Windows tűzfal beállítása
Tartalomjegyzék:
- Előfeltételek
- Telepítse az UFW-t
- Ellenőrizze az UFW állapotát
- UFW alapértelmezett házirendek
- Alkalmazási profilok
- Engedélyezze az SSH kapcsolatokat
- Engedélyezze az UFW-t
- Kapcsolódás engedélyezése más portokon
- Nyissa meg a 80-as portot - HTTP
- Nyissa meg a 443-as portot - HTTPS
- Nyissa meg a 8080-as portot
- Engedélyezze a porttartományokat
- Adott IP-címek engedélyezése
- Adott IP-címek engedélyezése az adott porton
- Alhálózatok engedélyezése
- Kapcsolódás engedélyezése egy adott hálózati interfészhez
- Tagadja meg a kapcsolatokat
- Törölje az UFW szabályokat
- Az UFW letiltása
- Reset UFW
- Következtetés
A megfelelően konfigurált tűzfal az általános rendszerbiztonság egyik legfontosabb szempontja. Alapértelmezés szerint az Ubuntu egy UFW nevű tűzfal-konfigurációs eszközzel (Uncomplicated Firewall) rendelkezik. Az UFW felhasználóbarát kezelőfelület az iptable tűzfalszabályok kezelésére, és fő célja, hogy megkönnyítse az iptable kezelését, vagy amint a neve azt mondja, bonyolult.
Előfeltételek
Mielőtt elkezdené ezt az oktatóprogramot, ellenőrizze, hogy be van-e jelentkezve a kiszolgálóra sudo jogosultságokkal rendelkező felhasználói fiókkal vagy a gyökér felhasználóval. A legjobb gyakorlat az, hogy az adminisztrációs parancsokat sudo felhasználóként, a root helyett futtatjuk. Ha nem rendelkezik sudo felhasználóval az Ubuntu rendszeren, akkor az alábbi utasítások követésével létrehozhat egyet.
Telepítse az UFW-t
A nem bonyolult tűzfalat alapértelmezés szerint telepíteni kell az Ubuntu 18.04-ben, de ha még nem telepítette a rendszerére, akkor a csomagot a következő gépeléssel telepítheti:
Ellenőrizze az UFW állapotát
A telepítés befejezése után az UFW állapotát a következő paranccsal ellenőrizheti:
sudo ufw status verbose
Az UFW alapértelmezés szerint le van tiltva. Ha még soha nem aktiválta az UFW-t, akkor a kimenet így néz ki:
Status: inactive
Ha az UFW aktiválva van, a kimenet a következőhöz hasonlóan néz ki:
UFW alapértelmezett házirendek
Alapértelmezés szerint az UFW blokkolja az összes bejövő kapcsolatot és engedélyezi az összes kimenő kapcsolatot. Ez azt jelenti, hogy bárki, aki megpróbálja elérni a szervert, csak akkor tud csatlakozni, ha Ön kifejezetten kinyitja a portot, míg a szerveren futó összes alkalmazás és szolgáltatás hozzáférhet a külvilághoz.
Az alapértelmezett szabályokat az
/etc/default/ufw
fájl határozza meg, és a
sudo ufw default
megváltoztathatók.
A tűzfalakra vonatkozó irányelvek képezik a részletesebb és a felhasználó által meghatározott szabályok felépítésének alapját. A legtöbb esetben a kezdeti UFW alapértelmezett házirendek jó kiindulási pontot jelentenek.
Alkalmazási profilok
Ha az
apt
paranccsal telepít egy csomagot, akkor egy alkalmazásprofilt fog hozzáadni az
/etc/ufw/applications.d
könyvtárhoz. A profil leírja a szolgáltatást, és tartalmazza az UFW-beállításokat.
