Близу
Мени

Како инсталирати и користити Линук заштитни зид

Линук је једна од најбезбеднијих десктоп и серверских платформи на планети. Изван кутије, већина Линук дистрибуција је много сигурнија од било које друге Виндовс или мацОС. У ствари, за већину случајева коришћења десктопа, сигурност која се нуди у већини Линук дистрибуција ће вам добро послужити. Међутим, то не значи да бисте требали потпуно занемарити сигурност Оперативни систем за које сте поверили своје податке. У ствари, требало би да знате како да радите са Линук заштитним зидом.

Шта је заштитни зид?

Једноставно речено, заштитни зид је подсистем на рачунару који блокира одређени мрежни саобраћај да улази или излази из вашег рачунара. Заштитни зидови могу бити направљени тако да буду веома рестриктивни (дозвољавају врло мало улаза и/или излаза) или веома пермисивни (допуштају прилично мало улаза и/или излаза). Заштитни зидови долазе у два различита типа:

  • Хардвер—физички уређаји који служе само у сврху заштите ваше мреже (и рачунара на вашој мрежи).
  • Софтвер—подсистеми на појединачним рачунарима који штите само хост машину.

Већина кућних мрежа зависи од комбинације ова два. Хардверско решење је углавном модем/рутер који поставља ваш ИСП. Много пута су ови уређаји подешени да буду веома рестриктивни. Што се тиче софтвера, ваш десктоп рачунар користи софтверски заштитни зид. Један такав заштитни зид, који се може инсталирати и користити на многима Линук дистрибуције (као што је Убунту и његови деривати), је Некомпликовани заштитни зид (УФВ). Некомпликовани заштитни зид је управо оно што звучи. То је једноставан алат који чини управљање блокирањем/дозвољавањем мрежног саобраћаја прилично једноставним. УФВ је алатка само за командну линију која одлично обавља посао и помаже у заштити вашег Линук рачунара.

Инсталација УФВ

УФВ статус командни екран

И на Убунту и на већини Убунту деривата, УВФ је већ инсталиран. Да бисте сазнали да ли је УФВ инсталиран на вашем рачунару, отворите прозор терминала и издајте наредбу: 

судо уфв статус.

Ова команда ће (највероватније) извести да је УФВ неактиван. Ако откријете да УФВ није инсталиран, издајте команду. 

судо апт-гет инсталл уфв -и.

Активирање УФВ

Омогућавање УФВ заштитног зида

Пошто је УФВ подразумевано неактиван, желећете да га активирате. Да бисте то урадили, издајте команду.

судо уфв енаблеНов када проверите статус, приказаће се као активан. Подразумевана политика

конфигурациони фајл у УФВ

Већина корисника неће морати превише да брине о подразумеваној политици. Међутим, најбоље је да барем разумете основе ових смерница.

Подразумевана политика је скуп правила правила која контролишу како да се рукује саобраћајем који се експлицитно не подудара ни са једним другим правилима. Постоје четири подразумеване политике:

  • ИНПУТ—саобраћај који долази на рачунар.
  • ОУТПУТ—саобраћај који излази из рачунара.
  • ФОРВАРД—саобраћај који се прослеђује са једног одредишта на друго.
  • ПОЛИТИКА АПЛИКАЦИЈЕ—саобраћај који је дефинисан апликацијом (а не мрежним портом).

За већину корисника, само политике ИНПУТ и ОУТПУТ ће бити од значаја.

Подразумеване УФВ смернице су постављене у датотеци /etc/default/ufw. Издајте команду. 

  • судо нано /етц/дефаулт/уфв
    и потражите ова четири реда:
    ДЕФАУЛТ_ИНПУТ_ПОЛИЦИ="ДРОП"
  • ДЕФАУЛТ_ОУТПУТ_ПОЛИЦИ="ПРИХВАТИ"
  • ДЕФАУЛТ_ФОРВАРД_ПОЛИЦИ="ДРОП"
  • ДЕФАУЛТ_АППЛИЦАТИОН_ПОЛИЦИ="ПРЕСКОЧИ"

Важно је знати да се свака од горе наведених смерница може подесити са нешто другачијим подразумеваним вредностима.

