Systemadministration

So installieren und verwenden Sie UFW Firewall unter Linux

So installieren und verwenden Sie UFW Firewall unter Linux

Einführung

UFW auch als unkomplizierte Firewall bezeichnet. UFW bietet eine einfach zu verwendende Oberfläche für Anfängerbenutzer, die mit Firewall -Konzepten nicht vertraut ist. Es ist das beliebteste Firewall -Tool, das aus Ubuntu stammt. Es unterstützt sowohl IPv4 als auch IPv6.

In diesem Tutorial lernen wir, wie Sie UFW Firewall unter Linux installieren und verwenden.

Anforderungen

UFW installieren

Ubuntu

Standardmäßig ist UFW in den meisten Ubuntu -basierten Verteilungen verfügbar. Wenn es gelöscht wird, können Sie es installieren, indem Sie den folgenden Linux -Befehl ausführen.

# APT -Get Installieren Sie UFW -y 

Debian

Sie können UFW in Debian installieren, indem Sie den folgenden Linux -Befehl ausführen:

# APT -Get Installieren Sie UFW -y 

Centos

Standardmäßig ist UFW im CentOS -Repository nicht verfügbar. Sie müssen also das Epel -Repository in Ihrem System installieren. Sie können dies tun, indem Sie den folgenden Linux -Befehl ausführen:

# yum install epel -release -y 

Sobald das Epel -Repository installiert ist, können Sie UFW installieren, indem Sie einfach den folgenden Linux -Befehl ausführen:

# yum install --EnableRepo = "epel" ufw -y 

Starten Sie den UFW -Dienst nach der Installation von UFW und aktivieren Sie die Startzeit, indem Sie den folgenden Linux -Befehl ausführen.

# UFW aktivieren 

Überprüfen Sie als Nächstes den Status von UFW mit dem folgenden Linux -Befehl. Sie sollten die folgende Ausgabe sehen:

# UFW Status Status: aktiv 

Sie können auch die UFW -Firewall deaktivieren, indem Sie den folgenden Linux -Befehl ausführen:

# UFW Deaktivieren 


Legen Sie die UFW -Standardrichtlinie fest

Standardmäßig ist UFW -Standard -Richtlinie eingerichtet, um den gesamten eingehenden Verkehr zu blockieren und allen ausgehenden Verkehr.

Sie können Ihre eigene Standardrichtlinie mit dem folgenden Linux -Befehl einrichten.

UFW standardmäßig ermöglichen die ausgehende UFW -Standardeinstellung eingehende Einkünfte 

Fügen Sie Firewall -Regeln hinzu und löschen Sie

Sie können Regeln für den eingehenden und ausgehenden Verkehr auf zwei Arten hinzufügen, die Portnummer verwenden oder den Dienstnamen verwenden.

Zum Beispiel, wenn Sie sowohl eingehende als auch ausgehende Verbindungen des HTTP -Dienstes zulassen möchten. Führen Sie dann den folgenden Linux -Befehl mit dem Dienstnamen aus.

UFW erlauben http 

Oder führen Sie den folgenden Befehl mit der Portnummer aus:

UFW erlauben 80 

Wenn Sie Pakete basierend auf TCP oder UDP filtern möchten, führen Sie den folgenden Befehl aus:

UFW erlauben 80/TCP UFW 21/UDP 

Sie können den Status der hinzugefügten Regeln mit dem folgenden Linux -Befehl überprüfen.

UFW Status ausführlich 

Sie sollten die folgende Ausgabe sehen:

Status: Aktive Protokollierung: Auf (niedrig) Standard: Verweigern (eingehalten), erlauben (ausgehends 21/UDP in AnyTy 80/TCP (V6) in Anywhere (V6) 21/UDP (V6) In AnyTy (V6) erlauben (v6) 

Mit den folgenden Befehlen können Sie auch jederzeit jeden eingehenden und ausgehenden Verkehr leugnen:

# UFW Deny 80 # UFW Deny 21 

Wenn Sie die zulässigen Regeln für HTTP löschen möchten, präfixen Sie einfach die ursprüngliche Regel mit Löschen, wie unten gezeigt:

# UFW Delete erlauben http # UFW löschen Deny 21 


Erweiterte UFW -Regeln

Sie können auch eine spezifische IP -Adresse hinzufügen, um alle Dienste Zugriff zu ermöglichen und zu verweigern. Führen Sie den folgenden Befehl aus, um die IP 192 zuzulassen.168.0.200, um auf alle Dienste auf dem Server zuzugreifen:

# UFW erlauben ab 192.168.0.200 

Die IP 192 zu leugnen.168.0.200, um auf alle Dienste auf dem Server zuzugreifen:

# UFW leugnen von 192.168.0.200 

Sie können in UFW eine IP -Adresse in der IP -Adresse ermöglichen. Führen Sie den folgenden Befehl aus, um alle Verbindungen von IP 192 zuzulassen.168.1.1 bis 192.168.1.254:

# UFW erlauben ab 192.168.1.0/24 

IP -Adresse 192 zuzulassen.168.1.200 Zugriff auf Port 80 Mit TCP zugreifen, führen Sie den folgenden Linux -Befehl aus:

# UFW erlauben ab 192.168.1.200 zu jedem Port 80 Proto TCP 

Führen Sie den folgenden Linux -Befehl aus:

