Введение
Добро пожаловать в этот практический лабораторный практикум по настройке базового межсетевого экрана (firewall). Обеспечение безопасности сервера является критически важной задачей для любого системного администратора, а межсетевой экран — это первая линия защиты от несанкционированного сетевого доступа.
В этом практикуме вы будете работать с UFW (Uncomplicated Firewall — Простой межсетевой экран), удобным интерфейсом для управления правилами межсетевого экрана iptables в системах Debian и Ubuntu. UFW разработан так, чтобы быть простым и интуитивно понятным, делая базовое управление межсетевым экраном доступным для всех. Вы узнаете, как установить UFW, добавить правила для разрешения определенного трафика, включить и отключить межсетевой экран, а также проверить его статус.
К концу этого практикума у вас будет прочное понимание того, как выполнять основные операции с межсетевым экраном с помощью UFW.
Установка UFW с помощью команды apt install ufw -y
На этом шаге вы установите Uncomplicated Firewall (UFW). Хотя UFW включен во многие дистрибутивы Ubuntu, хорошей практикой является проверка его наличия или установка, если он отсутствует. Для этого мы будем использовать менеджер пакетов apt.
Сначала всегда полезно обновить список пакетов, чтобы убедиться, что вы получаете самые последние доступные версии.
Выполните следующую команду в вашем терминале:
sudo apt update
Вы увидите вывод по мере обновления списков пакетов из репозиториев.
Теперь переходите к установке UFW. Флаг -y автоматически отвечает "да" на любые запросы в процессе установки.
sudo apt install ufw -y
После завершения команды UFW будет установлен в вашей системе. Вы должны увидеть вывод, похожий на следующий, что указывает на успешную установку:
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
The following NEW packages will be installed:
ufw
0 upgraded, 1 newly installed, 0 to remove and ... not upgraded.
Need to get ...
After this operation, ... of additional disk space will be used.
...
Setting up ufw (...)
...
На данный момент UFW установлен, но еще не активен. На следующем шаге вы настроите правило перед его включением.
Разрешение HTTP с помощью команды ufw allow 80
На этом шаге вы добавите правило межсетевого экрана для разрешения входящего HTTP-трафика. По умолчанию UFW запрещает все входящие соединения. Если бы вы запускали веб-сервер, вам потребовалось бы создать правило, явно разрешающее пользователям доступ к нему. HTTP-трафик использует порт 80.
Вы можете добавить правило, используя команду ufw allow, за которой следует номер порта или имя службы.
Выполните следующую команду, чтобы разрешить трафик на порту 80:
sudo ufw allow 80
Вы увидите подтверждение того, что правило было добавлено. UFW достаточно "умен", чтобы добавить правило как для трафика IPv4, так и для IPv6, поэтому в выводе вы видите две строки.
Rule added
Rule added (v6)
Это правило настроено, но оно не вступит в силу до тех пор, пока межсетевой экран не будет включен, что вы сделаете на следующем шаге. Это безопасная практика, поскольку она позволяет настроить все необходимые правила (например, для SSH) перед активацией межсетевого экрана и потенциальной блокировкой самого себя.
Включение брандмауэра с помощью команды ufw enable
На этом шаге вы активируете межсетевой экран. Просто установки UFW и добавления правил недостаточно; служба межсетевого экрана должна работать, чтобы правила применялись.
Перед включением межсетевого экрана важно разрешить SSH-трафик, чтобы избежать блокировки доступа к системе. По умолчанию SSH использует порт 22.
sudo ufw allow ssh
Вы увидите подтверждение того, что правило для SSH было добавлено:
Rule added
Rule added (v6)
Теперь вы можете безопасно включить UFW. Используйте команду ufw enable.
sudo ufw enable
Межсетевой экран будет активирован, и вывод подтвердит, что он теперь активен и будет включаться автоматически при запуске системы.
Firewall is active and enabled on system startup
Ваш межсетевой экран теперь работает и применяет установленные вами правила, включая разрешение доступа по SSH.
