Если вы системный администратор, в вашей карьере наверняка были моменты, когда вам хотелось иметь мощную систему безопасности, которую легко настраивать и управлять, без необходимости вникать в сложные правила iptables. УФВ или Несложный брандмауэр — отличный инструмент сетевой безопасности, который заполняет этот пробел, предлагая простой интерфейс. UFW позволяет вам управлять настройками брандмауэра вашего сервера с помощью простых команд.
В этом руководстве по UFW мы познакомим вас со всем, что вам нужно знать о UFW, от установки до расширенной настройки. Мы расскажем, как включать и отключать UFW, понимать его синтаксис и применять практические примеры к распространенным сценариям. К концу этого руководства по UFW вы получите четкое представление о том, как использовать UFW для эффективной защиты вашего сервера.
Установка UFW
Даже если вы новичок в управлении брандмауэром, вы можете легко установить UFW, поскольку процесс его установки довольно прост. Вот пошаговое руководство по настройке и запуску UFW на вашем сервере.
Шаг 1. Обновите список пакетов
Перед установкой любого нового программного обеспечения рекомендуется обновить список пакетов.
sudo apt update
Шаг 2. Установите UFW
Вы можете установить UFW с помощью простой команды:
sudo apt install ufw
Шаг 3. Проверьте установку.
Теперь, когда установка завершена, вы можете проверить, прошла ли установка успешно. Вы можете проверить версию установки UFW, выполнив:
ufw version
Шаг 4: Начальная настройка
Прежде чем включить UFW, важно выполнить некоторую начальную настройку. Таким образом, вы можете быть уверены, что при активации он будет вести себя так, как ожидалось. Одним из наиболее важных шагов является установка политик по умолчанию. По умолчанию UFW настроен на запрет всех входящих подключений и разрешение всех исходящих подключений. Вы можете использовать следующую команду, чтобы проверить или установить эти значения по умолчанию:
sudo ufw default deny incoming
sudo ufw default allow outgoing
Шаг 5. Включите UFW
Включение UFW активирует брандмауэр с заданными вами правилами и политиками по умолчанию. Чтобы включить UFW, выполните следующую команду:
sudo ufw enable
Шаг 6. Проверка статуса UFW
Вы можете просмотреть статус UFW и правила, которые применяются в данный момент, с помощью следующей команды:
sudo ufw status
Следуя этому руководству по UFW, вы сможете успешно установить и включить UFW на своем сервере. Эта первоначальная настройка упрощает дальнейшую настройку. UFW настолько настраиваемый, что позволяет добавлять определенные правила, разрешающие или блокирующие трафик по мере необходимости.
Основные команды и синтаксис UFW
UFW прост в использовании; именно поэтому у него простые команды и понятный синтаксис, упрощающий управление брандмауэром. Понимание этих основных команд и их синтаксиса очень поможет вам в настройке и обслуживании брандмауэра вашего сервера. В последнем разделе нашего руководства по UFW мы рассмотрели включение UFW. Итак, давайте начнем этот раздел с команды, которая позволяет отключить UFW в вашей системе.
Отключение UFW
В целях устранения неполадок или технического обслуживания вам может потребоваться отключить UFW. Эта команда сделает это за вас:
sudo ufw disable
Проверка статуса UFW
Если вы регулярно проверяете статус UFW, вы будете знать, какие правила в данный момент активны. Таким образом, вы можете быть уверены, что брандмауэр работает именно так, как вы от него ожидаете. Вы можете проверить статус UFW с помощью следующей команды UFW:
sudo ufw status
Вы можете использовать опцию подробного описания после этой команды, чтобы получить более подробную информацию о статусе UFW.
sudo ufw status verbose
Разрешение трафика
Одна из основных функций UFW — разрешать или запрещать трафик в зависимости от ваших требований безопасности. Если вы хотите разрешить трафик через определенный порт, вам следует использовать команду разрешения, за которой следует номер порта и протокол (tcp/udp). Вот пример:
sudo ufw allow 22/tcp
Эта команда разрешает входящие SSH-соединения через порт 22 по протоколу TCP.
