Як налаштувати брандмауер з UFW на Debian 11

Як налаштувати брандмауер з UFW на Debian 11

Брандмауер є важливим компонентом забезпечення безпеки сервера, оскільки він дозволяє контролювати вхідний і вихідний трафік, запобігаючи несанкціонованому доступу та захищаючи систему від атак. Одним із популярних брандмауерів у Linux є UFW (Uncomplicated Firewall), який є простим у використанні і потужним інструментом для управління трафіком.

У цій статті ми розглянемо, як налаштувати брандмауер UFW на сервері Debian 11, а також надамо поради щодо його безпечного використання.

Вступ до UFW

UFW є брандмауером за замовчуванням у Debian 11, який використовує nftables (нове покоління netfilter) для управління правилами брандмауера. Він забезпечує простий інтерфейс для створення, зміни та видалення правил брандмауера за допомогою командного рядка.

UFW працює за принципом набору профілів, де кожен профіль містить набір правил, які застосовуються до певного інтерфейсу або зони мережі.

Встановлення UFW

Зазвичай UFW вже встановлено на Debian 11, але якщо це не так, ви можете встановити його за допомогою наступної команди:


sudo apt update
sudo apt install ufw

Щоб перевірити, чи встановлено UFW, запустіть:


ufw status

Ви побачите повідомлення про стан брандмауера, наприклад:


Status: active

Налаштування UFW

Після встановлення UFW ви можете почати налаштовувати його. Створіть новий профіль, наприклад для веб-сервера Apache:


sudo ufw app list

Ви побачите список доступних додатків, які мають заздалегідь визначені профілі. У цьому прикладі ми виберемо профіль “Apache Full”:


sudo ufw allow 'Apache Full'

Щоб дозволити трафік на конкретному порту, використовуйте команду sudo ufw allow PORT/protocol, наприклад:


sudo ufw allow 22/tcp

Для блокування трафіку використовуйте команду sudo ufw deny PORT/protocol, наприклад:


sudo ufw deny 8080/tcp

Для видалення правила використовуйте команду sudo ufw delete RULE_NUMBER, де RULE_NUMBER – це номер правила, який ви бачите в списку правил.

Керування зонами UFW

UFW також дозволяє створювати і керувати зонами мережі, які визначають, які інтерфейси і мережі вважаються внутрішніми, зовнішніми або довіреними.

За замовчуванням UFW має три зони:

* Internal/Trusted (внутрішня/довірена): інтерфейси, які вважаються внутрішніми або довіреними, такі як внутрішні мережі або VPN.
* External (зовнішня): інтерфейси, які вважаються зовнішніми або ненадійними, такі як загальнодоступний Інтернет.
* DMZ (демілітаризована зона): зона для розміщення веб-серверів, DNS-серверів та інших серверів, які потребують доступу ззовні.

Ви можете створити власні зони за допомогою команди sudo ufw zone create ZONE_NAME, наприклад:


sudo ufw zone create dmz

Для призначення інтерфейсу до зони:


sudo ufw zone assign INTERFACE_NAME ZONE_NAME

Наприклад, щоб додати інтерфейс eth0 до зони dmz:


sudo ufw zone assign eth0 dmz

Увімкнення та вимкнення UFW

Щоб увімкнути брандмауер UFW:


sudo ufw enable

Щоб вимкнути брандмауер UFW:


sudo ufw disable

Висновок

Налаштування брандмауера UFW на Debian 11 дозволяє контролювати вхідний і вихідний трафік на вашому сервері, захищаючи його від несанкціонованого доступу та атак. Прямолінійний підхід UFW до управління правилами брандмауера робить його популярним вибором для адміністраторів Linux.

Налаштувавши UFW відповідно до ваших конкретних вимог до безпеки, ви можете покращити загальну безпеку свого сервера та запобігти потенційним загрозам. Регулярно оновлюйте правила брандмауера та налаштування, щоб гарантувати, що ваш сервер залишається захищеним від нових вразливостей і загроз.

Поширені запитання

1. Для чого використовується UFW?
– UFW є брандмауером на основі nftables, що використовується для контролю вхідного та вихідного трафіку в системах Linux.

2. Як я можу перевірити стан UFW?
– Запустіть команду sudo ufw status, щоб відобразити інформацію про стан брандмауера.

3. Як я можу дозволити веб-трафік через порт 80?
– Запустіть команду sudo ufw allow 80/tcp, щоб дозволити вхідний трафік до порта 80 на TCP.

4. Як я можу заблокувати доступ до SSH з певної IP-адреси?
– Запустіть команду sudo ufw deny from IP_ADDRESS to any port 22, щоб заблокувати трафік SSH з вказаної IP-адреси.

5. Що таке зони UFW і як ними керувати?
– Зони UFW – це мережеві домени, які дозволяють застосовувати конкретні правила до певних інтерфейсів або мереж. Ви можете створювати, видаляти та призначати інтерфейси до зон за допомогою команд sudo ufw zone.

6. Як я можу увімкнути автоматичний запуск UFW під час завантаження?
– Запустіть команду sudo systemctl enable ufw, щоб увімкнути автоматичний запуск UFW під час завантаження.

7. Як я можу вимкнути брандмауер UFW?
– Запустіть команду sudo ufw disable, щоб відключити брандмауер UFW.

8. Де я можу отримати додаткову інформацію про UFW?
– Документація з UFW: https://wiki.ubuntu.com/UncomplicatedFirewall/