Практычна кожны прасунуты карыстальнік Ubuntu зацікаўлены ў забеспячэнні бяспекі для сваёй сеткі. Да таго ж многія выкарыстоўваюць пэўныя сеткавыя ўтыліты, якія будуць карэктна функцыянаваць толькі пасля ўнясення канкрэтных правіл у міжсеткавы экран. Сёння мы хочам пагаварыць пра наладу Firewall на прыкладзе UFW (Uncomplicated Firewall). Гэта самы просты інструмент рэалізацыі правілаў міжсеткавага экрана, таму ён рэкамендуецца пачаткоўцам карыстачам і тым, каго не задавальняе занадта складаная функцыянальнасць iptables. Давайце пакрокава разгледзім ўсю працэдуру налады, разабраўшы кожны этап максімальна падрабязна.
Наладжвальны UFW ў Ubuntu
Ўсталёўваць UFW ў аперацыйную сістэму не трэба, паколькі ён прысутнічае там па змаўчанні. Аднак у стандартным сваім выглядзе ён неактыўны і не мае наогул ніякіх правілаў. Спачатку зоймемся актывацыяй, а потым разгледзім асноўныя дзеянні. Аднак першачаргова варта вывучыць сінтаксіс, і асабліва гэта тычыцца тых юзераў, хто плануе задзейнічаць дадзены міжсеткавы экран на пастаяннай аснове.Крок 1: Даследаванне сінтаксісу
Як вядома, UFW - кансольная ўтыліта, а гэта значыць, што кіраванне ёю ажыццяўляецца праз стандартны «Тэрмінал» або любы іншы карыстацкі. Узаемадзеянне такога роду выканальна з дапамогай спецыяльна устаноўленых каманд. Усе яны заўсёды маюцца ў дакументацыі, аднак чытаць велізарную кучу матэрыялаў не мае сэнсу, асабліва ў выпадку з сённяшнім інструментам. Прынцып ўводу выглядае так: sudo ufw опцыі дзеянне параметры. sudo адказвае за запуск ад імя суперпользователя, ufw - стандартны аргумент, які пазначае выкліканую праграму, а астатнія фразы і вызначаюць якія ўсталёўваюцца правілы. Менавіта на іх мы і хочам спыніцца больш дэталёва.
- enable - стандартны параметр, які адказвае за ўключэнне брандмаўэра. Пры гэтым ён будзе аўтаматычна дададзены ў аўтазагрузку.
- disable - адключае UFW і прыбірае яго з аўтазагрузкі.
- reload - выкарыстоўваецца для перазагрузкі Firewall. Асабліва актуальна пасля ўстаноўкі новых правілаў.
- default - пазначае, што наступная опцыя ўсталюецца па змаўчанні.
- logging - актывуе стварэнне лог-файлаў, у якіх будзе захоўвацца ўся асноўная інфармацыя аб дзеянні міжсеткавага экрана.
- reset - скідае ўсе налады да стандартных.
- status - выкарыстоўваецца для прагляду бягучага стану.
- show - хуткі прагляд справаздач аб працы фаервол. Да гэтым параметры дастасавальныя дадатковыя опцыі, але пра іх мы пагаворым у асобным кроку.
- allow - задзейнічаны пры даданні дазвалялых правілаў.
- deny - тое ж самае, але ўжываецца для забароны.
- reject - дадае адкідаюцца правіла.
- limit - ўстаноўка ліміціруючых правілаў.
- delete - выдаляе азначанае правіла.
- insert - устаўляе правіла.
Як бачыце, каманд не так ужо і шмат. Іх сапраўды менш, чым у іншых даступных міжсеткавых экранах, а запомніць сінтаксіс можна ўжо праз некалькі спробаў ўзаемадзеяння з UFW. Засталося толькі разабрацца з прыкладам канфігурацыі, чаму і будуць прысвечаны наступныя этапы сённяшняга матэрыялу.
