iT邦幫忙

2023 iThome 鐵人賽

DAY 4
0
DevOps

為你自己架 Server系列 第 4

D4 Firewall - UFW

  • 分享至 

  • xImage
  •  

在網路系統中,防火牆通常是非常重要的安全措施。Debian 系統中,我們經常使用 UFW(Uncomplicated Firewall)這個防火牆軟體。

在進入內文之前,請確保你的系統已經安裝了 UFW。如果尚未安裝,可以運行以下指令進行安裝:

$ sudo apt install ufw

另外,請務必注意,在設置防火牆規則時,可能會導致 SSH 連線中斷。因此,建議只在能夠實體存取系統的情況下進行設定,或確定你有其他可用的方式可以進入系統,以防自己被鎖在外面。

Service

UFW 本身也是一個 service,它必須在背景執行,以便攔截和檢查每個封包,確認是否符合規則。您可以使用 systemctl 命令啟用它:

$ sudo systemctl enable ufw
$ sudo ufw enable

設定

UFW 不需要寫設定檔,而是直接使用 ufw 指令來設定。例如:

  • ufw allow ssh
    • 允許 ssh 的流量進入
  • ufw deny 22
    • 拒絕 (drop) ssh 的流量
  • ufw reject 22
    • 拒絕 (reject) ssh 的流量
    • drop 跟 reject 的差別在於 drop 會直接把封包丟掉,而 reject 會告訴發封包的人你被拒絕了
  • ufw allow from 10.1.1.0/24 to any port 22
    • 10.1.1.0/24 網段來 (from 10.1.1.0/24)、到任何目的地 (to any)、是 ssh (port 22) 的流量可以過
  • ufw allow proto udp from 1.2.3.5 port 5469 to 1.2.3.4 port 5469
    • 用 UDP (proto udp)、從 1.2.3.5 這個 IP address 的 5469 port 來、到 1.2.3.4 的 5469 port 的流量可以過
  • ufw allow in on eth0 to any port 80 proto tcp
    • 針對進來的流量 (in),通過 eht0 這個介面、到任何地方、是到 80 port、使用 TCP 的流量可以過

每次設定更改後,都需要運行 ufw reload 來重新載入規則。你可以使用 ufw status 檢查規則是否正確。如果不確定自己的規則是否正確,可以運行 ufw reset 來重置防火牆規則。

結語

防火牆是保護網路系統安全的關鍵工具之一。透過使用 UFW,我們可以輕鬆地設置和管理防火牆規則,以確保只有符合規則的流量可以進入和離開您的系統。請謹慎設定防火牆,以確保不會將自己鎖在系統外部,同時保護系統免受潛在的安全威脅。

Ref.


上一篇
D3 PAM
下一篇
D5 Docker
系列文
為你自己架 Server8
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言