Tento návod je druhé pokračování. Tudíž budeme v bodech postupovat dále.
Doporučuji začít s první částí – VPS – Debian 10 – Jak nastavit firewall s UFW (Základní – část 1.).
Krok 6 – Povolení dalších připojení
V tomto okamžiku byste měli povolit všechna ostatní připojení, která váš server potřebuje, aby správně fungoval. Připojení, která byste měli povolit závisí na vašich konkrétních potřebách. Naštěstí už víte, jak psát pravidla, která umožňují připojení na základě názvu služby nebo portu, už jsme to udělali pro SSH na portu 22
. Můžete to udělat také pro:
- HTTP na portu
80
, což používají nešifrované webové servery. Chcete-li povolit tento typ provozu, zadejtesudo ufw allow http
nebosudo ufw allow 80
. - HTTPS na portu
443
, což používají šifrované webové servery. Chcete-li povolit tento typ provozu, zadejtesudo ufw allow https
nebosudo ufw allow 443
.
Konkrétní rozsahy portů
Rozsahy portů můžete určit pomocí UFW. Například některé aplikace používají místo jednoho portu více portů.
Chcete-li například povolit připojení X11, které používá porty 6000-6007, použijte tyto příkazy:
$ sudo ufw allow 6000:6007/tcp
$ sudo ufw allow 6000:6007/udp
Při zadávání rozsahů portů pomocí UFW musíte určit protokol (tcp nebo udp), na který by se pravidla měla vztahovat. To jsme dříve nezmínili, protože když neurčíte protokol, automaticky se povolí oba protokoly, což je ve většině případů v pořádku.
Konkrétní adresy IP
Při práci s UFW můžete také zadat IP adresy. Chcete-li například povolit připojení ke konkrétní IP adrese, například pracovní nebo domácí adrese IP 89.221.213.70
, musíte zadat:
$ sudo ufw allow from 89.221.213.70
Můžete také určit konkrétní port, ke kterému se může IP adresa připojit, přidáním do libovolného portu následovaného číslem portu. Například pokud chcete povolit připojení 89.221.213.70
k portu 22
(SSH), použijte tento příkaz:
$ sudo ufw allow from 89.221.213.70 to any port 22
Krok 7 – Odepření přístupu
Pokud jste nezměnili výchozí pravidla pro příchozí připojení, UFW je nakonfigurován tak, aby odepřelo všechna příchozí připojení. Obecně to zjednodušuje proces vytváření zásad zabezpečené brány firewall tím, že vyžaduje vytvoření pravidel, která explicitně povolují konkrétní porty a adresy IP.
Někdy budete chtít zakázat konkrétní připojení na základě zdrojové adresy IP nebo podsítě možná proto, že víte, že odtamtud je napaden váš server. Pokud chcete změnit výchozí pravidla příchozích připojení tak, aby byla povolena (což se nedoporučuje), budete muset vytvořit pravidla odepření pro všechny služby nebo adresy IP, pro které nechcete povolit připojení.
Chcete-li napsat pravidla pro odepření
, můžete použít výše popsané příkazy a nahradit allow slovem deny.
Pro příklad, chceme zakázat připojení na http, tak provedeme příkaz:
$ sudo ufw deny http
Tímto jsme zablokovali přístup přes http, ale https bude nadále fungovat.
Pokud potřebujete zablokovat danou IP adresu, tak můžete příkazem:
$ sudo ufw deny from 89.221.213.70
Krok 8 – Mazání pravidel
Pravidla lze smazat za pomocí jejich čísel.
Výpis pravidel s jejich číslem zjistíte přes příkaz:
$ sudo ufw status
numbered
OutputStatus: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN 15.15.15.0/24
[ 2] 80 ALLOW IN Anywhere
Najdete si číslo pravidla a poté už jen napíšete:
$ sudo ufw delete [číslo]
To je vše.
Doufám, že Vám můj návod byl trošku užitečný.
– Jakub Šarm