Cách cấu hình tường lửa UFW trong Linux

UFW thực sự là viết tắt của Firewall không biến chứng và không phải tường lửa Ubuntu giống như nhiều người tin. Tên này phản ánh thực tế là dễ dàng cấu hình dễ dàng. Hầu hết người dùng sẽ chỉ cần đặt đúng ba tùy chọn trước khi chúng tương đối an toàn. Những người muốn thiết lập một số tùy chọn cấu hình nâng cao sẽ không phải làm gì ngoài việc chỉnh sửa tệp văn bản. Trong khi các nhà phát triển dự án Ubuntu ban đầu đã thiết kế phần mềm tường lửa đặc biệt này, ufw cũng có sẵn trong nhiều bản phân phối khác. Debian, Arch, Linux Mint, người dùng Lubuntu và Xubuntu nhiều khả năng đã cài đặt nó.

Vấn đề là tương đối ít người dùng đã bật nó lên. Trong khi người dùng không còn phải trực tiếp làm việc với iptables, Ubuntu buộc ufw để mặc định về trạng thái tắt. Nhiều triển khai Debian thậm chí không có các gói được cài đặt theo mặc định. Tin tốt là bất kỳ ai có chút kinh nghiệm đầu cuối có thể làm cứng hệ thống của họ.

Phương pháp 1: Bật UFW từ Command Prompt

Giả sử bạn đã cài đặt gói ufw trước khi bạn cố gắng cài đặt riêng nó. Chạy các lệnh này trước bất kỳ lệnh nào khác. Nếu bạn gặp bất kỳ lỗi nào giữa chừng, thì bạn luôn có thể quay lại và cài đặt các gói ufw sau mà không gặp bất kỳ sự cố nào.

Nếu bạn đang làm việc từ tài khoản người dùng chuẩn, hãy chạy sudo ufw bật và nhập mật khẩu quản trị viên của bạn nếu được nhắc. Bạn sẽ được thông báo rằng ufw được kích hoạt và sẽ tự động chạy khi khởi động. Chạy sudo ufw tình trạng anyway chỉ để chắc chắn. Bạn sẽ được cung cấp một dòng đầu ra mà đọc Trạng thái: hoạt động không có gì sau nó.

Mặt khác, bạn có thể đã được thông báo rằng ufw chưa được cài đặt. Người dùng các bản phân phối dựa trên apt như Debian nên chạy sudo apt-get install ufw . Bạn có thể chạy sudo apt-get update và sau đó sudo apt-get upgrade để đảm bảo các gói khác của bạn đang được cài đặt. Người dùng Arch Linux sẽ cần chạy sudo pacman -Syu nếu họ muốn nhận các gói của họ theo thứ tự và sau đó sudo pacman -S ufw để cài đặt ufw, nhưng tất cả người dùng sẽ có thể tiếp tục như bình thường sau đó. Làm theo các bước ở trên và đảm bảo rằng chạy sudo ufw enable trả về Trạng thái đã nói ở trên : dòng đang hoạt động .

Phương pháp 2: Gửi UFW một bộ quy tắc cơ bản

Các công cụ tường lửa sử dụng một bộ quy tắc để kiểm tra xem có chấp nhận gói được gửi tới máy tính của bạn trên mạng hay không. Bạn gần như chắc chắn sẽ muốn chạy hai lệnh sau:

sudo ufw mặc định cho phép gửi đi
sudo ufw mặc định từ chối đến

Điều này đảm bảo rằng ufw luôn cho phép bạn gửi lưu lượng gửi đi tới bộ điều hợp mạng của bạn, điều này rất quan trọng nếu bạn thực hiện bất kỳ loại công việc nào trực tuyến. Đương nhiên, bạn không nên xem xét bất kỳ yêu cầu gửi đi nguy hiểm. Điều này cũng cấm các yêu cầu gửi đến từ bất kỳ tác hại nào, đó là cài đặt chính xác cho hầu như tất cả người dùng gia đình và doanh nghiệp. Thậm chí hầu hết các game thủ chơi game FPS trực tuyến chuyên sâu không cần bất cứ điều gì nhiều hơn thế này. Hầu hết mọi người có thể dừng ở đây miễn là chạy trạng thái sudo ufw vẫn trả về một tin nhắn được kích hoạt ngay cả sau khi bạn khởi động lại máy. Không còn gì khác trong quá trình cấu hình. Người dùng có bất kỳ loại ssh hoặc mục tiêu mạng nâng cao nào cần phải tiếp tục.

Phương pháp 3: Tùy chọn cấu hình nâng cao UFW

Hầu hết người dùng sẽ không cần phải đọc trở đi, nhưng những quy tắc này có thể hữu ích đối với một số người. Ví dụ, nếu bạn cần cho phép các kết nối tcp trên cổng 80 chung, bạn có thể chạy:

sudo ufw cho phép 80 / tcp

Bạn cũng có thể sử dụng sudo ufw cho phép từ ###. ##. ##. ## / ## với địa chỉ IP thực và số subnet thực sau dấu gạch chéo. Hãy nhớ rằng 80 là một số hợp lệ cho việc sử dụng này nếu bạn cần thực hiện kết nối mạng. Sử dụng một cái gì đó như sudo ufw cho phép http / tcp cũng hợp lệ và có thể cần thiết trong tình huống máy chủ, nhưng điều này thực sự bắt đầu mở ra một thùng sâu như cho phép các kiểu kết nối khác nhau.

