Как да настроите защитна стена с UFW на Debian 11

Как да настроите защитна стена с UFW на Debian 11

Въведение

UFW (Uncomplicated Firewall) е лесна за използване програма за управление на защитна стена за Linux системи. Тя предоставя прост интерфейс за управление на правила за входящ и изходящ трафик, като позволява на администраторите ефективно да защитават своите системи от неоторизиран достъп. Тази статия ще ви преведе през подробно ръководство за настройка и конфигуриране на UFW на Debian 11.

UFW използва концепцията за профили за управление на правилата за защитната стена. Профилите са набори от правила, които се прилагат към различни интерфейси или зони на вашата система. Debian 11 по подразбиране има три предварително дефинирани профила:

* Default: Прилага се към всички интерфейси, които не са изрично посочени в други профили.
* Allow: Позволява целия входящ и изходящ трафик.
* Deny: Блокира целия входящ и изходящ трафик.

Инсталиране на UFW

Ако UFW все още не е инсталиран на вашата система Debian 11, можете да го инсталирате, като използвате следната команда:

  9 най-добри инструмента за маскиране на данни за анонимност и сигурност

Bash
sudo apt install ufw

След като инсталацията приключи, ще трябва да активирате UFW. Можете да направите това, като изпълните следната команда:

Bash
sudo ufw enable

Конфигуриране на зони

Първата стъпка при конфигурирането на UFW е да дефинирате зони. Зоните представляват различни мрежови интерфейси или набори от интерфейси на вашата система. По този начин можете да прилагате различни правила за защитна стена към различни зони, като осигурявате по-прецизен контрол върху мрежовия трафик.

За да видите списък на наличните зони на вашата система, използвайте следната команда:

Bash
sudo ufw zone list

Изходът от командата трябва да бъде подобен на следното:


Available zones:
home
internal
public
trusted

В този пример има четири налични зони: home, internal, public и trusted.

Създаване на правило за защитна стена

За да създадете ново правило за защитна стена, използвайте следната синтаксис:

Bash
sudo ufw [action] [to|from] [interface] [protocol] [port] [source-address/mask] [destination-address/mask] [comment]

където:

* [действие] е действието, което ще се предприеме, когато съответстващо мрежово съединение достигне защитната стена. Възможните действия са allow, deny, reject и limit.
* [към|от] указва посоката на съвпадащия трафик. Възможните стойности са към и от.
* [интерфейс] е името на мрежовия интерфейс, към който трябва да се приложи правилото.
* [протокол] е името на мрежовия протокол, за който се прилага правилото.
* [порт] е номерът на порта, за който се прилага правилото.
* [изходен адрес/маска] е изходният IP адрес и маска на подмрежата, за които се прилага правилото.
* [адрес/маска на местоназначение] е IP адресът и маската на подмрежата на местоназначението, за която се прилага правилото.
* [коментар] е по избор коментар, който описва правилото.

  15 най-добри безплатни екранни рекордери за компютър

Примери за правила за защитна стена

Ето няколко примера за правила за защитна стена, които можете да настроите:

* За да разрешите целия входящ трафик на порт 80 (HTTP):

Bash
sudo ufw allow in on any proto tcp to any port 80 comment "Allow HTTP traffic"

* За да откажете целия изходящ трафик към адрес 192.168.1.100:

Bash
sudo ufw deny out on any proto tcp to 192.168.1.100 comment "Deny outbound traffic to 192.168.1.100"

* За да ограничите до 100 съединения на секунда всички входящи съединения към порт 22 (SSH):

Bash
sudo ufw limit in on any proto tcp to any port 22 comment "Limit SSH connections to 100/s"

Прилагане на профили към зони

След като създадете няколко правила за защитна стена, можете да ги приложите към различни зони. За да приложите профил към зона, използвайте следната команда:

Bash
sudo ufw zone [zone-name] profile [profile-name]

където:

* [зона-име] е името на зоната, към която искате да приложите профила.
* [име-на-профил] е името на профила, който искате да приложите.

Например, за да приложите профила Allow към зоната public, използвайте следната команда:

Bash
sudo ufw zone public profile Allow

Нулиране на правилата за защитна стена

Можете да нулирате всички правила за защитна стена, като използвате следната команда:

Bash
sudo ufw reset

Тази команда ще изтрие всички съществуващи правила за защитна стена и ще възстанови защитната стена до нейното състояние по подразбиране.

  Как да получите своя Spotify Iceberg

Деактивиране на защитната стена

Ако искате временно да деактивирате защитната стена, използвайте следната команда:

Bash
sudo ufw disable

Тази команда ще деактивира защитната стена, но няма да я деинсталира. Можете да активирате отново защитната стена по всяко време, като използвате командата sudo ufw enable.

Заключение

UFW е мощно и лесно за използване решение за управление на защитна стена за Linux системи. Той предоставя на администраторите възможност да конфигурират персонализирани правила за защитна стена, за да защитят своите системи от неоторизиран достъп. В това ръководство разгледахме стъпка по стъпка процедурите за инсталиране, конфигуриране и управление на UFW на Debian 11. Като следвате инструкциите, посочени в тази статия, можете да защитите своята Debian 11 система с ефективна защитна стена.

Често задавани въпроси

1. Как да разбера дали UFW е инсталиран на моята система?

Използвайте командата sudo ufw --version, за да проверите дали UFW е инсталиран. Ако програмата е инсталирана, командата ще покаже номера на версията на UFW.

2. Как да проверите състоянието на защитната стена?

Използвайте командата sudo ufw status verbose, за да проверите текущото състояние на защитната стена. Командата ще покаже списък на всички активни правила за защитна стена и тяхното състояние.

3. Как да отворите порт с UFW?

За да отворите порт с UFW, използвайте командата sudo ufw allow [port]. Например, за да отворите порт 80, ще използвате следната команда: sudo ufw allow 80.

4. Как да откажете достъп до IP адрес с UFW?

За да откажете достъп до IP адрес с UFW, използвайте командата sudo ufw deny from [IP address]. Например, за да откажете достъп до адрес 192.168.1.100, ще използвате следната команда: sudo ufw deny from 192.168.1.100.

5. Как да разрешите достъп до порт на конкретен IP адрес с UFW?

За да разрешите достъп до порт на конкретен IP адрес с UFW, използвайте командата sudo ufw allow from [IP address] to any port [port]. Например, за да разрешите достъп до порт 80 от адрес 192.168.1.100, ще използвате следната команда: `sudo ufw allow from