  • ИНПУТ/ОУТПУТ/ФОРВАРД се може подесити на АЦЦЕПТ, ДРОП или РЕЈЕЦТ
  • АППЛИЦАТИОН се може подесити на ПРИХВАТИ, ОДБАЦИ, ОДБАЦИ или ПРЕСКОЧИ

Разлика између ПРИХВАТИ, ОДБАЦИ и ОДБИЈА је:

  • АЦЦЕПТ—Дозволи саобраћај кроз заштитни зид.
  • ОДБАЦИ—Не дозволите саобраћај кроз заштитни зид и пошаљите ИЦМП поруку недоступну за одредиште назад извору за слање.
  • ДРОП—Забрани пролазак пакета кроз заштитни зид и не шаље одговор.

Подразумеване смернице можете да прилагодите својим потребама. Ако промените смернице у датотеци, поново учитајте УФВ правила помоћу команде: 

судо уфв релоад.

Омогућавање долазног саобраћаја

Омогућавање ССХ саобраћаја у УФВ

Пошто вероватно нећете морати да мењате подразумевану политику одлазног саобраћаја, хајде да се усредсредимо на омогућавање долазног саобраћаја. Рецимо, на пример, желите да будете у могућности да обезбедите љуску на радној површини (помоћу ссх команда) са друге машине. За ово морате да наложите УФВ-у да дозволи долазни саобраћај на стандардном ССХ порту (порт 22). Команда за ово би била: 

судо уфв дозволи ссх.

Горња команда би омогућила било којој машини на вашој мрежи (или чак изван ваше мреже, ако је ваш рутер конфигурисан да дозволи спољни саобраћај) да приступи вашем рачунару, преко порта 22.

Омогућавање ССХ саобраћаја са одређене ИП адресе

То је све у реду и добро, осим ако не желите да дозволите само одређеним рачунарима на вашој мрежи. Рецимо, на пример, желите да дозволите само једном рачунару — рачунару са ИП адресом 192.168.1.162. За ово би команда била: 

судо уфв дозволи са 192.168.1.162 на било који порт 22.

Тхе.

дозволити од

изјава упућује УФВ да оно што следи је адреса са које треба дозволити саобраћај. Тхе.

у било коју луку

наређује УФВ-у да дозволи саобраћај на наведеном порту. У горњем примеру,.

само

рачунар на вашој мрежи коме би било дозвољено да обезбеди љуску у ваш рачунар био би онај на ИП адреси 192.168.1.162.

Такође можете да одбијете саобраћај до одређеног мрежног интерфејса. Рецимо, на пример, ваша машина има два мрежна интерфејса:

  • ИНТЕРНАЛ—користећи мрежни интерфејс енс5 са шемом ИП адресе 192.168.1.к.
  • ЕКСТЕРНАЛ—користећи мрежни интерфејс енп0с3 са шемом ИП адресе 172.217.1.к

Шта ако желите да оставите правило које дозвољава долазни ссх саобраћај на 192.168.1.162, али да забраните сав долазни саобраћај са спољног интерфејса? За ово би команда била: 

судо уфв дени ин на енп0с3 на било који порт ссх.

Издајте команду.

судо уфв статус да видите да је ссх саобраћај са 192.168.1.162 и даље дозвољен, док је саобраћај са спољног интерфејса одбијен. Брисање правила

Листа УФВ правила по бројевима

Ако откријете да сте креирали правила која узрокују проблем са рачунарима који се повезују са вашом машином, могуће је избрисати правила која сте креирали. Прва ствар коју желите да урадите је да УФВ наведе ваша правила по бројевима. Да бисте то урадили, издајте команду: 

судо уфв статус нумерисан.

Рецимо да желите да избришете правило број 1. Да бисте то урадили, издајте команду: 

судо уфв избриши 1.

Од вас ће бити затражено да потврдите брисање правила. Тип и и користити Ентер/Ретурн на тастатури да бисте потврдили. Издајте команду. 

судо уфв статус.