Отключение брандмауэра Debian 10
Обновлено: 21.11.2024
UFW (несложный брандмауэр) — это интерфейс к IPTables, который должен упростить процесс настройки брандмауэра. Целью UFW является простой интерфейс на основе командной строки для очень мощных, но не совсем простых в настройке IPTables. UFW поддерживает как IPv4, так и IPv6. Если вы хотите защитить сеть или хотите контролировать входящие и исходящие соединения вашего сервера, нет никакого способа обойти брандмауэр. UFW — это практичный инструмент, которым можно управлять и настраивать через терминал.
UFW довольно легко установить, поскольку он включен в исходный код пакета — по крайней мере, если вы используете дистрибутив Ubuntu или Debian. Узнайте — Как обновить Debian 10 Buster до 11…
Установите и включите брандмауэр UFW в Debian 11 или 10
1. Настройка UFW в Debian 11/10
Если после установки Debian Linux вы не сможете использовать команду UFW из-за ошибки not found, то ее необходимо сначала установить.
2. Включить/запустить брандмауэр в Debian Bullseye
После настройки служба брандмауэра не будет активирована по умолчанию, и чтобы она заработала, запустите:
3. Проверить статус UFW
Чтобы убедиться, что служба брандмауэра UFW работает правильно и без ошибок:
4. Чтобы остановить или отключить (необязательно)
Если вы хотите остановить или отключить брандмауэр, выполните:
5. Правила брандмауэра — разрешить или запретить порты
Активация брандмауэра без определения правил уже означает, что все входящие подключения запрещены, а все исходящие разрешены.
ufw использует трехуровневый набор правил, который хранится в трех файлах конфигурации. Они считываются и оцениваются в следующем порядке:
Файлы правил по умолчанию UFW содержат некоторые основные правила, позволяющие без проблем разрешить внутренний сетевой трафик. Однако вы можете добавить правила в ufw с помощью очень простого синтаксиса команды, приведенного ниже:
Например:
Чтобы разрешить номер порта 8080 в UFW, введите команду:
6. Разрешить специальные диапазоны портов и IP-адреса
UFW может разрешить доступ к диапазонам портов, а не к отдельным портам. Здесь вы должны указать протокол, т. е. UDP или TCP, для которого должны применяться правила.
Если диапазон портов, которые вы хотите разрешить, простирается от 5000 до 5010, вы должны выполнить следующие команды для UDP и TCP в терминале.
Также можно указать разрешенные IP-адреса с помощью UFW. Например, если вы хотите разрешить подключения с частного IP-адреса 192.168.0.104, выполните следующую команду:
Вы также можете разрешить определенные порты для IP-адреса. Для этого вам нужно указать этот конкретный порт, например 22, если вы хотите установить соединение через SSH с вышеупомянутым IP-адресом. Это работает со следующей командой:
7. Фильтр приложений
При установке службы/программы, защищаемой с помощью ufw, автоматически создается несколько общих файлов служб. Соответствующие файлы конфигурации находятся в каталоге /etc/ufw/applications.d/. Это простые текстовые файлы, содержащие имя службы, краткое описание, а также открываемые порты и протоколы.
Обзор всех текущих фильтров приложений можно получить с помощью команды
Это выглядит, например, так:
8. Разрешить все входящие и исходящие соединения UFW по умолчанию
Чтобы запретить или разрешить все входящие соединения:
Для запрета всех подключений:
Для разрешения всех соединений:
Чтобы запретить или разрешить все исходящие соединения:
Разрешить все исходящие
Запретить все исходящие
9. Получение списка и удаление правил брандмауэра UFW в Debian 11 или 10
Перед удалением давайте сначала посмотрим список всех активных правил в брандмауэре UFW. Для этого мы можем использовать:
Вы увидите все правила UFW вместе с серийным номером, в котором они были активированы. Чтобы удалить любой из них, просто используйте данную команду вместе с серийным номером. Например, в приведенной выше команде я хочу удалить второе правило 22/TCP. Тогда команда будет такой:
10. Графический пользовательский интерфейс для брандмауэра UFW в Debian 11 или 10
Те, кто использует Graphical Desktop Linux, могут установить графический пользовательский интерфейс для своего брандмауэра UFW под названием «GUFW» (графический несложный брандмауэр), чтобы легко им управлять. Инструмент предоставляет интерфейс, с помощью которого можно удобно создавать правила для входящих и исходящих соединений.
