Úvod
UFW neboli nekomplikovaný firewall je rozhraní pro iptables, které je zaměřeno na zjednodušení procesu konfigurace firewallu. I když iptables je solidní a flexibilní nástroj, pro začátečníky může být obtížné naučit se, jak jej používat ke správné konfiguraci firewall.
Pokud hledáte zabezpečení sítě a nejste si jisti, který nástroj použít, může být pro vás UFW tou pravou volbou.
Požadavky:
Příhlášení jako root uživatel, nebo jako sudo uživatel.
Krok 1 – Instalace UFW
Debian 10 ve výchozím nastavení neinstaluje UFW.
Nainstalujte jej nyní pomocí příkazu:
$ sudo apt install ufw
Krok 2 – Používání IPv6 (Volitelné)
Tento návod je napsán s ohledem na IPv4, ale bude fungovat pro IPv6, pokud jej povolíte. Pokud má váš server povolené IPv6, budete se chtít ujistit, že UFW je nakonfigurován tak, aby podporovalo IPv6, to zajistí, že UFW bude kromě IPv4 spravovat i pravidla brány firewall pro IPv6.
Chcete-li to nakonfigurovat, otevřete konfigurační soubor
/etc/default/ufw
pomocí nano
nebo svého oblíbeného editoru:
$ sudo nano /etc/default/ufw
Pak se ujistěte, že hodnota IPv6 je nastavená na ANO. Mělo by to vypadat takto:
IPV6=yes
Krok 3 – Výchozí nastavení
Pokud s firewallem teprve začínáte, první pravidla, která je třeba definovat, jsou vaše výchozí zásady. Tato pravidla zpracovávají provoz, který výslovně neodpovídá žádným jiným pravidlům. Ve výchozím nastavení je UFW nastaveno tak, aby odepřelo všechna příchozí připojení a povolilo všechna odchozí připojení. To znamená, že kdokoli, kdo by se pokusil dostat na váš server, by se nemohl připojit, zatímco jakákoli aplikace na serveru by byla schopna dosáhnout vnějšího světa.
Pojďme nastavit vaše pravidla zpět na výchozí hodnoty, abychom si mohli být jisti, že budete moci postupovat společně s tímto návodem.
Chcete-li nastavit výchozí hodnoty používané UFW, použijte tyto příkazy:
$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing
Tyto příkazy nastavují výchozí hodnoty tak, aby odepřely příchozí a povolily odchozí připojení. Tato výchozí nastavení brány firewall mohou pro osobní počítač stačit, ale servery obvykle musí reagovat na příchozí požadavky od externích uživatelů.
Krok 4- Povolení SSH připojení
Pokud bychom nyní povolili náš UFW firewall, zakázalo by to všechna příchozí připojení. To znamená, že budeme muset vytvořit pravidla, která výslovně povolí legitimní příchozí připojení – například připojení SSH nebo HTTP – pokud chceme, aby náš server na tyto typy požadavků odpovídal. Pokud používáte cloudový server, pravděpodobně budete chtít povolit příchozí připojení SSH, abyste se mohli připojit a spravovat svůj server.
Chcete-li nakonfigurovat server tak, aby umožňoval příchozí připojení SSH, můžete použít tento příkaz:
$ sudo ufw allow ssh
Tím se vytvoří pravidla firewall, která povolí všechna připojení na portu 22
, což je port, který démon SSH naslouchá ve výchozím nastavení. UFW ví, co znamená port povolit ssh, protože je uveden jako služba v souboru
/etc/services/
.
Ve skutečnosti však můžeme napsat ekvivalentní pravidlo tak, že místo názvu služby zadáme port. Například tento příkaz vytvoří stejný výsledek jako ten výše:
$ sudo ufw allow 22
Pokud jste nakonfigurovali svého démona SSH tak, aby používal jiný port, budete muset zadat příslušný port. Například pokud váš server SSH naslouchá na portu 2222
, můžete pomocí tohoto příkazu povolit připojení na tomto portu:
$ sudo ufw allow 2222
Nyní, když je váš firewall nakonfigurován tak, aby umožňoval příchozí připojení SSH, můžete jej povolit.
Krok 5 – Povolení UFW
Chcete-li povolit UFW, použijte tento příkaz:
$ sudo ufw enable
Zobrazí se varování, že příkaz může narušit stávající připojení SSH. Již jsme nastavili pravidlo brány firewall, které umožňuje připojení SSH, takže by mělo být v pořádku pokračovat. Odpovězte na výzvu pomocí y a stiskněte klávesu ENTER.
Brána firewall je nyní aktivní. Spuštěním příkazu sudo ufw status verbose
zobrazíte pravidla, která jste nastavili.
Návod pro podrobnější používání UFW bude napsán jako samostatný návod.
Doufám, že Vám návod pomohl.
S pozdravem, Jakub Šarm