Крок 2: Уключэнне / Адключэнне / Скід налад
Мы вырашылі вылучыць некалькі канфігурацыйных момантаў у адзін этап, паколькі яны часткова звязаныя паміж сабой і падобныя па рэалізацыі. Як вы ўжо ведаеце, UFW першапачаткова знаходзіцца ў адключаным стане, таму давайце актывуецца яго, ужыўшы ўсяго адну каманду.
- Адкрыйце панэль з прыкладаннямі і запусціце «Тэрмінал». Вы можаце адкрыць кансоль і іншым зручным для вас спосабам.
- Перш чым выконваць актывацыю, праверце, магчыма, раней вы ці іншае прыкладанне ўжо актывіравалі міжсеткавы экран. Ажыццяўляецца гэта шляхам уводу каманды sudo ufw status.
- Калі ласка, увядзіце пароль для атрымання правоў суперпользователя і націсніце Enter. Улічыце, што пры гэтым метадзе ўводу сімвалы не адлюстроўваюцца ў радку ў мэтах бяспекі.
- У новым радку вы атрымаеце інфармацыю аб бягучым стане UFW.
- Актывацыя фаервол выконваецца праз ужо згаданы вышэй параметр, а ўся каманда выглядае так: sudo ufw enable.
- Вас паведаміць пра тое, што брандмаўэр уключаны і будзе запускацца разам з аперацыйнай сістэмай.
- Для адключэння выкарыстоўвайце sudo ufw disable.
- Аб дэактывацыі паведаміць практычна такое ж паведамленне.
- У будучыні, калі спатрэбіцца скінуць правілы ці гэта трэба зрабіць ужо зараз, ўстаўце каманду sudo ufw reset і націсніце на клавішу Enter.
- Пацвердзіце скід, выбраўшы прыдатны варыянт адказу.
- Вы ўбачыце шэсць розных радкоў з адрасамі рэзервовых копій. Можаце ў любы момант перамясціцца да гэтага размяшчэнню, каб аднавіць параметры.
Цяпер вы ведаеце пра тое, якія менавіта каманды адказваюць за кіраванне агульным паводзінамі разгляданага сёння Firewall. Усе астатнія этапы будуць накіраваныя выключна на канфігурацыю, а самі параметры прыведзены ў якасці прыкладу, гэта значыць вы павінны змяняць іх, адштурхваючыся ад сваіх патрэбаў.
Крок 3: Усталёўка правіл па змаўчанні
У абавязковым парадку варта прымяніць правілы па змаўчанні, якія будуць ставіцца да ўсіх ўваходзяць і якое зыходзіць злучэнням, не згаданых асобна. Гэта азначае, што ўсе злучэньні, не пазначаныя ўручную, будуць заблакаваныя, а выходныя пры гэтым праходзяць паспяхова. Уся схема рэалізуецца наступным чынам:
- Запусціце новую сесію кансолі і ўвядзіце каманду sudo ufw default deny incoming. Актывуйце яе націскам на клавішу Enter. Калі вы ўжо азнаёміліся з названымі вышэй правіламі сінтаксісу, то ведаеце, што гэта азначае блакаванне усіх, хто ўваходзіў злучэнняў.
- У абавязковым парадку спатрэбіцца ўвесці пароль суперпользователя. Вы будзеце яго указваць кожны раз пры запуску новага сеансу кансолі.
- Пасля ўжывання каманды вы будзеце апавешчаныя аб тым, што правіла па змаўчанні ўступіла ў сілу.
- Адпаведна, спатрэбіцца задаць другую каманду, якая будзе дазваляць выходныя злучэнні. Выглядае яна так: sudo ufw default allow outgoing.
- Яшчэ раз з'явіцца паведамленне пра ўжыванне правілы.
