Slik konfigurerer du UFW-brannmuren i Linux

UFW står faktisk for ukomplisert brannmur og ikke Ubuntu-brannmur som mange tror. Dette navnet gjenspeiler at det er overraskende enkelt å konfigurere. De fleste brukere trenger bare å sette inn tre alternativer før de er relativt sikre. De som ønsker å sette noen avanserte konfigurasjonsalternativer, trenger ikke å gjøre mye utover å redigere en tekstfil. Ubuntu-prosjektutviklere opprinnelig opprettet denne delen av brannmurprogramvaren, men ufw er også tilgjengelig i mange andre distribusjoner. Debian, Arch, Linux Mint, Lubuntu og Xubuntu-brukere har mer enn sannsynlig det allerede installert.

Problemet er at relativt få brukere har den slått på. Selv om brukerne ikke lenger trenger å jobbe direkte med iptables, tvinger Ubuntu deg til standard til avstanden. Mange implementeringer av Debian har ikke engang pakkene installert som standard. Den gode nyheten er at alle med den minste bit av terminal erfaring kan herde systemet.

Metode 1: Slår på UFW fra kommandoprompt

Anta at ufw-pakken er installert før du prøver å installere den separat. Kjør disse kommandoene før noe annet. Hvis du opplever noen feil midtveis, kan du alltid gå tilbake og installere ufw-pakker senere uten problemer.

Hvis du jobber fra en vanlig brukerkonto, kjør du sudo ufw aktiver og skriv inn administratorpassordet ditt hvis du blir bedt om det. Du bør bli fortalt at ufw er aktivert og vil kjøre automatisk ved oppstart. Kjør sudo ufw status uansett bare for å være sikker. Du bør få en enkelt utgangslinje som leser Status: aktiv med ingenting etter det.

På den annen side har du kanskje blitt fortalt at ufw ikke er installert. Brukere av apt-baserte distribusjoner som Debian burde kjøre sudo apt-get install ufw . Det kan hende du vil kjøre sudo apt-get oppdatering og deretter sudo apt-get oppgradering for å forsikre deg om at de andre pakkene dine er i orden når du installerer. Arch Linux-brukere må løpe sudo pacman -Syu hvis de vil ha sine pakker i orden og deretter sudo pacman -S ufw å installere ufw, men alle brukere vil kunne fortsette som vanlig etterpå. Følg trinnene ovenfor og sørg for at kjør sudo ufw aktiverer returnerer den ovennevnte status: aktiv linje.

Metode 2: Sende UFW et grunnleggende sett med regler

Brannmurverktøy bruker et sett med regler for å kontrollere om du vil godta en pakke sendt til datamaskinen din på et nettverk. Du vil nesten sikkert kjøre disse to kommandoene neste:

sudo ufw standard tillate utgående

sudo ufw standard nekter innkommende

Dette sikrer at ufw alltid lar deg sende utgående trafikk til nettverkskortet ditt, noe som er viktig hvis du gjør noen form for jobb på nettet. Naturligvis bør du ikke vurdere noen utgående forespørsel farlig. Dette forbyder også innkommende forespørsler fra å gjøre noen skade, noe som er den riktige innstillingen for nesten alle hjemme- og forretningsbrukere. Selv de fleste spillere som spiller intensive FPS-titler på Internett, trenger ikke noe mer enn dette. De fleste kan stoppe her så lenge du kjører sudo ufw status, returnerer en aktivert melding, selv etter at du har startet maskinen på nytt. Det er ikke mye annet i konfigurasjonsprosessen. Brukere med noen form for ssh eller avanserte nettverksmål må fortsette.

Metode 3: Avanserte UFW-konfigurasjonsalternativer

De fleste brukere trenger ikke å lese videre, men disse reglene kan være nyttige for noen. For eksempel, hvis du trengte å tillate tcp-tilkoblinger på den felles 80-porten, kan du kjøre:

sudo ufw tillate 80 / tcp

Du kan også bruke sudo ufw tillate fra ###. ##. ##. ## / ## med en ekte IP-adresse og et faktisk subnettnummer etter skråstrekmerket. Husk at 80 er et gyldig nummer for denne bruken hvis du trenger å utføre nettverk over det. Å bruke noe som sudo ufw tillater http / tcp også å være gyldig og kan være nødvendig i en server situasjon, men dette begynner virkelig å åpne en eskemaske så langt som mulig for ulike typer tilkoblinger.

