Menj a windows linux ufw
Mint mondják, a rendszergazdák munkáját anélkül, hogy a tűzfal - ez a védekezés nélküli szex. " Vitatkoznak a hasznosságát a tűzfal értelmetlen, ez olyan, mint egy hát - nem „csíp„, nem szükséges, de ha szükség van rá - ez szükséges. És ne félj: ha mielőtt a tűzfal beállítás nagyon nehéz volt, de most van speciális eszközök, beleértve a grafikus, amely lehetővé teszi, hogy minden elemi. Ez az, amit egy ilyen eszköz ma fogunk beszélni.
(A kép magára a figyelmet.)
Úgyhogy foglalkozik. Az első, a terminológia: iptables - tűzfal maga egy nagyon összetett konfiguráció, ufw - egy segédprogram egyszerű iptables konfiguráció, Gufw - egy grafikus interfész ufw. Most egy kicsit bonyolultabb: allow, deny elutasítják - ez akció (allow, deny elutasítja), amely olyan sajátos kapcsolat, a bejövő / kimenő - a kapcsolat irányát (upstream / downstream) app - ebben az összefüggésben egy olyan alkalmazás egy külön szabályok . Úgy tűnik számunkra, hogy a start elégnek kell lennie.
Azt akartam, hogy meséljek Gufw. de rájöttem, hogy van olyan mintha minden természetes, hogy és tényleg semmi mondani. A fenti képen egyértelmű, hogy csak egy pár kapcsolók, sőt, a szabály. Status - az állapotát a tűzfal be / ki. Bejövő - Ez az alapértelmezett házirendet a bejövő kapcsolatokat, Kimenő - Kimenő. Az alapértelmezett általában tiltják a bejövő kapcsolatokat, de a kimenő engedélyt. Következő egy sor szabályt, ott is egyszerű: a port, amelyen keresztül a csatlakozások; és az irányt a fellépés (engedélyezés / tiltás / visszautasíthatja a bejövő / kimenő); ahol van egy kapcsolat (például megadhatja az IP, amelyre megtagadja a hozzáférést). Mindent.
Menjünk egyenesen a legtöbb közüzemi ufw és megvizsgálja a funkciókat. Először - olvasható man ufw (nem vágyom átírni itt). Időt takaríthat meg, itt van, amit nem tud:
- tartalmaznak tűzfal (ufw enable) konfiguráció nélkül - ez vezethet a teljes elzáródása a gép mellett a helyi hozzáférés ( „viszlát szerver!”);
- sőt, szinte ugyanaz, mint az első pont, de nagyon fontos, hogy nem zár magad! - Ha a kiszolgáló eléréséhez SSH-n keresztül, az első dolog, hogy engedélyezi a kapcsolatot a 22-es port (alapértelmezett): ufw lehetővé 22 / tcp vagy ufw lehetővé ssh;
- Komolyan! ufw lehetővé proto tcp from any to any port 22;
- megjegyezni, hogy a szabályok következetes alkalmazását, így ha tiltani valamit, majd megoldani mindent, mindent megengedett lesz.