Цяпер вы можаце не турбавацца пра тое, што якія-небудзь невядомыя ўваходныя спробы падлучэння пройдуць паспяхова і нехта здолее атрымаць доступ да вашай сеткі. Калі ж вы не збіраецеся блакаваць абсалютна ўсе ўваходныя спробы злучэння, прапусціце азначанае вышэй правіла і пераходзіце да стварэння ўласных, дэталёва вывучыўшы наступны этап.
Крок 4: Даданне уласных правілаў міжсеткавага экрана
Правілы брандмаўэра - галоўная наладжвальная опцыя, дзеля якой карыстальнікі і задзейнічаюць UFW. Мы на прыкладзе інструмента OpenSSH цяпер разгледзім прыклад дазволу доступу, а таксама не забудзем і пра блякаваньне па партоў. Для пачатку вам неабходна запомніць дадатковыя каманды сінтаксісу, якія адказваюць за даданне правілаў:
- ufw allow имя_службы
- ufw allow порт
- ufw allow порт / пратакол
Пасля гэтага можаце смела пачынаць стварэнне дазвалялых або забараняльных правілаў. Давайце па парадку разбяромся з кожным тыпам палітык.
- Выкарыстоўвайце sudo ufw allow OpenSSH для адкрыцця доступу да партоў службы.
- Вы будзеце апавешчаныя аб тым, што правілы былі абноўленыя.
- Адкрыць доступ можна і шляхам ўказанні порта, а не імя службы, што выглядае так: sudo ufw allow 22.
- Гэта ж самае адбываецца і праз порт / пратакол - sudo ufw allow 22 / tcp.
- Пасля ўнясення правілаў праверце спіс даступных прыкладанняў, увёўшы sudo ufw app list. Калі ўсё было ўжыта паспяхова, неабходная служба адлюструецца ў адной з наступных радкоў.
- Што тычыцца дазволаў і забароны перадачы трафіку па партоў, то гэта ажыццяўляецца шляхам уводу сінтаксісу ufw allow кірунак порт. На скрыншоце далей вы бачыце прыклад дазволу выходнага трафіку па порце (sudo ufw allow out 80 / tcp), а таксама забараняе палітыку па гэтым жа кірунку ць уваходную бок (sudo ufw deny in 80 / tcp).
- Калі вас цікавіць прыклад дадання палітыкі шляхам уводу больш шырокага абазначэння сінтаксісу, выкарыстоўвайце прыклад ufw allow proto пратакол from ip_источника to ip_назначения port порт_назначения.
Крок 5: Усталёўка правілаў limit
Мы вынеслі тэму ўстаноўкі правілаў limit ў асобны этап, паколькі пра гэта неабходна пагаворыць падрабязней. Дадзенае правіла абмяжоўвае колькасць падлучаных IP-адрасоў да аднаго порце. Найбольш відавочнае ўжыванне гэтага параметру - абарона ад нападаў, якія маюць на ўвазе перабор пароляў. Ажыццяўляецца ўстаноўка стандартнай палітыкі так:
- У кансолі прапішіце sudo ufw limit ssh / tcp і націсніце на Enter.
- Калі ласка, увядзіце пароль ад свайго ўліковага запісу суперпользователя.
- Вы будзеце апавешчаныя аб тым, што абнаўленне правілаў прайшло паспяхова.
Сапраўды такім жа чынам ўсталёўваюцца палітыкі абмежаванняў і на іншыя прыкладання. Выкарыстоўвайце для гэтага назва службы, порт або порт / пратакол.
Крок 6: Прагляд стану UFW
Часам юзэру патрабуецца паглядзець бягучы стан брандмаўэра не толькі ў плане актыўнасці, але і ўсталяваных правіл. Для гэтага існуе асобная каманда, пра якую мы гаварылі раней, а цяпер разгледзім яе больш дэталёва.
- Прапішіце sudo ufw status, каб атрымаць стандартныя звесткі.
- У новых радках будуць адлюстраваны ўсе устаноўленыя палітыкі па адрасах, пратаколах і назвах службаў. Справа паказаны дзеянні і напрамкі.
