Pour réduire la complexité du réglage pratiques Iptables, Il y a beaucoup de frontières. Si vous courez Ubuntu Linux, vous trouverez ufw Comme outil de pare-feu par défaut. Commençons à explorer ufw pare-feu.

Qu'est-ce que UFW

Le ufw (Pare-feu simple) est un frontend pour le plus largement utilisé pare-feu iptables Et c'est bien confortable pour les pare-feu à base d'hôtes. UFW donne un cadre pour gérer netfilter, ainsi que fournit une interface de ligne de commande pour contrôler le pare-feu. Il offre une interface conviviale et facile à utiliser pour les débutants Linux qui ne connaissent pas beaucoup les concepts de pare-feu.

Tandis que, de l'autre côté, les mêmes commandes compliquées aident les administrateurs à définir des règles compliquées en utilisant l'interface de ligne de commande. Le ufw est un amont pour d'autres distributions telles que Debian, Ubuntu et Linux.

Utilisation de base UFW

Tout d'abord, vérifiez si ufw est installé en utilisant la commande suivante.

$ sudo dpkg --get-selections | Grep UFW UFW Installation

S'il n'est pas installé, vous pouvez l'installer en utilisant apte Commande comme indiqué ci-dessous.

$ sudo apt-get install ufw

Avant d'utiliser, vous devez vérifier si ufw est en cours d'exécution ou non. Utilisez la commande suivante pour le vérifier.

$ sudo ufw statut

Si vous avez trouvé le statut: inactif, Cela signifie que ce n'est pas actif ou désactivé.

NOUVEAU! Un ebook indispensable pour chaque administrateur Linux!

Télécharger gratuitement 696 Page Ebook

Activer / désactiver UFW

Pour l'activer, il vous suffit de taper la commande suivante au terminal.

$ sudo ufw activer le pare-feu est actif et activé sur le démarrage du système

Pour le désactiver, tapez simplement.

$ sudo ufw désactiver

Énumérez les règles UFW actuelles

Une fois le pare-feu activé, vous pouvez y ajouter vos règles. Si vous voulez voir quelles sont les règles par défaut, vous pouvez taper.

$ sudo ufw status verbose

Échantillon de sortie

Statut: journalisation active: sur (faible) par défaut: refuser (entrant), permettre (sortant) de nouveaux profils: sauter $

Comment ajouter des règles UFW

Comme vous le voyez, par défaut, chaque connexion entrante est refusée. Si vous souhaitez éloigner votre machine, vous devez autoriser le port approprié. Par exemple, vous souhaitez autoriser ssh connexion. Voici la commande pour le permettre.

Permettre l'accès

$ sudo ufw Autoriser le mot de passe SSH [sudo] pour Pungki: règle ajoutée en règle ajoutée (v6) $

Si vous vérifiez à nouveau l'état, vous verrez une sortie comme celle-ci.

$ sudo ufw statut à l'action de - ----------- ------ 22 Autoriser n'importe où 22 Autoriser n'importe où (V6)

Si vous avez beaucoup de règles et que vous souhaitez mettre des nombres sur toutes les règles à la volée, utilisez le paramètre numéroté.

$ sudo ufw status numérotés à l'action de ------ ----------- ------ [1] 22 Autoriser n'importe où [2] 22 Autoriser n'importe où (V6)

La première règle indique que le lien entrant à port 22 depuis Partout, les deux TCP ou UDP Les paquets sont autorisés. Et si tu veux permettre TCP paquet uniquement? Alors vous pouvez ajouter le paramètre TCP après le port nombre. Voici un exemple avec un exemple de sortie.

$ sudo ufw permettez à SSH / TCP à l'action de ------ ----------- ------ 22 / TCP autorise n'importe où 22 / TCP Autoriser n'importe où (V6)

Refuser l'accès

Les mêmes astuces sont appliquées à Refuser règle. Laissez dire que vous voulez Nier FTP règle. Vous n'avez donc qu'à taper.

$ sudo ufw nier ftp à l'action de ------ ----------- ------ 21 / TCP Deny Anywhere 21 / TCP Deny Anywhere (V6)

Ajout d'un port spécifique

Parfois, nous avons un port personnalisé qui ne suit aucune norme. Disons que nous changeons le port ssh sur notre machine de 22, dans 2290. Puis pour permettre le port 2290, Nous pouvons l'ajouter comme ça.

$ sudo ufw permettre à l'action de - ----------- ------ 2290 Autoriser n'importe où 2290 Autoriser n'importe où (V6)

Il vous a également possible d'ajouter gamme de port dans la règle. Si nous voulons ouvrir le port depuis 2290 - 2300 avec TCP protocole, alors la commande sera comme ça.

$ sudo ufw Autoriser 2290: 2300 / TCP à l'action de ------ ----------- ------ 2290: 2300 / TCP Autoriser n'importe où 2290: 2300 / TCP Autoriser n'importe où ( v6)

tandis que si vous voulez utiliser UDP, Utilisez simplement la commande suivante.

$ sudo ufw Autoriser 2290: 2300 / UDP à l'action de ------ ----------- ------ 2290: 2300 / UDP Autoriser n'importe où 2290: 2300 / UDP Autoriser n'importe où ( v6)

N'oubliez pas que vous devez mettreTCP' ou 'UDP'Explicitement, sinon vous obtiendrez un message d'erreur similaire à ci-dessous.

Erreur: doit spécifier «TCP» ou «UDP» avec plusieurs ports

Ajout d'une adresse IP spécifique

Auparavant, nous avons ajouté des règles basées sur service ou port. UFW vous permet également d'ajouter des règles en fonction de Adresse IP. Voici l'exemple de commande.