En av de mest populære innstillingene er sudo ufw allow 22, som åpner porten for ssh-tilkoblinger. Noen brukere uttrykker i stedet det som sudo ufw tillat ssh, som fungerer like bra. Mens noen guider kan be deg om å legge til begge linjene, er dette unødvendig i et flertall tilfeller, og kan bare bidra til en unødvendig mengde overhead til slutt.

Når du vil fjerne en av dine regler i fremtiden, kan du bare kjøre sudo ufw delete etterfulgt av regelenavnet. For eksempel, sudo ufw delete tillate 80 / tcp ville slå av ett av eksemplene vi gjorde ovenfor.

Nå når du kjører sudo ufw status verbose, kan du se et langt mer komplett bord hvis du har opprettet flere regler. Skulle du noen gang ønske å deaktivere brannmuren i fremtiden, kan du kjøre sudo ufw deaktivere, men det er svært få situasjoner der du trenger å gjøre dette.

Av og til kan det hende du oppdager at du får 504 gateway-timeout-feil hvis du bruker ufw på denne måten for å beskytte en server. Endring av rekkefølgen på noen få regler kan hjelpe hvis dette er tilfelle. Tillat at regler må skrives inn før nektet regler siden ufw alltid ser etter den første kampen når du analyserer listen av sikkerhetshensyn. Slette et par regler og deretter legge dem tilbake ved å skrive sudo ufw standard tillatelseslinjen først bør fikse dette problemet. Du kan også ønske å i tillegg slette noen dupliserte linjer for ytelsesårsaker også.

Kjør sudo ufw verbose og vær nøye med hvilken rekkefølge din DENY IN og ALLOW IN-linjene er inne. Hvis du har noe på en felles port som 80 eller 22 som leser NØY IN etterfulgt av hvor som helst på kartet før andre referanser til de portene, så kan du forsøke å blokkere tilkoblinger før de har mulighet til å komme igjennom. Omorganisere dem vil løse problemet. Å sette disse kommandoene i riktig rekkefølge i utgangspunktet vil bidra til å forhindre problemer senere på linjen.

Forhøyede rotpromptbrukere trenger ikke å bruke sudo før hver kommando. Hvis du har mottatt en slags feil om det, kan dette være problemet ditt. Sjekk slutt på spørringen din for å se om du har en # eller $ før markøren din. Brukere av tcsh som bare har en% for en ledetekst, bør kjøre whoami for å se hvilken bruker de opererer som.

Vanlige brukere som kjører sudo ufw status verbose vil mer enn sannsynlig fortsatt få relativt liten tilbakemelding etter deres spørsmål. Du ser sannsynligvis bare den samme linjen du hadde før.

Dette skyldes at disse brukerne bare jobber med svært få regler. Et ord med forsiktighet kan imidlertid være viktig med hensyn til disse reglene. Mens ufw-standardkommandoen i tillegg lar deg bruke avvisningsparameteren, kan du veldig enkelt låse deg ut av din egen private serverstruktur eller gjøre noen andre rare ting. Hvis du trenger å ha en sudo ufw tillater ssh eller andre lignende linjer i regelen din, må dette komme før du bruker standard avvisning eller nekter regler.

Mens noen grafiske verktøy eksisterer som Gufw og Qt-baserte kmyfirewall, er det enkelt å konfigurere ufw fra kommandolinjen at du ikke faktisk trenger dem. Skulle du ha behov for å redigere konfigurasjonsfilene direkte i stedet, bruk kommandoen for å flytte til riktig katalog og deretter bruke sudo nanofw til å redigere den. Du vil kanskje også i utgangspunktet bruke mer ufw eller mindre ufw for å bare se teksten først før du foretar endringer.

Utviklerne tok faktisk tid til å gi passende kommentarer, slik at du ikke ville gå seg vill når du redigerer det, selv om du kanskje ønsker å fjerne dette hvis du følte behov for det.

PRO TIPS: Hvis problemet er med datamaskinen eller en bærbar PC / notatbok, bør du prøve å bruke Reimage Plus-programvaren som kan skanne arkiver og erstatte skadede og manglende filer. Dette fungerer i de fleste tilfeller der problemet er oppstått på grunn av systemkorrupsjon. Du kan laste ned Reimage Plus ved å klikke her