- Больш дэталёвыя звесткі адлюстроўваюцца пры выкарыстанні дадатковага аргументу, а каманда набывае выгляд sudo ufw status verbose.
- Спіс усіх правілаў ў незразумелым для пачаткоўцаў юзэраў выглядзе выводзіцца праз sudo ufw show raw.
Ёсць і іншыя опцыі, якія адлюстроўваюць пэўныя звесткі аб існуючых правілах і стане міжсеткавага экрана. Давайце сцісла прабяжымся па ўсіх іх:
- raw - паказвае ўсе актыўныя правілы, выкарыстоўваючы фармат прадстаўлення iptables.
- builtins - уключае толькі правілы, дададзеныя ў якасці па змаўчанні.
- before-rules - адлюстроўвае палітыкі, якія выконваюцца перад прыняццем пакета з вонкавага крыніцы.
- user-rules - адпаведна, паказвае дададзеныя карыстальнікам палітыкі.
- after-rules - тое ж самае, што і before-rules, але ўключае толькі тыя правілы, якія актывуюцца ўжо пасля прыняцця пакетаў.
- logging-rules - паказвае звесткі аб падзеях, якія запісваюцца ў часопіс.
- listening - выкарыстоўваецца для прагляду актыўных (праслухоўваецца) партоў.
- added - задзейнічаны пры праглядзе нядаўна дададзеных правілаў.
У неабходны для вас момант вы можаце выкарыстоўваць любую з гэтых опцый, каб атрымаць жаданую інфармацыю і задзейнічаць яе ў сваіх мэтах.
Крок 7: Выдаленне існуючых правілаў
Некаторыя карыстальнікі, атрымаўшы патрэбныя звесткі аб існуючых правілах, жадаюць выдаліць некаторыя з іх, каб наладзіць злучэнне або задаць новыя палітыкі. Разгляданы брандмаўэр дазваляе зрабіць гэта ў любы даступны момант, што ажыццяўляецца так:
- Ўстаўце каманду sudo ufw delete allow out 80 / tcp. Яна аўтаматычна выдаліць правіла, якое дазваляе выходныя злучэнні праз порт / пратакол 80 / tcp.
- Вы будзеце апавешчаныя аб тым, што палітыка паспяхова выдаленая як для пратаколу IPv4, так і для IPv6.
- Гэта ж тычыцца і якія забараняюць злучэнняў, напрыклад, sudo ufw delete deny in 80 / tcp.
Выкарыстоўвайце опцыі прагляду стану, каб скапіяваць патрабаваныя правілы і выдаліць іх гэтак жа, як гэта было прадэманстравана ў прыкладзе.
Крок 8: Уключэнне лагаванне
Апошні этап сённяшняй артыкула мае на ўвазе актывацыю опцыі, якая аўтаматычна час ад часу будзе захоўваць інфармацыю аб паводзінах UFW ў асобны файл. Неабходная яна далёка не ўсім карыстальнікам, а ўжываецца так:
- Напішыце sudo ufw logging on і націсніце Enter.
- Дачакайцеся з'яўлення паведамлення аб тым, што часопіс цяпер будзе захоўвацца.
- Вы можаце ўжыць і іншую опцыю, напрыклад, sudo ufw logging medium. Існуе яшчэ low (захоўвае звесткі толькі аб заблакаваных пакетах) і high (захоўвае ўсю інфармацыю). Сярэдні варыянт запісвае ў часопіс заблякаваныя і дазволеныя пакеты.
Вышэй вы вывучылі цэлых восем этапаў, якія выкарыстоўваюцца для налады брандмаўэра UFW ў аперацыйнай сістэме Ubuntu. Як бачыце, гэта вельмі просты міжсеткавы экран, які падыдзе нават пачаткоўцам карыстачам з-за лёгкасці засваення сінтаксісу. UFW яшчэ можна смела назваць добрай заменай стандартнага iptables, калі ён вас не задавальняе.