$ sudo ufw autoriser à partir de 192.168.0.104

Vous pouvez également utiliser un masque de sous-réseau Pour plus large la gamme.

$ sudo ufw autoriser le formulaire 192.168.0.0/24 à l'action de - ----------- ------ partout, permettez 192.168.0.104 partout, permettez 192.168.0.0/24

Comme vous pouvez le voir, le paramètre ne limitera que la source de connexion. Tandis que la destination - qui est représentée par Pour colonne - est Partout. Vous pouvez également gérer la destination en utilisant 'Pour'paramètre. Voyons l'échantillon pour permettre l'accès à port 22 (ssh).

$ sudo ufw autoriser à n'importe quel port 22

La commande ci-dessus permettra l'accès de n'importe où et de tout protocole à port 22.

Combiner les paramètres

Pour des règles plus spécifiques, vous pouvez également combiner l'adresse IP, protocole et port. Disons que nous voulons créer une règle qui limite la connexion uniquement à partir de l'IP 192.168.0.104, seul protocole TCP et pour porter 22. Ensuite, la commande sera comme ci-dessous.

$ sudo ufw autoriser à partir de 192.168.0.104 Proto TCP à n'importe quel port 22

La syntaxe pour créer une règle de refus est similaire avec la règle d'autorisation. Vous n'avez qu'à changer de paramètre à partir de permettre pour refuser.

Suppression de règles

Parfois, vous devrez peut-être supprimer votre règle existante. Encore une fois avec ufw Il est facile de supprimer les règles. D'après l'échantillon ci-dessus, vous avez une règle ci-dessous et vous souhaitez le supprimer.

À l'action de - ----------- ------ 22 / TCP Autoriser 192.168.0.104 21 / TCP Autoriser n'importe où 21 / TCP Autoriser n'importe où (V6)

Il existe deux méthodes de suppression des règles.

Méthode 1

La commande ci-dessous supprimer Règles qui correspondent au service FTP. Alors le 21/ /TCP ce qui signifie FTP Le port sera supprimé.

$ sudo ufw supprimer autoriser le FTP

Méthode 2

Mais lorsque vous avez essayé de supprimer la première règle à l'exemple ci-dessus en utilisant la commande ci-dessous.

$ sudo ufw supprimer autoriser SSH ou $ sudo ufw supprimer autoriser 22 / TCP

Vous pouvez trouver un message d'erreur tel que.

Impossible de supprimer la règle inexistante n'a pas pu supprimer la règle inexistante (V6)

Alors tu peux faire cette astuce. Comme nous l'avons mentionné ci-dessus, vous pouvez montrer le nombre de règles pour indiquer la règle que nous voulons supprimer. Laissez-nous vous le montrer.

$ sudo ufw statut numéroté à l'action de - ----------- ------ [1] 22 / TCP Autoriser 192.168.0.104 [2] 21 / TCP Autoriser n'importe où [3] 21 / TCP Autoriser n'importe où (V6)

Ensuite, vous pouvez supprimer la première règle en utilisant. Presse "y»Supprimera en permanence la règle.

$ sudo ufw supprimer 1 Suppression: Autoriser à partir de 192.168.0.104 à n'importe quel port 22 Proto TCP procédez avec opération (y | n)? y

D'après ces méthodes, vous verrez la différence. Méthode 2 demanderai Confirmation de l'utilisateur Avant de supprimer la règle pendant que Méthode 1 n'est pas.

Comment réinitialiser les règles

Dans une situation, vous voudrez peut-être supprimer / / réinitialiser toutes les règles. Vous pouvez le faire en tapant.

$ sudo ufw réinitialiser la réinitialisation de toutes les règles aux défauts installés. Procéder à l'opération (y | n)? y

Si vous appuyez sur "y", alors ufw sauvegardera toutes les règles existantes avant de réinitialiser votre UFW. La réinitialisation des règles désactivera également votre pare-feu. Vous devez l'activer à nouveau si vous souhaitez l'utiliser.

Fonctionnalité avancée

Comme je l'ai dit ci-dessus, le pare-feu UFW peut faire tout ce que les iptables peuvent faire. Ceci est accompli en utilisant divers ensembles de fichiers de règles, qui ne sont rien de plus que iptables-restore Fichiers texte appropriés. Fine réglage UFW et / ou placer des commandes iptables supplémentaires non autorisées via la commande UFW est une question d'édition de plusieurs fichiers texte.

1. / etc / par défaut / ufw: La configuration principale des stratégies par défaut, la prise en charge IPv6 et les modules de noyau.
2. / etc / ufw / avant [6].règles: Les règles de ces fichiers sont calculées avant toute règle ajoutée via la commande UFW.
3. / etc / ufw / après [6].règles: Les règles de ces fichiers sont calculées après toutes les règles ajoutées via la commande UFW.
4. / etc / ufw / sysctl.confli: Les tunables du réseau du noyau.
5. / etc / ufw / ufw.confli: Définit si UFW est activé ou non sur le démarrage et définit le Loglevel.

Conclusion

Ufw En tant que front-end à iptables, faites sûrement une interface facile à l'utilisateur. L'utilisateur n'a pas besoin de se souvenir de la syntaxe iptables compliquée. Ufw utiliser aussi 'pur anglais'Comme son paramètre.

Permettre, refuser, réinitialiser sont l'un d'eux. Je crois qu'il y a beaucoup plus de front-end iptables là-bas. Mais définitivement UFW est l'une des meilleures alternatives pour les utilisateurs qui souhaitent configurer leur pare-feu rapidement, facile et bien sûr sécurisé. Veuillez visiter Page manuelle UFW en tappant homme ufw Pour plus de détails.