UFW、またはUncomplicated Firewallは、ファイアウォールの設定プロセスを簡略化するためのインターフェイスiptablesです。 iptablesはしっかりした柔軟なツールですが、初心者がファイアウォールを適切に設定する方法を理解することは難しいでしょう。 UFWのホテルの直前割引や割引は、宿泊施設によって提供されるものです。
このチュートリアルでは、Debian 9でUFWを使ってファイアウォールを設定する方法を説明します。
前提条件
このチュートリアルに従うには、root以外のユーザsudoを持つDebian 9サーバが1台必要です。このサーバは、Debian 9チュートリアルのInitial Server Setupチュートリアルの次のステップ1〜3で設定できます。
ステップ1 – UFWのインストール
DebianはデフォルトでUFWをインストールしません。 UFWを使用してセットアップサーバーに接続する必要があります。 Nếukhông、càiđặtnóđangdùngapt:
sudo apt install ufw
私たちはUFWをセットアップし、それを次のステップで有効にします。
ステップ2 – UFWでIPv6を使用する(オプション)
このチュートリアルでは、IPv4を念頭に置いて書かれていますが、IPv6を有効にしている限り、IPv6でも動作します。サーバーがIPv6 Debianを有効にしている場合、それがIPv6 UFW実数をサポートするように設定されていることを確認することはIPv4に加えてIPv6のファイアウォールルールを管理します。あなたのお気に入りのエディタであるUFWvớinano hayにアクセスしてください。
sudo nano / etc / default / ufw
次に、IPV6の値がyesであることを確認します。これは次のようになります。
/ etc / default / ufw抜粋
IPV6 =はい
Lưutậptin。現在、UFWを有効にすると、IPv4とIPv6の両方のファイアウォールルールを書き込むように設定されます。ただし、UFWを有効にする前に、ファイアウォールがSSH経由で接続できるように設定する必要があります。それはあなたのためです。
ステップ3 – デフォルトポリシーを設定する
あなたは自分のFlickrのファイアウォール入門している場合は、ポリシーを定義するための最初のルールは、CUAのデフォルトです。これらのルールは、他のルールに一致するCAIトラフィックKhongのをどのように処理するかを制御します。デフォルトでは、UFWはすべての着信接続を拒否し、すべての発信接続を許可します。これは、誰でも接続THEないでしょうTHU任意のアプリケーション・サーバーのtrongは、外の世界をリーチTHEだろうが、あなたのサーバーに到達意味します。
UFWのルールをデフォルトに戻して、このチュートリアルに従うことができるようにしましょう。 UFWの卒業生を募集しています。
sudo ufwはデフォルトで受信を拒否します
sudo ufwmặcđịnhmặcđịnhchophép
法律上の法律上の義務を負うことはできません。パーソナルコンピュータでは、これらのファイアウォールのデフォルトだけで十分ですが、通常、外部ユーザーからの着信要求に応答します。次はそれを見ていきます。
ステップ4 – SSH接続を許可する
ファイアウォールの現在の状態UFWでは、すべての着信接続を拒否します。私たちは、要求の種類をnhữngするために応答する場合には、当社のサーバー – 例えばSSHまたはHTTP接続、 – このVIは、私たちは、着信接続の共同のCAI許可正当なルールを作成する必要があります。あなたは、クラウドサーバーを使用している場合は、あなたがに接続し、サーバーを管理することができるよりも、着信SSHのCOの接続を許可するようになるでしょう。
着信SSH接続を許可するようにサーバーを設定するには、次のコマンドを使用します。
sudo ufw sshを許可する
これにより、デフォルトでSSHデーモンがリッスンするポートであるポート22上のすべての接続を許可するファイアウォールルールが作成されます。 UFWは/ etc / servicesファイルにサービスとしてリストされているため、sshがポートを許可するものを認識しています。
しかし、実際には、サービス名の代わりにポートを指定することで同等のルールを書くことができます。たとえば、次のような場合は、次のように入力します。
sudo ufw allow 22