Một trong những cài đặt phổ biến hơn là sudo ufw cho phép 22, mở cổng cho kết nối ssh. Một số người dùng thay vì cụm từ nó như sudo ufw cho phép ssh, hoạt động tốt. Trong khi một số hướng dẫn có thể hướng dẫn bạn thêm cả hai dòng, điều này là không cần thiết trong phần lớn các trường hợp và có thể chỉ đóng góp vào một lượng không cần thiết của chi phí cuối cùng.

Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đây

Khi bạn muốn xóa một trong các quy tắc của mình trong tương lai, bạn có thể chỉ cần chạy sudo ufw delete theo sau tên quy tắc. Ví dụ: xóa sudo ufw cho phép 80 / tcp sẽ tắt một trong các ví dụ mà chúng tôi đã thực hiện ở trên.

Bây giờ khi bạn chạy trạng thái sudo ufw tiết, bạn có thể thấy một bảng hoàn chỉnh hơn nhiều nếu bạn đã tạo các quy tắc bổ sung. Nếu bạn muốn vô hiệu hóa tường lửa trong tương lai, bạn có thể chạy sudo ufw vô hiệu hóa, nhưng có rất ít trường hợp bạn cần phải làm điều này.

Thỉnh thoảng bạn có thể thấy rằng bạn nhận được 504 lỗi hết thời gian chờ của cổng nếu bạn đang sử dụng ufw theo cách này để bảo vệ máy chủ. Việc thay đổi thứ tự của một vài quy tắc có thể hữu ích nếu trường hợp này xảy ra. Cho phép các quy tắc phải được nhập trước khi từ chối quy tắc vì ufw luôn tìm kiếm kết quả khớp đầu tiên khi phân tích danh sách của bạn vì lý do bảo mật. Xóa một cặp quy tắc và sau đó thêm chúng trở lại bằng cách gõ dòng sudo ufw mặc định cho phép đầu tiên nên khắc phục vấn đề này. Bạn có thể muốn xóa thêm bất kỳ dòng trùng lặp nào vì lý do hiệu suất.

Chạy sudo ufw tiết và chú ý đến thứ tự từ chối và ALLOW IN của bạn. Nếu bạn có thứ gì đó trên một cổng thông thường như 80 hoặc 22 đọc DENY IN, theo sau là bất cứ nơi nào trên biểu đồ trước khi tham chiếu đến các cổng đó, thì bạn có thể đang cố chặn các kết nối trước khi họ có cơ hội để vượt qua. Sắp xếp lại chúng sẽ khắc phục được sự cố. Đặt các lệnh này theo đúng thứ tự tại địa điểm đầu tiên sẽ giúp ngăn chặn các vấn đề sau này.

Người dùng nhắc root nâng cao sẽ không thực sự phải sử dụng sudo trước mỗi lệnh. Nếu bạn đã nhận được một số loại lỗi về điều đó, thì đây có thể là vấn đề của bạn. Kiểm tra cuối dấu nhắc của bạn để xem bạn có dấu # hay $ trước con trỏ hay không. Người dùng tcsh chỉ có% cho lời nhắc sẽ chạy whoami để xem họ đang hoạt động như thế nào.

Người dùng thường xuyên chạy trạng thái sudo ufw sẽ nhiều hơn khả năng vẫn nhận được phản hồi tương đối nhỏ sau lời nhắc của họ. Có thể bạn sẽ thấy cùng một dòng bạn đã có trước đây.

Điều này là do những người dùng này chỉ đơn giản là làm việc với rất ít quy tắc. Tuy nhiên, một lời cảnh cáo có thể quan trọng đối với các quy tắc này. Mặc dù lệnh mặc định ufw bổ sung cho phép bạn sử dụng tham số từ chối, bạn có thể dễ dàng khóa chính mình khỏi cấu trúc máy chủ riêng của mình hoặc thực hiện một số điều kỳ lạ khác. Nếu bạn cần có một sudo ufw cho phép ssh hoặc các dòng tương tự khác trong bộ quy tắc của bạn, điều này cần phải đến trước khi bạn áp dụng các quy tắc từ chối hoặc từ chối mặc định.

Trong khi một số công cụ đồ họa tồn tại như Gufw và kmyfirewall dựa trên Qt, thật dễ dàng để cấu hình ufw từ dòng lệnh mà bạn sẽ không thực sự cần chúng. Nếu bạn cần chỉnh sửa trực tiếp các tệp cấu hình, hãy sử dụng lệnh để chuyển sang thư mục thích hợp và sau đó sử dụng sudo nanofw để chỉnh sửa nó. Ban đầu, bạn cũng có thể muốn sử dụng ufw hoặc ít hơn ufw để chỉ xem văn bản trước khi thực hiện bất kỳ thay đổi nào.

Các nhà phát triển thực sự đã dành thời gian để cung cấp các ý kiến thích hợp, do đó bạn sẽ không bị lạc khi chỉnh sửa nó, mặc dù bạn có thể muốn loại bỏ điều này nếu bạn cảm thấy cần thiết.