iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 3
1
Security

不專業infra甘苦談系列 第 3

Day-3 打我? 全部ban掉就好啦~

前言

    這次來到台北參加網路攻防戰,簡單來說就是藍隊演練,由參賽者監管幾台主機,防止主辦方紅隊攻擊,這一次是我第一次參加這種藍隊演練,所以經驗非常不足,算是個學長們的小陪練、打打雜,看看學長如何找出奇怪的弱點跟Port服務,其實拿到主機的那一刻,通常都是先將弱密碼改掉,並且設定防火牆,這次就來講講防火牆,在現實的環境通常很少有服務會直接拿外網IP對外的,通常都會有防火牆防守,但是當有對外服務時,開啟的Port就很容易被當成入侵點,所以除了間隔內網與外網的防火牆設備外,都會在對外服務設定主機的防火牆。

Ubuntu 內建防火牆

    小編入門Linux的版本就是玩Ubuntu,所以對於Ubuntu比較熟悉,這次就來講講如何設定Ubuntu 內建的防火牆ufw。
    ufw為簡化Linux原生防火牆iptable的服務,希望可以藉由簡單的指令操作,協助使用者快速建立防火牆規則,所以相對起來比iptable容易上手且指令簡易,而且如果OS安裝版本為桌面版本,ufw還有一套名為gufw可以提供圖形化設置防火牆規則的介面,相當好用。因為ufw為Ubuntu內建服務,所以不須特別下載,但是在設置以前需特別注意,如果為ssh方式連線Ubuntu,開啟ufw前建議先將ssh開通,否則連線將會斷掉。

ufw常用指令

  • 開啟/關閉ufw防火牆服務
sudo ufw enable # 開啟防火牆
sudo ufw disable # 關閉防火牆 
  • 修改ufw預設值
sudo ufw default deny incoming # 修改ufw預設為【拒絕】所有【連入】的連線
sudo ufw default allow outgoing # 修改ufw預設為【接受】所有【連出】的連線
  • 允許/拒絕「特定服務」或「埠號」
sudo ufw allow ssh #允許ssh連線連入
sudo ufw allow 8080 #允許他人存取8080連線
sudo ufw deny http #拒絕他人存取http連線
sudo ufw deny 80 #拒絕他人存取80連線
sudo ufw allow in 8080 #允許他人由本機的8080連入
sudo ufw deny out 8787 #拒絕本機由8787連線出去其他服務
  • 允許/拒絕「埠號範圍」
sudo ufw allow 8000:8008/tcp # 允許本機8000到8008的Port接收TCP封包連線
sudo ufw allow 9200:9208/udp # 拒絕本機9200到9208的Port接收UDP封包連線
  • 允許特定IP(網段)連線入本機
sudo ufw allow from 203.1.1.1 # 允許來自203.1.1.1的連線
sudo ufw allow from 203.0.113.0/24 #允許來自203.0.113.X的網段連線連入
  • 允許特定IP(網段)連線本機之特定Port
sudo ufw allow from 203.1.1.1 to any port 22 #允許203.1.1.1此IP連線入本機的22Port
sudo ufw allow from 203.1.1.0/24 to any port 22 #允許203.1.1.0/24此網段之IP連線入本機的22Port
  • 查看目前防火牆規則
sudo ufw status # 查看目前防火牆規則
sudo ufw status numbered #以數字排列目前防火牆規則
  • 刪除特定防火牆規則
sudo ufw status numbered #以數字排列目前防火牆規則
sudo ufw delete 3 #刪除剛剛查看的第三條防火牆規則
  • 啟用Log紀錄ufw連線紀錄(紀錄於/var/log/ufw.log)
sudo ufw logging on
  • 重製防火牆
sudo ufw reset #清空防火牆所有已設置之規則

後言

    設定防火牆在阻擋特定IP時超級有用,或是想要阻擋特定Port被存取也相當有用,俗話說的好,我不知道他在幹嘛,那就ban掉他就好,反正他連線我到我,啥都做不到XD,以上是我從資料做的一些我設定上常用的整理,希望可以幫到大家。

參考資料


上一篇
Day-2 硬碟要做哪種RAID才安全?
下一篇
Day-4 小Infra的第一次藍隊演練
系列文
不專業infra甘苦談30

1 則留言

0
as900
iT邦新手 2 級 ‧ 2019-09-23 10:37:01

sudo ufw logging on

请问这个log 里面记录的是网络的连接记录。这个理解对吗?

我要留言

立即登入留言