# UFW erlauben 2000: 3000/TCP # UFW Ermöglichen Sie 2000: 3000/UDP 

Wenn Sie den Zugriff auf Port 22 von IP 192 blockieren möchten.168.0.4 und 192.168.0.10 Aber lassen Sie alle anderen IPs auf Port 22 zugreifen und führen Sie den folgenden Befehl aus:

# UFW leugnen von 192.168.0.4 zu einem beliebigen Hafen 22 # UFW Ablehung von 192.168.0.10 zu einem beliebigen Port 22 # UFW Erlauben Sie ab 192.168.0.0/24 zu einem beliebigen Port 22 

Führen Sie den folgenden Linux -Befehl aus:

# UFW erlauben ETH0 zu einem beliebigen Port 80 

Standardmäßig erlaubt UFW Ping -Anfragen. Wenn Sie die Ping -Anfrage ablehnen möchten, müssen Sie/etc/ufw/vor dem Bearbeiten bearbeiten.Regelne Datei:

# nano/etc/ufw/vor.Regeln 

Entfernen Sie die folgenden Zeilen:

-A UFW-Before-Input -P ICMP-ICMP-Typ-Ziel-ungebrütbarer -j Accept -a ufw-before-Input -P ICMP-ICMP-Typ-Quellen-Treenench -j-Jazipien ICMP-ICMP-Typ zeitlich-JAPE ACAPTION -A UFW-before-Input -P ICMP-ICMP-Typ Parameter-Problem -j Accept -a ufw-before-Input -P ICMP --icmp-type echo- Anfrage -J Akzeptieren 

Speichern Sie die Datei, wenn Sie fertig sind.

Wenn Sie jemals UFW zurücksetzen müssen, um alle Ihre Regeln zu entfernen, können Sie dies über den folgenden Linux -Befehl tun.

# UFW Reset 

Konfigurieren Sie NAT mit UFW

Wenn Sie die Verbindungen von der externen Schnittstelle zum Internal über UFW annieren möchten. Dann können Sie dies durch Bearbeiten tun /etc/Standard/UFW Und /etc/ufw/vor.Regeln Datei.
Erstens offen /etc/Standard/UFW Datei mit Nano Editor:

# nano/etc/default/ufw 

Ändern Sie die folgende Zeile:

Default_forward_policy = "Akzeptieren" 


Als nächstes müssen Sie auch die Weiterleitung der IPv4 zulassen. Sie können dies durch Bearbeiten tun /etc/ufw/sysctl.Conf Datei:

# nano/etc/ufw/sysctl.Conf 

Ändern Sie die folgende Zeile:

net/ipv4/ip_forward = 1 

Als nächstes müssen Sie NAT zur Konfigurationsdatei von UFW hinzufügen. Sie können dies durch Bearbeiten tun /etc/ufw/vor.Regeln Datei:

# nano/etc/ufw/vor.Regeln 

Fügen Sie die folgenden Zeilen kurz vor den Filterregeln hinzu:

# Nat Table Regeln *NAT: poTrouting Akzeptieren [0: 0].168.1.0/24 -O ETH0 -J Masquerade # Löschen Sie die Zeile 'Commit' nicht, oder diese NAT -Tabellenregeln werden nicht # verarbeitet. Starten Sie dann UFW mit dem folgenden Linux -Befehl neu: UFW Deaktivieren Sie UFW aktivieren 

Konfigurieren Sie die Portweiterleitung mit UFW

Wenn Sie den Verkehr von öffentlichen IP -EG leiten möchten. 150.129.148.155 Port 80 und 443 zu einem anderen internen Server mit IP -Adresse 192.168.1.120. Dann können Sie dies durch Bearbeiten tun /etc/Standard/vor.Regeln:

# nano/etc/Standard/vor.Regeln 

Ändern Sie die Datei wie unten gezeigt:

: Prerouting akzeptieren [0: 0] -a prerouting -i Eth0 -d 150.129.148.155 -p tcp - -dort 80 -j dnat -zu dendestination 192.168.1.120: 80 -a -Voranwältigung -i Eth0 -d 150.129.148.155 -p tcp - -dort 443 -j dnat -to -destination 192.168.1.120: 443 -a postrouting -s 192.168.1.0/24 ! -d 192.168.1.0/24 -J Maskerade 

Starten Sie UFW als nächstes mit dem folgenden Befehl neu:

# UFW Deaktivieren # UFW aktivieren 

Als nächstes müssen Sie Port 80 und 443 auch zulassen. Sie können dies tun, indem Sie den folgenden Befehl ausführen:

# UFW erlauben Proto -TCP von allen bis 150.129.148.155 Port 80 # UFW Ermöglichen Sie Proto -TCP von allen bis 150.129.148.155 Port 443 
SCP- Handbuch Seite
Name SCP-Secure Copy (Remote-Dateikopieprogramm) Synopsis scp [-12346bcpqrv] [-c cipher] [-f SSH_CONFIG] [-i Identity_file] [-l limit] [-o ssh_option]...
Suchen Sie nach IP - Perl IP zum Standortbeispiel
In den nächsten Zeilen werden wir einen Prozess beschreiben, wie sie abrufen und geografische Informationen von einer IP -Adresse abrufen können . Daf...
Uniq- Handbuch Seite
Name Uniq - Bericht oder weglassen wiederholte Zeilen Synopsis Uniq [Option]… [Eingabe [Ausgabe]] Beschreibung entsorgen Sie alle bis auf eine der auf...