A kiszolgálón elérhető összes alkalmazásprofilt felsorolhatja:
sudo ufw app list
A rendszerre telepített csomagoktól függően a kimenet a következőhöz hasonlóan néz ki:
Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission
Ha további információt szeretne kapni egy adott profilról és a benne szereplő szabályokról, használja a következő parancsot:
sudo ufw app info 'Nginx Full'
Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80, 443/tcp
Amint az az 'Nginx Full' profil fölötti kimenetből látható, megnyitja a
80
és a
443
portot.
Engedélyezze az SSH kapcsolatokat
Az UFW tűzfal engedélyezése előtt ki kell egészíteni egy szabályt, amely lehetővé teszi a bejövő SSH kapcsolatokat. Ha távoli helyről csatlakozik a kiszolgálóhoz, ami szinte mindig így van, és engedélyezi az UFW tűzfalat, mielőtt kifejezetten engedélyezi a bejövő SSH kapcsolatokat, akkor nem lesz képes csatlakozni az Ubuntu szerverhez.
Az UFW tűzfala bejövő SSH-kapcsolatok engedélyezéséhez írja be a következő parancsot:
sudo ufw allow ssh
Rules updated Rules updated (v6)
Ha az SSH-portot egyéni portra változtatta a 22. port helyett, akkor azt meg kell nyitnia.
Például, ha az ssh-démon a
4422
-es porton hallgat, akkor a következő paranccsal engedélyezheti a kapcsolatokat ezen a porton:
Engedélyezze az UFW-t
Most, hogy az UFW tűzfala úgy van beállítva, hogy engedélyezi a bejövő SSH kapcsolatokat, engedélyezhetjük azt a következő gépeléssel:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Figyelmeztetést kap, hogy a tűzfal engedélyezése megszakíthatja a meglévő ssh-kapcsolatokat, írja
Enter
csak az
y
és nyomja
Enter
.
Kapcsolódás engedélyezése más portokon
A kiszolgálón futó alkalmazásokatól és az Ön egyedi igényeitől függően engedélyeznie kell a bejövő hozzáférést más portokhoz.
Az alábbiakban néhány példát mutatunk be arra, hogyan lehet engedélyezni a bejövő összeköttetéseket a leggyakoribb szolgáltatásokhoz:
Nyissa meg a 80-as portot - HTTP
A HTTP kapcsolatok engedélyezhetők a következő paranccsal:
sudo ufw allow
a http helyett használhatja a portszámot, 80:
sudo ufw allow 80/tcp
vagy használhatja az alkalmazásprofilt, ebben az esetben 'Nginx
Nyissa meg a 443-as portot - HTTPS
A HTTP kapcsolatok engedélyezhetők a következő paranccsal:
sudo ufw allow
A
https
profil helyett ugyanez eléréséhez használhatja a
443
portszámot:
sudo ufw allow 443/tcp
vagy használhatja az 'Nginx HTTPS' alkalmazásprofilt:
Nyissa meg a 8080-as portot
Engedélyezze a porttartományokat
Az egyetlen porthoz való hozzáférés engedélyezése helyett az UFW engedélyezi a porttartományokhoz való hozzáférést. Ha engedélyezi a porttartományokat az UFW segítségével, meg kell adnia a protokollt, vagy a
tcp
vagy az
udp
. Például, ha engedélyezi a
7100
és
7200
közötti portokat a
tcp
és az
udp
akkor futtassa a következő parancsot:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Adott IP-címek engedélyezése
A 64.63.62.61 IP-címmel történő otthoni számítógép összes portjának hozzáférésének engedélyezéséhez adja meg a
from
majd kövesse az engedélyezésre kerülő IP-címet:
sudo ufw allow from 64.63.62.61
Adott IP-címek engedélyezése az adott porton
Adott porton való hozzáférés engedélyezéséhez, mondjuk a 64.63.62.61 IP-című munkagép 22. portját, használjon
to any port
, amelyet a port száma követ:
sudo ufw allow from 64.63.62.61 to any port 22
Alhálózatok engedélyezése
Az IP-címek alhálózatához való kapcsolódás engedélyezésének parancsa ugyanaz, mint egyetlen IP-cím használatakor, az egyetlen különbség, hogy meg kell határoznia a hálómaszkot. Például, ha engedélyezni kívánja a 192.168.1.1 és 192.168.1.254 közötti IP-címek elérését a 3360-as porthoz (MySQL), akkor ezt a parancsot használhatja:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Kapcsolódás engedélyezése egy adott hálózati interfészhez
Adott porton való hozzáférés engedélyezéséhez, mondjuk a 3360-as portot csak az
eth2
speciális hálózati interfészre kell megadni, akkor meg kell adnia az
allow in on
és a hálózati interfész nevét:
sudo ufw allow in on eth2 to any port 3306
Tagadja meg a kapcsolatokat
Az összes bejövő kapcsolat alapértelmezett házirendje meg van
deny
és ha nem változtatta meg, akkor az UFW blokkolja az összes bejövő kapcsolatot, kivéve, ha kifejezetten megnyitja a kapcsolatot.
