نحوه راه اندازی فایروال با UFW در دبیان ۱۰

نحوه راه اندازی فایروال با UFW در دبیان ۱۰

سعیده مهاجری

فایروال با کانفیگ صحیح یکی از مهمترین جنبه های امنیت کلی سیستم است. UFW (فایروال آسان) یک نمای کاربر پسند برای مدیریت قوانین فایروال iptables است. هدف اصلی آن تسهیل مدیریت iptable است. با ما همراه باشید تا شما عزیزان را با نحوه راه اندازی فایروال با UFW در دبیان ۱۰ آشنا کنیم.

پیش نیاز ها :

فقط root یا کاربر با امتیازات sudo می تواند فایروال سیستم را مدیریت کند.

نصب UFW :

برای نصب بسته ufw دستور زیر را اجرا کنید:

sudo apt update sudo apt install ufw

بررسی وضعیت UFW :

برای جلوگیری از قفل شدن سرور ، نصب خودکار فایروال را فعال نمی کند. با تایپ کردن دستور زیر می توانید وضعیت UFW را بررسی کنید:

sudo ufw status verbose

خروجی به شکل دستور زیر خواهد بود:

Status: inactive

اگر UFW فعال شود ، خروجی شبیه تصویر زیر خواهد بود:

نحوه راه اندازی فایروال با UFW در دبیان 10

سیاست های پیش فرض UFW :

به طور پیش فرض ، UFW تمام اتصالات ورودی را مسدود می کند و به همه اتصالات خروجی اجازه می دهد. این بدان معناست که هرکسی که بخواهد به سرور شما دسترسی پیدا کند قادر به اتصال نخواهد بود مگر اینکه پورت را به طور خاص باز کنید. برنامه ها و سرویس هایی که روی سرور اجرا می شوند ، می توانند به دنیای خارج دسترسی داشته باشند. سیاست های پیش فرض در فایل / etc / default / ufw تعریف شده اند و می توانند با استفاده از دستور sudo ufw پیش فرض <policy> <chain> تغییر کنند. سیاست های فایروال پایه ای برای ایجاد قوانین دقیق تر و تعریف شده توسط کاربر است. به طور کلی ، سیاست های اولیه پیش فرض UFW نقطه شروع خوبی است.

پروفایل های برنامه :

اکثر برنامه ها با یک پروفایل برنامه ای که سرویس را توصیف می کند ارائه می شوند و شامل تنظیمات UFW هستند. پروفایل به طور خودکار در دایرکتوری /etc/ufw/applications.d  ایجاد می شود. برای لیست کردن تمام پروفایل های برنامه موجود در نوع سیستم خود ، دستور زیر را اجرا کنید:

sudo ufw utf --help

بسته های نصب شده روی سیستم شما ، خروجی شبیه به دستور زیر دارند:

Available applications:
  DNS
  IMAP
  IMAPS
  OpenSSH
  POP3
  POP3S
  Postfix
  Postfix SMTPS
  Postfix Submission
  ...

برای یافتن اطلاعات بیشتر در مورد یک پروفایل خاص و قوانین مندرج ، از دستور app info و به دنبال آن نام پروفایل استفاده کنید. به عنوان مثال برای دریافت اطلاعات مربوط به پروفایل OpenSSH که استفاده می کنید ، دستور زیر را اجرا کنید:

sudo ufw app info OpenSSH
Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.

Port:
  ۲۲/tcp

خروجی شامل نام پروفایل ، عنوان ، توضیحات و قوانین فایروال است.

