Как проверить, установлено ли правило брандмауэра в Linux

Введение

В этом практическом занятии (лабораторной работе) вы научитесь проверять статус брандмауэра и выводить список активных правил брандмауэра на системе Linux. Вы начнете с использования удобной команды ufw для проверки общего статуса брандмауэра.

Затем вы углубитесь в использование инструмента iptables, который лежит в основе, чтобы просмотреть подробные правила фильтрации пакетов, действующие в данный момент. Наконец, вы познакомитесь с nftables, современной заменой для iptables, чтобы проверить набор правил. В рамках этого практического занятия вы получите практические навыки для понимания и проверки конфигурации брандмауэра в Linux.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicSystemCommandsGroup(["Basic System Commands"]) linux(("Linux")) -.-> linux/UserandGroupManagementGroup(["User and Group Management"]) linux(("Linux")) -.-> linux/RemoteAccessandNetworkingGroup(["Remote Access and Networking"]) linux/BasicSystemCommandsGroup -.-> linux/help("Command Assistance") linux/BasicSystemCommandsGroup -.-> linux/man("Manual Access") linux/UserandGroupManagementGroup -.-> linux/sudo("Privilege Granting") linux/RemoteAccessandNetworkingGroup -.-> linux/ifconfig("Network Configuring") linux/RemoteAccessandNetworkingGroup -.-> linux/netstat("Network Monitoring") linux/RemoteAccessandNetworkingGroup -.-> linux/ip("IP Managing") subgraph Lab Skills linux/help -.-> lab-558716{{"Как проверить, установлено ли правило брандмауэра в Linux"}} linux/man -.-> lab-558716{{"Как проверить, установлено ли правило брандмауэра в Linux"}} linux/sudo -.-> lab-558716{{"Как проверить, установлено ли правило брандмауэра в Linux"}} linux/ifconfig -.-> lab-558716{{"Как проверить, установлено ли правило брандмауэра в Linux"}} linux/netstat -.-> lab-558716{{"Как проверить, установлено ли правило брандмауэра в Linux"}} linux/ip -.-> lab-558716{{"Как проверить, установлено ли правило брандмауэра в Linux"}} end

Отображение статуса брандмауэра с помощью команды ufw status

На этом этапе вы научитесь проверять статус брандмауэра на своей системе Linux с использованием команды ufw. ufw расшифровывается как "Uncomplicated Firewall" (Простой брандмауэр) и представляет собой удобный для пользователя интерфейс для управления iptables.

Брандмауэры являются важной частью сетевой безопасности. Они контролируют входящий и исходящий сетевой трафик на основе набора правил. По умолчанию в среде LabEx ufw может быть установлен, но не активирован.

Чтобы проверить статус брандмауэра ufw, откройте терминал и введите следующую команду:

sudo ufw status

Нажмите Enter.

Вероятно, вы увидите вывод, похожий на следующий:

Status: inactive

Этот вывод означает, что брандмауэр ufw в настоящее время не активен на системе. Если он был бы активен, вы увидели бы список правил, которые в настоящее время применяются.

Команда sudo используется здесь, потому что проверка статуса брандмауэра требует административных привилегий. Как упоминалось ранее, пользователь labex имеет доступ к sudo без необходимости вводить пароль в этой среде.

Понимание статуса брандмауэра является первым шагом в управлении сетевой безопасностью. На последующих этапах вы познакомитесь с другими инструментами, такими как iptables и nftables, чтобы получить более глубокое понимание того, как работают брандмауэры в Linux.

Нажмите Продолжить, чтобы перейти к следующему шагу.

Вывод списка активных правил iptables с помощью команды iptables -L

На этом этапе вы научитесь просматривать активные правила брандмауэра с использованием команды iptables. В то время как ufw предоставляет упрощенный интерфейс, iptables - это основной инструмент, который управляет правилами фильтрации пакетов в ядре Linux.

iptables работает путем определения правил в различных "цепях" (chains) и "таблицах" (tables). Наиболее распространенными цепями являются INPUT (для входящего трафика), OUTPUT (для исходящего трафика) и FORWARD (для трафика, проходящего через систему).

Чтобы вывести список текущих правил iptables во всех цепях, откройте терминал и введите следующую команду:

sudo iptables -L

Нажмите Enter.

Вы увидите вывод, похожий на следующий, который показывает правила для цепей INPUT, FORWARD и OUTPUT:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Вывод показывает политику по умолчанию для каждой цепи (в данном случае ACCEPT, что означает, что трафик по умолчанию разрешен) и любые конкретные правила, которые были добавлены. Поскольку ufw был неактивен на предыдущем этапе, iptables, скорее всего, не имеет каких - либо пользовательских правил, настроенных с помощью ufw.

Опция -L сообщает iptables вывести список правил. Опять же, требуется использование sudo, так как просмотр правил брандмауэра требует административных привилегий.

Понимание вывода команды iptables -L является важным для диагностики проблем с сетевым соединением и проверки конфигурации брандмауэра.

Нажмите Продолжить, чтобы перейти к следующему этапу.

Проверка правил с помощью команды nft list ruleset

На этом этапе вы познакомитесь с nftables, преемником iptables. nftables предоставляет более гибкий и единый фреймворк для фильтрации пакетов и сетевого адресного преобразования (NAT - Network Address Translation). Хотя iptables по - прежнему широко используется, nftables становится стандартом на новых дистрибутивах Linux.

Вы можете просмотреть активный набор правил nftables с помощью команды nft с опцией list ruleset.

Откройте терминал и введите следующую команду:

sudo nft list ruleset

Нажмите Enter.

Вы увидите вывод, похожий на следующий, который показывает текущую конфигурацию nftables:

table ip filter {
	chain INPUT {
		type filter hook input priority 0; policy accept;
	}

	chain FORWARD {
		type filter hook forward priority 0; policy accept;
	}

	chain OUTPUT {
		type filter hook output priority 0; policy accept;
	}
}

Этот вывод показывает таблицу фильтрации по умолчанию с цепями INPUT, FORWARD и OUTPUT, аналогично iptables. policy accept означает, что трафик по умолчанию разрешен в этих цепях.

Команда nft является основным инструментом для взаимодействия с nftables. Опция list ruleset отображает весь активный набор правил. Опять же, для просмотра конфигурации брандмауэра требуется использовать sudo.

Сравнение вывода команд iptables -L и nft list ruleset иногда может показать различия, если обе системы настроены или если одна из них управляет правилами, которыми другая не управляет напрямую. В типичной настройке одна система (либо iptables, либо nftables) будет являться основным менеджером брандмауэра.

Теперь вы узнали, как проверить статус ufw, вывести список правил iptables и просмотреть набор правил nftables. Это фундаментальные навыки для понимания и управления брандмауэрами в Linux.

Нажмите Продолжить, чтобы завершить этот практический урок.

Резюме

В этом практическом уроке вы научились проверять статус брандмауэра на системе Linux с использованием различных инструментов. Вы начали с команды sudo ufw status для определения, активен ли Uncomplicated Firewall, который предоставляет удобный для пользователя интерфейс для управления правилами брандмауэра.

Затем вы изучили базовый инструмент iptables, используя команду sudo iptables -L для вывода списка активных правил фильтрации пакетов в различных цепях, таких как INPUT, OUTPUT и FORWARD. Это дало более подробное представление о конфигурации брандмауэра. Наконец, вы обычно проверяете правила с помощью команды nft list ruleset, чтобы понять, как новый фреймворк nftables управляет правилами брандмауэра, предоставляя современную альтернативу iptables.