Проверка статуса с помощью команды ufw status
На этом шаге вы узнаете, как проверить статус вашего межсетевого экрана и просмотреть активные правила. Это важная команда для проверки вашей конфигурации.
Чтобы увидеть базовый отчет о статусе, используйте команду ufw status.
sudo ufw status
Вывод покажет, что межсетевой экран активен, и перечислит настроенные вами правила. Вы должны увидеть правила для SSH и порта 80, которые вы добавили.
Status: active
To Action From
-- ------ ----
80 ALLOW Anywhere
80 (v6) ALLOW Anywhere (v6)
22 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
Для более детального просмотра вы можете использовать опцию verbose. Она также покажет политики по умолчанию.
sudo ufw status verbose
Подробный вывод предоставляет больше контекста, включая политику по умолчанию для входящего, исходящего и маршрутизируемого трафика. По умолчанию UFW запрещает весь входящий трафик и разрешает весь исходящий трафик.
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
80/tcp ALLOW IN Anywhere
80/tcp (v6) ALLOW IN Anywhere (v6)
22/tcp ALLOW IN Anywhere
22/tcp (v6) ALLOW IN Anywhere (v6)
Регулярная проверка статуса — хорошая привычка, чтобы убедиться, что ваш межсетевой экран настроен так, как ожидается.
Отключение и удаление правил с помощью команды ufw disable
На этом шаге вы узнаете, как отключить межсетевой экран и удалить существующие правила. Вам может понадобиться сделать это для обслуживания, устранения неполадок или полной перенастройки межсетевого экрана.
Сначала давайте отключим межсетевой экран. Это остановит UFW от фильтрации сетевого трафика.
sudo ufw disable
Вывод подтвердит, что служба остановлена.
Firewall stopped and disabled on system startup
Далее давайте удалим добавленное нами правило. Пока межсетевой экран отключен, правила все еще хранятся в конфигурации. Чтобы удалить определенное правило, вы можете сначала просмотреть их с номерами с помощью команды ufw status numbered.
sudo ufw status numbered
Status: inactive
Поскольку межсетевой экран неактивен, давайте снова включим его, чтобы увидеть правила с нумерацией.
sudo ufw enable
sudo ufw status numbered
Вывод будет выглядеть следующим образом:
Status: active
To Action From
-- ------ ----
[ 1] 80 ALLOW IN Anywhere
[ 2] 80 (v6) ALLOW IN Anywhere (v6)
[ 3] 22 ALLOW IN Anywhere
[ 4] 22 (v6) ALLOW IN Anywhere (v6)
Теперь вы можете удалить правило по его номеру. Давайте удалим первое правило (для IPv4).
sudo ufw delete 1
UFW запросит подтверждение. В этой среде он продолжит работу автоматически. Вы увидите подтверждение того, что правило было удалено.
Deleting:
allow 80
Proceed with operation (y|n)?
Rule deleted
Наконец, если вы хотите полностью сбросить UFW к состоянию по умолчанию, удалив все правила и отключив его, вы можете использовать команду ufw reset.
sudo ufw reset
Эта команда очень полезна для начала работы с чистой конфигурацией межсетевого экрана.
Резюме
Поздравляем с завершением лабораторной работы! Вы успешно освоили основы управления межсетевым экраном в системе Linux с помощью UFW.
В этой лабораторной работе вы практиковались в следующем:
- Установка UFW с помощью менеджера пакетов
apt. - Добавление правил для разрешения определенного трафика с помощью
ufw allow. - Включение и активация межсетевого экрана с помощью
ufw enable. - Проверка статуса и правил межсетевого экрана с помощью
ufw status. - Отключение межсетевого экрана и удаление правил с помощью
ufw disableиufw delete.
Освоение этих базовых команд дает вам мощный инструмент для повышения безопасности ваших серверов. Правильная настройка межсетевого экрана является основополагающим навыком в системном администрировании и сетевой безопасности.