مجاز به اتصالات SSH :

قبل از فعال کردن فایروال UFW ، ابتدا باید اتصالات SSH ورودی را مجاز کنید. اگر از یک مکان از راه دور به سرور خود متصل می شوید، اگر اجازه اتصال به SSH ورودی را ندهید ، دیگر قادر به اتصال به سرور Debian خود نخواهید بود. برای کانفیگ فایروال UFW خود برای پذیرش اتصالات SSH ، دستور زیر را اجرا کنید:

sudo ufw allow OpenSSH
Rules updated
Rules updated (v6)
اگر سرور SSH از پورتی غیر از پورت پیش فرض ۲۲ پیروی میکند ، باید آن پورت را باز کنید. به عنوان مثال ، سرور ssh شما از پورت ۷۷۲۲ استفاده میکند ، برای انجام این کار دستور زیر را اجرا کنید:
sudo ufw allow 7722/tcp

فعال کردن UFW :

اکنون که فایروال UFW به گونه ای کانفیگ شده است که اتصالات SSH ورودی را امکان پذیر می کند ، با اجرای دستور زیر آن را فعال کنید:

sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

به شما هشدار داده خواهد شد که فعال کردن فایروال ممکن است اتصالات ssh موجود را مختل کند. “y” را تایپ کنید و “Enter” را فشار دهید.

باز کردن پورت ها :

بسته به برنامه هایی که روی سرور شما اجرا می شوند ، باید پورت هایی را که سرویس ها روی آنها اجرا می شوند باز کنید. در زیر چند نمونه از نحوه اجازه اتصال ورودی به برخی از سروس های متداول آورده شده است:

بازکردن پورت ۸۰ – HTTP :

برای اجازه اتصال به HTTP دستور زیر را اجرا کنید:

sudo ufw allow http

به جای پروفایل http ، می توانید از شماره پورت ، ۸۰ استفاده کنید:

sudo ufw allow 80/tcp

باز کردن پورت ۴۴۳ – HTTPS :

برای اجازه اتصال به HTTPS دستور زیر را اجرا کنید:

sudo ufw allow https

همچنین می توانید از شماره پورت ، ۴۴۳ استفاده کنید:

sudo ufw allow 443/tcp

باز کردن پورت ۸۰۸۰ :

اگر Tomcat یا هر برنامه دیگری که از پورت ۸۰۸۰ استفاده میکند ، استفاده می کنید ، باید پورت را با دستور زیر باز کنید:

sudo ufw allow 8080/tcp

باز کردن محدوده پورت :

با UFW می توانید به محدوده پورت نیز دسترسی داشته باشید. هنگام باز کردن دامنه ، باید پروتکل پورت را مشخص کنید.

به عنوان مثال ، برای اجازه دادن به پورت های ۷۱۰۰ تا ۷۲۰۰ در دو پروتکل  tcp و udp ، دستور زیر را اجرا کنید:

sudo ufw allow 7100:7200/tcp

sudo ufw allow 7100:7200/udp

اجازه دادن به آدرس های IP خاص :

برای دسترسی به همه پورت ها از طریق یک آدرس IP خاص ، از دستور ufw allow from و به دنبال آن آدرس IP استفاده کنید:

sudo ufw allow from 64.63.62.61

مجاز کردن آدرس های IP خاص در پورت خاص :

برای دسترسی به یک پورت خاص ، (مثلا بگوییم پورت ۲۲ از دستگاه با آدرس IP 64.63.62.61) از دستور زیر استفاده کنید:

sudo ufw allow from 64.63.62.61 to any port 22

اجازه دادن به Subnets :

دستور اجازه اتصال از subnet آدرس های IP همانند استفاده از یک آدرس IP است. تنها تفاوت در این است که شما باید netmask را مشخص کنید. به عنوان مثال ، اگر می خواهید به آدرس های IP از ۱۹۲٫۱۶۸٫۱٫۱ تا ۱۹۲٫۱۶۸٫۱٫۲۵۴ در پورت ۳۳۶۰ (MySQL) دسترسی داشته باشید ، می توانید از دستور زیر استفاده کنید:

sudo ufw allow from 192.168.1.0/24 to any port 3306

اجازه اتصال به یک رابط شبکه خاص :