Szeretném megemlíteni néhány pontot, hogy meg kell érteni, és amiről nem tudjuk elfelejteni. Gyakran nem lehet írni a szabályokat a port számát, és a szolgáltatás nevét. Szolgáltatások felsorolása a / etc / services. például ott van a ssh, amely kötődik port 22, ami azt jelenti, hogy írhatsz ufw lehetővé ssh. De van egy ellentmondás. Például, ha letette a ssh port 1022, korrigált az / etc / services. és az előírt ufw lehetővé ssh annyira jó, de megtörténhet egy szörnyű: a rendszer úgy döntött, hogy frissíteni kell az / etc / services. és tegye ott újra 22 port. Ennek eredményeként a rendszer már nem elérhető (22 port nyitva van, és ssh lóg port 1022). Ezért én személy szerint mindig a vényköteles port közvetlenül - meg kell nyitni 80-as port, írj: ufw lehetővé 80
Most már foglalkozik az alkalmazás (app). Lásd a listát: ufw app lista - a lista nevét alkalmazás profilok. Lehet, hogy egy csomó dolog, hogy vannak a rendszerben, például: apache2, nginx, az OpenSSH-szerver, és így tovább. Jelentésük kell használni, valamint a szolgáltatások - a szabályokat írnak elő, egyszerűsített formában. De van egy nehéz helyzetben levő miként alkalmazza a ufw és frissíti ezeket a szabályokat. A kézikönyv szerint: «Az alapértelmezett alkalmazás politika hagyja. ami azt jelenti, hogy a frissítés --add új parancs nem csinál semmit »- ez azt jelenti, hogy lehetetlen, hogy az új profil alkalmazás révén az frissítés --add új alapértelmezett. Más szóval, meg kell követni a frissítéseket és új alkalmazási profilok és feldolgozott különböző módon: új profilok UFW teszik | tagadja | elutasítja appname. és módosított: ufw app frissítés appname. Általánosságban elmondható, hogy soha nem emlékezni. Ez nem lehetett használni. Van még egy dolog, hogy csökken az összes szabályt, ha a tűzfal. Tapasztalati úton, azt tapasztaltam, hogy ha engedélyezi-e kapcsolat az alkalmazáson keresztül profilok (típus: ufw lehetővé OpenSSH), és egyéb előírások nem (és tudjuk, hogy a skip-politika alkalmazások), majd amikor bekapcsolja akkor a tűzfal blokkolja mindent. Általában hasznos dolog, ha van egy csomó szoftvert a szerverre ... Nagyon sok. Más esetekben nem javasoljuk, hogy használja azt.
Ez volt a rossz hír, most már a jó: akkor is, ha van egy csomó a szabályokat, akkor továbbra is kényelmesen vezérelhető használata nélkül kétséges uproschalok”. Segítsen nekünk -rules számlálva. Röviden: minden szabály van rendelve egy szám, és vezérelhető ez a szabály, amelyet egy szám. Például, hogy törölje a szabály száma 3, meg kell tennie: ufw törölni 3. Részletek a szabályok listáját a számok, akkor a parancs: ufw status számozott
Egy másik pont, amelyen szeretnék összpontosítani: a különbség tagadja a elutasítására. Belefáradtam a ismételjük meg, de itt is, minden nagyon egyszerű: megtagadja nem csinál semmit, csak nem ad hozzáférést, elutasítja a azonnal választ küld «kapcsolat elutasítva». Ami azt illeti, meg kell használni a következő módon: ha kell „elrejteni” minden olyan szolgáltatás, amely a tagadja, ha szükséges bizonyítani, hogy a szolgáltatás létezik, de az ahhoz való hozzáférés le van zárva, használat elutasítja. Például, ha használja a tűzfalat, hogy megvédje brute force a jelszót, akkor meg kell küldeni elutasítja, és amennyiben szükséges, hogy fedezze néhány szolgáltatás, például FTP minden, de a helyi felhasználók, akkor használjuk azt tagadja. Több tagadja jobban ellen védő port szkennelés - scanner látja, hogy a port zárva van (nem nyitott) és a „halad” az ő, és ha meglát elutasítja, akkor van esély, hogy hozzászokjanak a szerveren.
Összesen, a könnyű használat ahhoz, hogy tudja, a következő:
- alapértelmezett szabályokat használja a következő parancsokat:
ufw alapértelmezett tiltása bejövő
ufw alapértelmezett teszi a kimenő - engedélyezi a kapcsolatot egy adott port:
ufw lehetővé 22
ufw lehetővé 80 / tcp - megtiltják kapcsolatot egy adott portot:
ufw deny 21 - elutasítja kapcsolatok egy adott porton:
ufw elutasítja 7 - fut a tűzfal (és hozzá autostart):
ufw enable - állapotának megtekintéséhez (és szabályok) tűzfal:
ufw status
ufw status bőbeszédű
ufw status számozott - kapcsolja ki a tűzfalat (és távolítsa el az indulásnál):
ufw disable