Запрет трафика
Аналогично, чтобы заблокировать трафик, вам следует использовать команду Deny.
sudo ufw deny 23/tcp
Эта команда блокирует входящие соединения Telnet через порт 23 с использованием протокола TCP.
Разрешение трафика по IP-адресу
UFW даже позволяет разрешать или запрещать трафик с определенных IP-адресов. Таким образом, вы можете иметь более конкретные правила безопасности. Вот пример:
sudo ufw allow from 192.168.1.10
Запрет трафика по IP-адресу
Запретить трафик на основе IP-адреса так же просто, как и последнюю команду. Вот пример того, как вы можете это сделать:
sudo ufw deny from 10.0.0.0/8
Управление правилами UFW
Работая с UFW, вы можете захотеть добавлять, изменять или удалять правила. Давайте посмотрим, какие команды UFW позволят вам это сделать. Во-первых, давайте начнем с добавления нового правила. Чтобы добавить новое правило в UFW, вы можете просто использовать команды разрешить или запретить UFW, которые мы объяснили ранее. Однако удаление правила включает в себя больше шагов. Чтобы удалить правило, сначала необходимо перечислить пронумерованные правила. Этот шаг важен, поскольку вам необходимо определить конкретное правило, которое вы хотите удалить. Следующая команда выведет вам пронумерованные правила:
sudo ufw status numbered
Затем вы можете удалить правило, указав его номер:
sudo ufw delete 1
Перезагрузка UFW
Всякий раз, когда вы вносите изменения в правила UFW, рекомендуется перезагрузить брандмауэр. Следующая команда UFW перезагрузит UFW:
sudo ufw reload
Эта команда повторно применяет все правила без необходимости отключать и повторно включать брандмауэр.
Сброс UFW
Существует команда UFW, которая позволяет начать заново или удалить все существующие правила. Но помните, что если вы сбросите UFW, он будет отключен и все правила будут удалены. Следующая команда UFW сбрасывает UFW:
sudo ufw reset
Изучение этих основных команд UFW и понимание их синтаксиса необходимо для эффективного управления брандмауэром. В следующих разделах мы углубимся в расширенные конфигурации и варианты использования, которые могут еще больше повысить безопасность вашего сервера.
Объединение UFW с другими инструментами безопасности
UFW — мощный инструмент для управления брандмауэром. Но у вас есть возможность объединить его с другими инструментами безопасности, чтобы максимально эффективно использовать его. Одним из таких инструментов является фейл2бан, который помогает предотвратить атаки грубой силы путем мониторинга журналов и блокировки IP-адресов, которые имеют признаки вредоносного ПО. Вот как вы можете интегрировать UFW с Fail2ban, чтобы улучшить настройки безопасности.
Fail2ban — это инструмент безопасности, который способен сканировать файлы журналов на наличие шаблонов неудачных попыток входа в систему или других подозрительных действий. Обнаружив подозрительные шаблоны, он может автоматически обновить правила брандмауэра, чтобы заблокировать нарушающие IP-адреса. Комбинация UFW и Fail2ban может быть очень полезной для защиты от повторяющихся попыток входа в систему методом перебора.
Установка фейла2бана
Чтобы установить Fail2ban, выполните на своем сервере следующую команду:
sudo apt-get install fail2ban
Настройка Fail2ban с помощью UFW
Теперь вы узнаете, как настроить Fail2ban для работы с UFW.
