Lavorare con i firewall di Debian

Piererminio De luca
Lavorare con i firewall di Debian
Firewall non composto (UFW) è un frontend per iptables, il software che usiamo comunemente per gestire NetFilter che è una funzione di filtraggio inclusa nel kernel Linux. Dal momento che la gestione di iptables richiede dalla parte medio a quella di amministrazione avanzata, la conoscenza dei frontini è stata sviluppata per rendere il compito più semplice e semplice il firewall è uno di questi e sarà spiegato in questo tutorial.

Nota: Per questo tutorial l'interfaccia di rete Enp2s0 e Indirizzo IP 192.168.0.2/7 sono stati usati come esempio, sostituirli per quelli corretti.

Installazione di UFW:

Per installare UFW su Debian Run:

Apt Installa ufw

Per abilitare la corsa UFW:

UFW abilita

Per disabilitare UFW Run:

UFW Disabilita

Se vuoi effettuare un controllo rapido sulla tua corsa sullo stato del firewall:

Stato UFW

Dove:

Stato: informa se il firewall è attivo.
A: mostra la porta o il servizio
Azione: mostra la politica
Da: mostra le possibili fonti di traffico.

Possiamo anche controllare lo stato del firewall con verbosità eseguendo:

UFW Stato Verbosio

Questo secondo comando per vedere lo stato del firewall visualizzerà anche le politiche predefinite e la direzione del traffico.

Inoltre, agli schermi informativi con "stato UFW" o "UFW Status Verbose" possiamo stampare tutte le regole numerate se aiuta a gestirle come vedrai in seguito. Per ottenere un elenco numerato delle regole del firewall:

Stato UFW numerato

In qualsiasi fase possiamo ripristinare le impostazioni UFW alla configurazione predefinita eseguendo:

RESET UFW

Quando si ripristina le regole UFW, richiederà la conferma. Premere Y per confermare.

Breve introduzione alle politiche dei firewall:

Con ogni firewall possiamo determinare una politica predefinita, le reti sensibili possono applicare una politica restrittiva, il che significa negare o bloccare tutto il traffico tranne il consentito specificamente consentito. Contrariamente a una politica restrittiva, un firewall permissivo accetterà tutto il traffico tranne il bloccato specificamente.

Ad esempio, se abbiamo un server Web e non vogliamo che quel server serva più di un semplice sito Web potremmo applicare una politica restrittiva che blocca tutte le porte tranne le porte 80 (HTTP) e 443 (HTTPS), che sarebbe una politica restrittiva Perché per impostazione predefinita tutte le porte sono bloccate a meno che non si sblocca una specifica. Un esempio di firewall permissivo sarebbe un server non protetto in cui blocchiamo solo la porta di accesso, ad esempio 443 e 22 per i server Plesk come solo porte bloccate. Inoltre possiamo usare UFW per consentire o negare l'inoltro.

Applicando politiche restrittive e permissive con UFW:

Al fine di limitare tutto il traffico in arrivo per impostazione predefinita usando UFW RUN:

UFW predefinito negano in arrivo

Per fare il contrario permettendo tutto il traffico in arrivo:

UFW predefinito consentire in arrivo


Per bloccare tutto il traffico in uscita dalla nostra rete la sintassi è simile, per eseguirlo:

Per consentire tutto il traffico in uscita, sostituiamo "negare" per "permettere", Per consentire il traffico in uscita di funzionare incondizionatamente:

Possiamo anche consentire o negare il traffico per interfacce di rete specifiche, mantenendo regole diverse per ciascuna interfaccia, per bloccare tutto il traffico in arrivo dalla mia scheda Ethernet che eseguirei:

UFW neghi su enp2s0

Dove:

ufw= chiama il programma
negare= definisce la politica
In= traffico in arrivo
enp2s0= la mia interfaccia Ethernet

Ora applicherò una politica restrittiva predefinita per il traffico in arrivo e quindi consentirò solo le porte 80 e 22:

UFW predefinito negano in arrivo
UFW consente 22
UFW consenti http

Dove:
Il primo comando blocca tutto il traffico in arrivo, mentre il secondo consente le connessioni in arrivo alla porta 22 e il terzo comando consente alle connessioni in arrivo alla porta 80. Notare che UFW ci consente di chiamare il servizio in base alla porta predefinita o al nome del servizio. Possiamo accettare o negare le connessioni alla porta 22 o SSH, porta 80 o HTTP.