Tegyük fel, hogy kinyitotta a
80
443
és a
443
portokat, és kiszolgálója támadás alatt áll a
23.24.25.0/24
hálózaton keresztül. A
23.24.25.0/24
összes kapcsolat megtagadásához használja a következő parancsot:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Az elutasító szabályok írása megegyezik az engedélyezési szabályok írásával, az engedélyezést csak
deny
kell helyettesíteni.
Törölje az UFW szabályokat
Kétféle módon lehet törölni az UFW szabályokat: szabályszám és az aktuális szabály megadása alapján.
Az UFW szabályok törlése a szabályszám alapján könnyebb, különösen, ha még nem ismeri az UFW szabályokat. Ha egy szabályszám szerint egy szabályt töröl, először meg kell találnia a törölni kívánt szabály számát, ezt megteheti a következő paranccsal:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
A 3. számú szabály, a 8080-as porthoz való csatlakozást lehetővé tevő szabály törléséhez használja a következő parancsot:
sudo ufw delete 3
A második módszer egy szabály törlése a tényleges szabály megadásával, például ha egy szabályt adtunk hozzá a
8069
port megnyitásához, akkor törölhetjük azt a következőkkel:
Az UFW letiltása
Ha valamilyen okból meg akarja állítani az UFW-t, és deaktiválja az összes használható szabályt:
sudo ufw disable
Később, ha újra engedélyezni szeretné az UTF-et és aktiválni az összes szabályt, írja be:
Reset UFW
Az UFW visszaállítása letiltja az UFW használatát, és törli az összes aktív szabályt. Ez akkor hasznos, ha vissza szeretné állítani az összes változtatást, és frissnek szeretné kezdeni.
Az UFW visszaállításához egyszerűen írja be a következő parancsot:
Következtetés
Megtanulta az UFW tűzfal telepítését és konfigurálását az Ubuntu 18.04 szerveren. Ügyeljen arra, hogy minden bejövő kapcsolatot, amely a rendszer megfelelő működéséhez szükséges, korlátozza minden felesleges kapcsolatot.
ufw tűzfal iptable ubuntu biztonságWindows tűzfal hibaelhárító: Javítás és a Windows tűzfal problémáinak automatikus javítása
Windows tűzfal hibaelhárító letöltése. A Windows tűzfal problémákat okoz? Kaphat biztonsági figyelmeztetést? A Windows tűzfal ki van kapcsolva, vagy nem tud hozzáférni megosztott fájlokhoz vagy nyomtatókhoz.
Tűzfal alkalmazás blokkoló felülvizsgálata: A Windows tűzfal újbóli használata
Probléma a Windows tűzfal használatával kapcsolatban. Nincs probléma, mert a Windows PC tűzfalalkalmazás-blokkolója mindent könnyű használni.
Az ingyenes tűzfal egy teljes tűzfal megoldás a Windows PC-hez
Az Evorim Free Firewall for Windows hiteles és paranoid móddal rendelkezik. Emellett más hasznos biztonsági funkciókat is tartalmaz.