Шаг 1. Создайте конфигурацию локальной тюрьмы
Файл конфигурации по умолчанию для Fail2ban находится по адресу /etc/fail2ban/jail.conf. Однако рекомендуется создать локальную копию этого файла, чтобы избежать перезаписи настроек при обновлении Fail2ban. Здесь вы можете скопировать файл конфигурации:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Шаг 2. Отредактируйте конфигурацию тюрьмы
Откройте jail.local файл в предпочитаемом вами текстовом редакторе с помощью следующей команды:
sudo nano /etc/fail2ban/jail.local
В этом файле найдите [ПО УМОЛЧАНИЮ] раздел и установите бантайм, найти время, и максимальная попытка параметры. Вот список того, что показывает каждый из этих параметров:
- Бантиме: Контролирует, как долго IP-адрес заблокирован.
- Время поиска: Показывает интервал времени, в течение которого подсчитываются неудачные попытки.
- Максретри: Показывает количество разрешенных отказов до бана.
Например, вы можете установить эти параметры следующим образом:
[DEFAULT] bantime = 600 findtime = 600 maxretry = 5
Шаг 3. Включите UFW в конфигурации тюрьмы.
Найдите [сшд] (или любую другую службу, которую вы хотите защитить) в jail.local файл. Теперь убедитесь, что для параметра Enabled установлено значение true, и укажите, что для запрета следует использовать UFW:
[sshd] enabled = true banaction = ufw port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 5
Эта конфигурация необходима для того, чтобы Fail2ban отслеживал службу SSH и обновлял правила UFW для запрета вредоносных IP-адресов.
Запуск и включение Fail2ban
После настройки Fail2ban запустите службу и включите ее запуск при загрузке:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
Теперь проверьте статус Fail2ban, чтобы убедиться, что он работает правильно:
sudo systemctl status fail2ban
Преимущества объединения UFW и Fail2ban
Интеграция Fail2ban с UFW позволяет вам иметь многоуровневый подход к безопасности. UFW предоставляет простой способ управления правилами брандмауэра, а Fail2ban добавляет динамическую защиту, блокируя IP-адреса, которые демонстрируют вредоносное поведение. Такая эффективная командная работа снижает риск атак методом перебора и обеспечивает безопасность вашего сервера.
Заворачивать
В этом руководстве по UFW мы рассмотрели, как UFW может стать отличным инструментом для повышения безопасности системы и упрощения управления брандмауэром. Мы предоставили простой в использовании процесс установки и настройки для использования UFW. Мы также объяснили, как использование UFW с другими инструментами безопасности, такими как Fail2ban, может сделать процесс еще более оптимальным.
Часто задаваемые вопросы
Как удалить добавленное мной правило UFW?
Чтобы удалить определенное правило UFW, вам нужно использовать команду удаления ufw, за которой следует правило, которое вы хотите удалить. Например, если вы хотите удалить правило, разрешающее трафик через порт 80 (HTTP), вы должны использовать следующую команду:
sudo ufw delete allow 80/tcp
UFW лучше, чем iptables?
UFW упрощает управление брандмауэром благодаря более простому синтаксису и удобным командам. Это делает его идеальным выбором для новичков. iptables, с другой стороны, предлагает более детальные возможности управления и настройки. Вот почему он подходит для опытных пользователей, которым нужны очень специфические правила брандмауэра.
Что лучше Firewalld или UFW?
UFW проще для новичков, поскольку в нем есть простые команды. Идеально подходит для простых конфигураций. брандмауэр предлагает более расширенные функции и гибкость, которые делают его лучшим инструментом для сложных сред и динамических правил брандмауэра. Выбор зависит от ваших конкретных потребностей и знакомства с каждым инструментом.
Какой брандмауэр для Ubuntu лучше всего?
Выбор лучшего брандмауэра для Ubuntu зависит от ваших потребностей. UFW — это вариант по умолчанию и рекомендуемый для большинства пользователей, поскольку он прост и удобен в использовании. Для более сложных конфигураций iptables обеспечивает детальный контроль над правилами брандмауэра. Firewalld — еще один надежный вариант, предлагающий динамическое управление правилами брандмауэра. Вы можете выбрать UFW для простых задач и рассмотреть iptables или Firewalld для более сложных требований.