برای دسترسی به پورت خاص ، اجازه دهید بگوییم پورت ۳۳۶۰ فقط به کارت شبکه eth2 ، از allow in on و نام رابط شبکه استفاده کنید:

sudo ufw allow in on eth2 to any port 3306

اتصالات را رد کنید :

خط مشی پیش فرض برای کلیه اتصالات ورودی منفی است ، به این معنی که UFW تمام اتصالات ورودی را مسدود می کند مگر اینکه شما به طور خاص اتصال را باز کنید. فرض کنید که شما پورت های ۸۰ و ۴۴۳ را باز کرده اید و سرور شما از طریق شبکه ۲۳٫۲۴٫۲۵٫۰/۲۴ مورد حمله بدافزارها قرار گرفته است. برای رد کردن همه اتصالات از ۲۳٫۲۴٫۲۵٫۰/۲۴ ، از دستور زیر استفاده کنید:

sudo ufw deny from 23.24.25.0/24

اگر فقط می خواهید دسترسی به پورت های ۸۰ و ۴۴۳ را از ۲۳٫۲۴٫۲۵٫۰/۲۴ رد کنید از دستورات زیر استفاده کنید:

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443
نوشتن قوانین deny یا (رد) همان نوشتن قوانین allow یا (مجاز) است. شما فقط به جای allow باید از کلمه کلیدی deny استفاده کنید.

قوانین UFW را حذف کنید :

دو روش مختلف برای حذف قوانین UFW وجود دارد که یکی با شماره قانون و دیگری تعیین قاعده واقعی است. حذف قوانین UFW براساس شماره قانون آسان تر است. برای حذف یک قاعده با شماره قانون ، باید عدد حقیقی ای را که می خواهید حذف کنید پیدا کنید. برای انجام این کار دستور زیر را اجرا کنید:

sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ ۱] ۲۲/tcp                     ALLOW IN    Anywhere
[ ۲] ۸۰/tcp                     ALLOW IN    Anywhere
[ ۳] ۸۰۸۰/tcp                   ALLOW IN    Anywhere
برای حذف قانون شماره ۳ ، قانونی که اجازه اتصال به پورت ۸۰۸۰ را می دهد ، می توانید از دستور زیر استفاده کنید:
sudo ufw delete 3
روش دوم ، حذف با تعیین قاعده واقعی است. به عنوان مثال ، اگر قانونی را برای باز کردن پورت ۸۰۶۹ اضافه کرده اید ، می توانید آن را با استفاده از دستور زیر حذف کنید:
sudo ufw delete allow 8069

غیرفعال کردن UFW :

اگر به هر دلیلی می خواهید UFW را متوقف کنید و تمام قوانین اجرا شده را غیرفعال کنید ، میتوانید از دستور زیر استفاده کنید:

sudo ufw disable

بعداً اگر می خواهید UTF را دوباره فعال کنید و همه قوانین را فعال کنید فقط دستور زیر را تایپ کنید:

sudo ufw enable

تنظیم مجدد UFW :

با تنظیم مجدد UFW ، UFW غیرفعال می شود و همه قوانین فعال حذف می شود. اگر می خواهید همه تغییرات خود را برگردانید و دوباره شروع کنید ، این کار مفید است. برای تنظیم مجدد UFW ، دستور زیر را تایپ کنید:
sudo ufw reset

جمع بندی :

ما به شما نحوه نصب و کانفیگ فایروال UFW را بر روی دستگاه دبیان ۱۰ نشان دادیم. اطمینان حاصل کنید که در حالیکه تمام اتصالات غیرضروری را محدود می کنید ، کلیه اتصالات ورودی را که برای عملکرد صحیح سیستم شما ضروری هستند ، مجاز کنید.

امیدواریم مطالب مورد پسند بوده و از آن بهره لازم را برده باشید. خوشحال میشویم نظرات و سوالات خود را در قسمت دیدگاه به اشتراک بگذارید و ما را در شتابان هاست همراهی کنید.😊

برچسب ها: دستورات لینوکس