Как запустить/остановить или включить/отключить службу брандмауэра в Red Hat/CentOS и Debian/Ubuntu Linux
Зачем отключать службу брандмауэра в Linux? Обычно в производственной среде должен быть установлен аппаратный брандмауэр для защиты внешнего доступа или для фильтрации пакетов, поступающих на серверы и обратно. В этом случае вам может не потребоваться включать службу брандмауэра на каждом сервере. Тем не менее, вы хотите запускать/останавливать и включать/отключать службу брандмауэра в Linux на основе .RPM (CentOS, RHEL и т. д.) или на основе .DEB (Debian & Ubuntu и т. д.). Firewalld — это демон, установленный по умолчанию в CentOS/RHEL 8 Linux. В Red Hat Linux 8 nftables является фильтрацией сетевых пакетов по умолчанию, которая заменила более раннюю структуру iptables. FirewallD — это динамический демон для управления брандмауэром с поддержкой сетевых зон. Пакет FirewallD устанавливается по умолчанию в RHEL/CentOS Linux 7 и более поздних версий. UFW или Uncomplicated Firewall по умолчанию устанавливается на Debian или Ubuntu Linux. В этой статье мы объясним, как запустить/остановить и включить/отключить службу брандмауэра в CentOS/RHEL и Debian/Ubuntu Linux.
Ниже приведены действия по запуску/остановке, включению/отключению и проверке состояния службы брандмауэра в CentOS/RHEL и Debian/Ubuntu Linux.
Примечание. Мы рекомендуем вам включить программный брандмауэр, даже если в вашей среде установлен аппаратный брандмауэр. Это обеспечит второй уровень безопасности для отдельных серверов.
В Red Hat/CentOS Linux
Примечание. Для выполнения приведенной ниже команды может потребоваться доступ root или sudo.
<р>3. Проверьте текущее состояние службы брандмауэра
В настоящее время служба брандмауэра активна или работает. нажмите q, чтобы выйти из консоли.
Несложный брандмауэр можно легко установить, введя эту команду в терминал от имени суперпользователя:
Однако простая установка брандмауэра не включит его автоматически, и для него не будут установлены какие-либо правила по умолчанию.
Конфигурация
* Предупреждение: если вы настраиваете через SSH, вы можете разрешить SSH перед включением брандмауэра. Если ваше соединение прервется до того, как вы разрешите SSH, вы можете быть заблокированы в своей системе.
Во-первых, необходимо включить брандмауэр, введя:
Примечание: его можно отключить таким же образом, заменив enable на disable.
Во-вторых, должны быть установлены значения по умолчанию. Для обычных пользователей вполне подойдут следующие значения по умолчанию.
Далее рекомендуется убедиться, что брандмауэр включен, введя:
Примечание: с помощью этой команды вы также сможете увидеть все значения по умолчанию и правила, которые вы применили.
Правила брандмауэра
Разрешить правила довольно просто из командной строки, и иногда это необходимо. Например, по умолчанию ufw запрещает все входящие подключения, что создаст проблему, если вы используете SSH. Поэтому вы должны создать правило, разрешающее SSH-подключения, набрав:
Таким же образом можно добавить и другие правила, просто указав имя программы (Deluge, Transmission). Ufw поставляется с предварительно загруженными настройками по умолчанию для некоторых часто используемых программ, и они автоматически активируются, когда вы создаете правило, указав имя программы. Выведите список программ по умолчанию с помощью следующей команды:
Диапазоны портов
Также можно указать диапазоны портов, простой пример для tcp:
IP-адрес
Также можно использовать IP-адрес:
Удаление правил
Правила можно удалить с помощью следующей команды:
Вы также можете удалить правила по номеру. Чтобы отобразить пронумерованный список правил:
При этом будет выведен пронумерованный список правил, и этот номер можно использовать для удаления определенного правила:
Графический интерфейс
Если вы не хотите управлять своим брандмауэром через командную строку, для ufw доступен графический пользовательский интерфейс под названием gufw. Вы можете установить его через предпочитаемый менеджер пакетов, выполнив поиск gufw или выполнив следующую команду в терминале:
ВНИМАНИЕ: iptables заменяется на nftables
Сетевой брандмауэр – это набор правил, разрешающих или запрещающих прохождение сетевого трафика через одно или несколько сетевых устройств. Сетевой брандмауэр также может выполнять более сложные задачи, такие как преобразование сетевых адресов, настройка полосы пропускания, предоставление зашифрованных туннелей и многое другое, связанное с сетевым трафиком.