あなたはSSHデーモンがに別のポートを使用CUA設定した場合には、適切な意志ポートをROする必要があります。たとえば、SSHサーバがポート2222でNEU聞いている、あなたは、ポートの共同での接続を許可するには、このコマンドを使用することができます。
sudo ufw allow 2222
ファイアウォールが着信SSH接続を許可するように設定されたので、有効にすることができます。
ステップ5 – UFWを有効にする
UFWを有効にするには、次のようにします:
sudo ufw enable
SSHđangcóを使用しています。我々はすでに、ファイアウォールルールCO町PHEPのSSH接続を設定NEN罰金を継続するためにそれを比較しました。 ENTERキーを押してください。
ファイアウォールがアクティブになりました。あなたの声は、あなたの声を伝えるために冗談を言っています。 UFWは、より詳細には、カイ・カイトゥ・カハク・ナウを否定している。
ステップ6 – 他の接続を許可する
この時点で、サーバーが応答する必要がある他のすべての接続を許可する必要があります。客室には、コーヒー/ティーメーカーを備えた簡易キッチンがあります。幸運なことに、サービス名やポートに基づいて接続を許可するルールを作成する方法はすでに分かっています。 SSHから22番までのタロン・ノー・ジー・トゥー・ポート22。
HTTPtrênport 80、暗号化されていないウェブ、暗号化されていない]]
特定のポート範囲
範囲はUFWで指定できます。あなたの声を聞いて、あなたの声を聞いてみましょう。
X11接続の場合は、6000-6007の場合、次のように入力します。
sudo ufw allow 6000:6007 / tcp
sudo ufw allow 6000:6007 / udp
指定ポートは、UFWと範囲ときにルールを適用はずのLA、プロトコル(TCPまたはUDP)をCHIすることができます。私たちは、ほとんどの場合、プロトコルđộngの町PHEPに両方のプロトコルを指定言及していないVIがOK MA前に、これは」持っていません。
特定のIPアドレス
UFW、IPCCのIPアドレスを使用しています。ミューオンは、特定のIPアドレス、203.0.113.4のIPアドレスNHU自宅や職場からの接続を許可する場合たとえば、あなたはその後、IPアドレスからROする必要があります。
sudo ufw allowtừ203.0.113.4
あなたは、特定のIPアドレスのLAポートはポート番号が続く任意のポートに追加することによってへの接続を許可されたROcũngことができます。たとえば、Nếubạnmuốnchophép203.0.113.4đểkếtnớitic 22(SSH)、hаydùngcâulệnh:
sudo ufw chophéptừ203.0.113.4tớibấtcứcổng22
サブネット
IPアドレスのサブネットを許可するミュオン、あなたはネットマスクをROと比較CIDR表記を使用して行うことができます。たとえば、203.0.113.1から203.0.113.254までのすべてのIPアドレスを許可するには、次のコマンドを使用します。
sudo ufw allowtừ203.0.113.0/24
リシェワワ、203.0.113.0/24đượcphépkếtnớitới。再び、ポート22(SSH)を例として使用します。
sudo ufwallowtừ203.0.113.0/24tớibấtcứcổng22
特定のネットワークインターフェイスへの接続
のみが特定のCOネットワークインタフェースに適用されるファイアウォールルールを作成ミュオンは、ネットワーク・インターフェースの名前が続く「への印刷を許可する」指定することにより、より行うことができます。
続行する前に、ネットワークインタフェースを調べることをお勧めします。そのためには、次のコマンドを使います:
ip addr
出力の抜粋
2:eth0:<ブロードキャスト、マルチキャスト、アップ、ローワーアップ> mtu 1500 qdisc pfifo_fast state
。 。 。
3:eth1:<ブロードキャスト、マルチキャスト> mtu 1500 qdisc noop状態DOWNグループデフォルト
。 。 。
強調表示されている出力は、giaodiệnmạngです。それらはeth0やenp3s2のような名前です。
したがって、サーバにeth0というパブリックなイーサネットインタフェースがある場合は、HTTPトラフィック(例:80)と比較して、
ポート80に接続してください。
そうすることで、サーバーは公衆インターネットからのHTTP要求を受信できます。
