VPS – Debian 10 – Jak nastavit firewall s UFW (Pokročilé – část 2.)

Publikováno dne: , aktualizováno, napsal: JŠ234019 - Zákazník+

Tento návod je druhé pokračování. Tudíž budeme v bodech postupovat dále.
Doporučuji začít s první částí – VPS – Debian 10 – Jak nastavit firewall s UFW (Základní – část 1.).

Krok 6 – Povolení dalších připojení

V tomto okamžiku byste měli povolit všechna ostatní připojení, která váš server potřebuje, aby správně fungoval. Připojení, která byste měli povolit závisí na vašich konkrétních potřebách. Naštěstí už víte, jak psát pravidla, která umožňují připojení na základě názvu služby nebo portu, už jsme to udělali pro SSH na portu 22. Můžete to udělat také pro:

  • HTTP na portu 80, což používají nešifrované webové servery. Chcete-li povolit tento typ provozu, zadejte sudo ufw allow http nebo sudo ufw allow 80.
  • HTTPS na portu 443, což používají šifrované webové servery. Chcete-li povolit tento typ provozu, zadejte sudo ufw allow https nebo sudo ufw allow 443.

Konkrétní rozsahy portů

Rozsahy portů můžete určit pomocí UFW. Například některé aplikace používají místo jednoho portu více portů.

Chcete-li například povolit připojení X11, které používá porty 6000-6007, použijte tyto příkazy:

$ sudo ufw allow 6000:6007/tcp
$ sudo ufw allow 6000:6007/udp

Při zadávání rozsahů portů pomocí UFW musíte určit protokol (tcp nebo udp), na který by se pravidla měla vztahovat. To jsme dříve nezmínili, protože když neurčíte protokol, automaticky se povolí oba protokoly, což je ve většině případů v pořádku.

Konkrétní adresy IP

Při práci s UFW můžete také zadat IP adresy. Chcete-li například povolit připojení ke konkrétní IP adrese, například pracovní nebo domácí adrese IP 89.221.213.70, musíte zadat:

$ sudo ufw allow from 89.221.213.70

Můžete také určit konkrétní port, ke kterému se může IP adresa připojit, přidáním do libovolného portu následovaného číslem portu. Například pokud chcete povolit připojení 89.221.213.70 k portu 22 (SSH), použijte tento příkaz:

$ sudo ufw allow from 89.221.213.70 to any port 22

Krok 7 – Odepření přístupu

Pokud jste nezměnili výchozí pravidla pro příchozí připojení, UFW je nakonfigurován tak, aby odepřelo všechna příchozí připojení. Obecně to zjednodušuje proces vytváření zásad zabezpečené brány firewall tím, že vyžaduje vytvoření pravidel, která explicitně povolují konkrétní porty a adresy IP.

Někdy budete chtít zakázat konkrétní připojení na základě zdrojové adresy IP nebo podsítě možná proto, že víte, že odtamtud je napaden váš server. Pokud chcete změnit výchozí pravidla příchozích připojení tak, aby byla povolena (což se nedoporučuje), budete muset vytvořit pravidla odepření pro všechny služby nebo adresy IP, pro které nechcete povolit připojení.

Chcete-li napsat pravidla pro odepření, můžete použít výše popsané příkazy a nahradit allow slovem deny.

Pro příklad, chceme zakázat připojení na http, tak provedeme příkaz:

$ sudo ufw deny http

Tímto jsme zablokovali přístup přes http, ale https bude nadále fungovat.

Pokud potřebujete zablokovat danou IP adresu, tak můžete příkazem:

$ sudo ufw deny from 89.221.213.70

Krok 8 – Mazání pravidel

Pravidla lze smazat za pomocí jejich čísel.
Výpis pravidel s jejich číslem zjistíte přes příkaz:

$ sudo ufw status numbered
OutputStatus: active

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    15.15.15.0/24
[ 2] 80                         ALLOW IN    Anywhere

Najdete si číslo pravidla a poté už jen napíšete:

$ sudo ufw delete [číslo]

To je vše.

Doufám, že Vám můj návod byl trošku užitečný.
– Jakub Šarm