Il comando "Stato UFW verboso"Mostrerà il risultato:

Tutto il traffico in arrivo viene negato mentre i due servizi (22 e HTTP) che abbiamo permesso sono disponibili.

Se vogliamo rimuovere una regola specifica, possiamo farlo con il parametro "eliminare". Per rimuovere la nostra ultima regola che consente al traffico in arrivo di portare HTTP Esecuzione:

elimina ufw consenti http

Controlliamo se i servizi HTTP continuano disponibili o bloccati in esecuzione UFW Stato Verbosio:

La porta 80 non appare più come un'eccezione, essendo la porta 22 l'unica.

Puoi anche eliminare una regola semplicemente invocando il suo ID numerico fornito dal comando "Stato UFW numerato"Menzionato prima, in questo caso rimuoverò il NEGARE Politica sul traffico in arrivo verso la scheda Ethernet ENP2S0:

UFW Elimina 1

Chiederà conferma e procederà se confermato.

Inoltre a NEGARE Possiamo usare il parametro RIFIUTARE che informerà l'altro lato che la connessione è stata rifiutata, a RIFIUTARE connessioni a ssh possiamo eseguire:

UFW rifiuta 22


Quindi, se qualcuno cerca di accedere alla nostra porta 22, verrà avvisato che la connessione è stata rifiutata come nell'immagine seguente.

In qualsiasi fase possiamo controllare le regole aggiunte sulla configurazione predefinita eseguendo:

UFW Show aggiunto

Possiamo negare tutte le connessioni consentendo specifici indirizzi IP, nel seguente esempio rifiuterò tutte le connessioni alla porta 22 ad eccezione dell'IP 192.168.0.2 che sarà l'unico in grado di connettersi:

UFW Deny 22
UFW consente da 192.168.0.2


Ora se controlliamo lo stato UFW vedrai tutto il traffico in arrivo verso la porta 22 viene negata (Regola 1) mentre consentito per l'IP specificato (Regola 2)

Possiamo limitare i tentativi di accesso per prevenire gli attacchi di forza bruta impostando un limite in esecuzione:
limite UFW SSH

Per porre fine a questo tutorial e imparare ad apprezzare la generosità di UFW, ricordiamo il modo in cui potremmo negare tutto il traffico tranne un singolo IP usando iptables:

iptables -a input -s 192.168.0.2 -j accetta
iptables -a output -d 192.168.0.2 -j accetta
iptables -P Drop di input
iptables -p drop di output

Lo stesso può essere fatto con solo 3 linee più brevi e più semplici usando UFW:

UFW predefinito negano in arrivo
UFW Default Negare in uscita
UFW consente da 192.168.0.2


Spero che tu abbia trovato utile questa introduzione a UFW. Prima di qualsiasi richiesta su UFW o qualsiasi domanda relativa a Linux non esitare a contattarci tramite il nostro canale di supporto su https: // supporto.Linuxhint.com.

Articoli Correlati

Iptables per principianti
Configurare ID Snort e creare regole

Comandi Linux
Comandi iperf3
Tutorial pratico sui comandi di base per Iperf3, come installarlo in Linux e come eseguire il traffi...
Nestore Caruso
Debian
Come cambiare il nome utente sulla top 10 di Debian Bullseye
Puoi cambiare il nome utente su Debian da Terminal o GUI. Questo articolo fornisce una guida dettagl...
Dr. Ursula Marini
C ++
Programma C ++ per convertire il decimale in binario
Per convertire un numero decimale in binario in C ++, dividere il numero decimale di 2 fino a quando...
Dr. Ursula Marini
c affilato
Cos'è il sistema.Io Namespace in C#
Sig. Valdo Marchetti
html
Come utilizzare la proprietà Mouseevent Pagey?
Felicia Giuliani
Oracle Database
Il database Oracle è simile al database MySQL? | Spiegato
Dante Palumbo
Giava
Come contare il numero di parole in una stringa usando Java?
Piererminio De luca
Powershell
Come usare il comando get-service in PowerShell
Nestore Caruso
Oracle Database
Come eliminare la sequenza in Oracle?
Nestore Caruso
c affilato
Rompi e continua le dichiarazioni in C#
Osea Martini
Programmazione C
Come stampare % utilizzando printf nella programmazione C?
Sig. Valdo Marchetti
Golang
Cosa sono i pacchetti in Golang?
Artemide Ricci
Golang
Come usare il tempo.Funzione del sonno in golang
Sig. Valdo Marchetti