До версии 5 (Lenny) установка Debian по умолчанию не включала брандмауэр по умолчанию.Но предоставляет необходимые инструменты для ручной настройки.
Базовое программное обеспечение брандмауэра
Сетевой трафик состоит из разных компонентов, уровней и протоколов. Дополнительные ссылки можно найти в разделе ссылок.
Наиболее известный тип брандмауэра и наиболее изначально реализованный — это наборы правил, основанные на программном обеспечении netfilter, на основе набора модулей ядра и некоторых инструментов пользовательского пространства.
Базовое программное обеспечение для управления сетевым трафиком
Установка Debian по умолчанию поставляется с программой iptables(8), настроенной на разрешение всего трафика. В этом разделе кратко описаны различные программы для ручной обработки сетевого трафика, а также два примера сценариев.
Чтобы запускать эти программы, вам необходимо иметь права root или использовать sudo.
Вы можете найти полезным пакет iptables-persistent.
Использование iptables для трафика IPv4
Это не руководство по iptables, а краткое введение в использование программы. Для более подробных объяснений см. iptables(8)
Основной вызов для определения правил:
Таблицы и цепочки
Все правила хранятся в разных таблицах.
Таблица по умолчанию - filter, которая поддерживает цепочки INPUT, OUTPUT и FORWARD < /em>, используется для входящего, исходящего и перенаправленного трафика соответственно.
Другие существующие таблицы: mangle, nat и raw. Вы также можете создавать и удалять пользовательские таблицы.
Правила и вызов программы могут ссылаться на конкретную таблицу с помощью переключателя -t имя_таблицы (или --table имя_таблицы).
Если таблица не указана, используется таблица по умолчанию (таблица filter).
Чтобы перечислить набор правил любой таблицы, используется переключатель -L. Например:
Как видите, политика по умолчанию при установке по умолчанию — ПРИНИМАТЬ весь трафик. Ни в одной цепочке нет правил.
Каждая из таблиц по умолчанию содержит разные цепочки для хранения правил для разных точек в сетевой подсистеме ядра.
Вы можете перечислить другие таблицы, используя -t, например, чтобы просмотреть таблицу nat (преобразование сетевых адресов):
Сопоставление и порядок
Когда пакет проверяется наборами правил, совпадения ищутся сверху вниз в таблицах и цепочках.
Совпадения в правилах ищутся слева направо в зависимости от используемого синтаксиса правила.
Если пакет не соответствует правилу, поиск переходит к следующему правилу. Если нет подходящих правил, к пакету применяется политика по умолчанию.
Если пакет соответствует какому-либо определению правила, применяется цель, указанная в правиле (ПРИНЯТЬ, ОТКЛОНЯТЬ, DROP , LOG и т. д.), а следующие правила той же цепочки пропускаются.
Очень важно помнить об этом при разработке набора правил, чтобы достичь желаемой функциональности и из-за его влияния на производительность в больших наборах правил.
Политики и цели
По умолчанию политика ПРИНИМАЕТ весь трафик, но наиболее распространенной практикой является изменение политики на ПРОПУСКАТЬ весь трафик, кроме разрешенного.
Вы должны быть осторожны и убедиться, что ваши правила верны, прежде чем устанавливать политику DROP, иначе вы потеряете подключение.
Подсказки по этой проблеме см. в разделе по устранению неполадок.
Переключатели программ
Есть и другие переключатели для управления цепочками, таблицами, четкими правилами, счетчиками и другими элементами. См. справочную страницу iptables(8).
Модули
Программа iptables содержит обширный набор модулей, позволяющих использовать различные критерии для оценки пакетов.
Есть модули для протоколов, журналирования, состояний соединения и т. д. Все скомпилированные модули подробно описаны на справочной странице.
Модули могут иметь параметры (-m имя_модуля --имя_параметра аргументы_параметра).
Пример правила с использованием модуля state для отбрасывания входящего трафика с состоянием INVALID (параметр state< /em>), определенный в заголовках пакета, будет следующим:
Примеры сценариев
Установка
Вы можете поместить эти скрипты в любое место, которое запускается во время загрузки или инициализации сети.
/etc/rc.local
Перед выходом 0. Будет запущен при загрузке.
/etc/сеть/интерфейсы
Это более разумное и стандартное место для общения в сети.