または、MySQLデータベースサーバー(ポート3306)がeth1プライベートネットワークインターフェイス上の接続をリッスンするようにするには、次のコマンドを使用します。
法律上の法的拘束力はありません。3306
MySQLは、MySQLを使用するために必要な機能を備えています。
ステップ7 – 接続の拒否
UFWは着信接続をすべて拒否しています。通常、特定のポートとIPを明示的に許可するルールを作成する必要があるため、セキュアなファイアウォールポリシーを作成するプロセスが簡素化されます。
ただし、サーバーが攻撃されていることがわかっているため、ソースIPアドレスまたはサブネットに基づいて特定の接続を拒否したいことがあります。また、ポリシーを変更したい場合は、ポリシーを変更したい場合は、変更する必要があります。
cho phypvớidenyを置き換えて、法廷で告訴した。
たとえば、HTTP接続を拒否するには、次のように入力します。
sudo ufwがhttpを拒否する
または、203.0.113.4からのすべての接続を拒否するには、次のコマンドを使用します。
sudo ufwは203.0.113.4から拒否する
では、ルールを削除する方法を見ていきましょう。
ステップ8 – ルールを削除する
ファイアウォールルールの削除方法を知ることは、ファイアウォールルールの作成方法を知ることと同じくらい重要です。削除するルールを指定するには、2つの方法があります:ルールのルール番号またはルール(作成時にルールを指定した方法に似ています)。規則番号で削除する方が簡単ですから始めます。
ルール番号別
ファイアウォールルールを削除するルール番号を使用している場合、あなたはそのミューオンますまず最初は、リストCUAのファイアウォールルールを取得することです。 UFWステータスコマンドには、次のように各ルールの横に数字を表示するオプションがあります。
sudo ufwステータス番号
番号付き出力:
ステータス:有効
からアクションへ
———
[1] 22 ALLOW IN 15.15.15.0/24
[2] 80 ALLOW IN IN IN
我々はルール2、PHEPポート80(HTTP)接続を町の一つを削除することを決定した場合、私たちはUFWは、このようなコマンドでそれを削除ROことができます。
sudo ufw delete 2
これにより、確認プロンプトが表示され、ルール2がHTTP接続を許可します。 IPv6を使用してIPv6を使用する場合は、IPv6を使用する必要があります。
Actuaによって
ステップ9 – UFWのステータスとルールを確認する
いつでも、あなたはUFWのステータスをlanguageで見ることができます:
sudo ufw status verbose
UFWがデフォルトで無効になっている場合は、次のように表示されます。
出力
ステータス:非アクティブ
UFWがアクティブな場合、それはステップ3 NEUが続いMA NEN、出力はそれがアクティブだと言うだろうし、それがどのルールが設定されđược一覧表示されますCO。たとえば、ファイアウォールがどこにでもSSHを許可するように設定されている場合、xuấtxuấtmongmuốnは次のようになります。
出力
ステータス:有効
ロギング:オン(低)
デフォルト:拒否(インバウンド)、許可(送信)、拒否(ルーテッド)
新しいプロフィール:スキップする
からアクションへ
———
22 / tcp ALLOW IN Anywhere
UFWはファイアウォールに接続しています。
ステップ10 – UFWの無効化またはリセット(オプション)
あなたはUFWを使用しないことを決定した場合、あなたはこのコマンドでそれを無効にすることができます。
sudo ufw disable
UFWのための法律の遵守後で起動する必要がある場合は有効にしてください。
すでにUFW設定されたルールを持っていますが、禁止をやり直したいことを決定した場合、あなたは、resetコマンドを使用することができます。
sudo ufw reset
これにより、UFWが無効になり、以前定義されたルールが削除されます。任意の時点で変更した追加した場合、デフォルトのポリシーは、元の設定に同時変更をLAはありません覚えておいてください。これは、UFWの新鮮なスタートでなければなりません。
結論
ファイアウォール(IPhone)SSHkếtnối。しかし、あなたがあなたのサーバーから入って来る接続を許可している場合は、不要な接続を制限して、
一般的なUFW設定の詳細については、「UFW基本事項:共通ファイアウォールルールとコマンドチュートリアル」を参照してください。
Leave a Reply