Например, если eth0 является вашим основным или уникальным интерфейсом, используя DHCP:
СистемныйD | служба брандмауэра
Большинство дистрибутивов Debian теперь включают systemd. Чтобы вызвать правила iptable с помощью systemd при запуске:
Создайте новый файл с помощью любого подходящего текстового редактора файлов (я назвал свой firewall.service)
Затем добавьте следующее:
Затем включите службу:
Пример: базовый автономный брандмауэр компьютера
Вы можете использовать этот скрипт на любом автономном компьютере (например, на персональном рабочем столе), которому не нужны порты, открытые в любом месте. Или посмотрите последнюю строку с комментариями, чтобы открыть определенные порты.
Простой скрипт, подобный приведенному ниже, обеспечит вашему хосту достаточную степень безопасности. Имейте в виду, что следующий сценарий отбрасывает все пакеты, которые не соответствуют разрешающему правилу, поэтому обычные сообщения об ошибках в сети отображаться не будут. Все разрешающие правила закомментированы для защиты непосвященных.
Пример: базовый брандмауэр шлюза
Использование ip6tables для трафика IPv6
Из-за роста Интернет медленно переключается на IPv6, который имеет гораздо большее адресное пространство, чем IPv4, а Debian поддерживает IPv6.
Если в вашем брандмауэре есть IPv6-адреса, сети и соединения, вы должны быть осторожны и настроить свои наборы правил для каждого протокола.
Для настройки наборов правил IPv6 и управления ими необходимо использовать ip6tables(8), который предоставляется при установке Debian по умолчанию в пакете iptables.
Использование и функциональность очень похожи на iptables, но ориентированы на трафик IPv6.
Для получения дополнительной информации см.: ip6tables(8)
Использование ebtables для ARP-трафика
Ebtables (пакетные ebtables) используются для настройки, обслуживания и проверки таблиц правил кадра Ethernet в ядре Linux. Он аналогичен iptables, но работает на уровне MAC (ARP), а не на уровне IP.
Если вам нужно фильтровать или преобразовывать трафик ARP (на канальном уровне), ваш брандмауэр имеет мостовые интерфейсы (например, прозрачный мост между туннелируемой OpenVPN VLAN и локальной VLAN или мостовые интерфейсы для виртуализации), ebtables(8) твой друг.
Дизайн очень похож на iptables netfilter.
Он управляет наборами правил в таблицах с цепочками и целями, используя инструменты пользовательского пространства, но на этот раз его нет в установке Debian по умолчанию, и вам нужно его добавить:
Чтобы получить более подробное объяснение его использования, просмотрите неизбежную справочную страницу и посетите официальный веб-сайт (см. раздел ссылок).
Есть документы, объясняющие, как интегрировать ebtables и iptables с помощью модуля iptables physdev.
Брандмауэры приложений
Чтобы идти дальше и управлять уровнем 7 модели OSI, а также иметь возможность определять правила на уровне приложения, вам нужны другие инструменты.
Например. вы открываете порт 80 для своих пользователей, но не хотите, чтобы они могли загружать файлы .exe из Интернета. Вам нужен брандмауэр приложения или прокси-сервер.
Ядро по умолчанию в Debian не имеет исправлений уровня 7, но вы можете установить прокси-серверы пользовательского пространства для управления такими фильтрами.
См. также раздел ссылок для проекта l7-filter.
Устранение неполадок с программным обеспечением и советы
Очень легко потерять подключение при первоначальной настройке брандмауэра. Чем сложнее брандмауэр, тем проще.
Основным навыком для устранения неполадок с брандмауэром является знание точек, в которых трафик проходит, поворачивается, маршрутизируется, может быть отклонен и т. д., а также знание того, как отслеживать эти точки и что происходит.
Наиболее эффективным является анализ трафика от конца до конца, от исходного запроса, DNS, интерфейсов, через которые необходимо пройти, переводов, которые необходимо выполнить, журналов отклоненного трафика, правил маршрутизации и т. д.< /p>
Распространенный лайфхак при проектировании наборов правил — поставить задачу cron, которая очищает правила каждые несколько минут на случай, если вы совершите ошибку (работаете удаленно).
Графические приложения и интерфейсы
Есть несколько инструментов для настройки брандмауэров с помощью интерфейсов и помощников.
Существуют также инструменты командной строки "высокого уровня", чтобы избежать синтаксиса "низкого уровня" или упростить определенные задачи. В любом случае, реальная сила заключается в большом количестве модулей и опций для основных программ командной строки, которые часто не покрываются внешними интерфейсами.
Читайте также: