Stänga
Meny

Hur man installerar och använder en Linux-brandvägg

Linux är en av de säkraste skrivbords- och serverplattformarna på planeten. Utanför lådan hittar du de flesta Linux-distributioner mycket säkrare än båda Windows eller Mac OS. Faktum är att för de flesta datoranvändningsfall kommer säkerheten som erbjuds i de flesta Linux-distributioner att tjäna dig väl. Det betyder dock inte att du helt bör ignorera säkerheten operativ system som du har anförtrott dina uppgifter för. I själva verket skulle det vara lämpligt att veta hur man arbetar med en Linux-brandvägg.

Vad är en brandvägg?

Enkelt uttryckt är en brandvägg ett delsystem på en dator som blockerar viss nätverkstrafik från att gå in i eller ut ur din dator. Brandväggar kan skapas för att vara mycket restriktiva (tillåter mycket lite in och/eller ut) eller mycket tillåtande (tillåter ganska mycket in och/eller ut). Brandväggar finns i två olika typer:

  • Hårdvara – fysiska enheter som endast tjänar syftet att skydda ditt nätverk (och datorerna i ditt nätverk).
  • Programvara – delsystem på enskilda datorer som endast skyddar värdmaskinen.

De flesta hemnätverk är beroende av en kombination av de två. Hårdvarulösningen är vanligtvis modemet/routern som används av din ISP. Många gånger är dessa enheter konfigurerade för att vara mycket restriktiva. När det gäller programvaran använder din stationära dator en mjukvarubrandvägg. En sådan brandvägg, som kan installeras och användas på många Linux distributioner (som Ubuntu och dess derivat), är Okomplicerad brandvägg (UFW). Okomplicerad brandvägg är precis vad det låter som. Det är ett enkelt verktyg som gör det ganska enkelt att hantera blockering/tillåtelse av nätverkstrafik. UFW är ett endast kommandoradsverktyg som gör ett enastående jobb med att hjälpa till att säkra din Linux-dator.

Installation av UFW

UFW-statuskommandoskärm

På både Ubuntu och de flesta Ubuntu-derivat är UWF redan installerat. För att ta reda på om UFW är installerat på din dator, öppna ett terminalfönster och utfärda kommandot: 

sudo ufw status.

Detta kommando kommer (mest troligt) att rapportera att UFW är inaktivt. Om du upptäcker att UFW inte är installerat, utfärda kommandot. 

sudo apt-get install ufw -y.

Aktiverar UFW

Aktiverar UFW-brandväggen

Eftersom UFW är inaktivt som standard, vill du aktivera det. För att göra det, utfärda kommandot.

sudo ufw enableNu när du kontrollerar statusen visas den som aktiv. Standardpolicyn

konfigurationsfil i UFW

De flesta användare behöver inte oroa sig för mycket om standardpolicyn. Det är dock bäst att åtminstone förstå grunderna i dessa policyer.

En standardpolicy är en uppsättning regelregler som styr hur trafik hanteras som inte uttryckligen matchar några andra regler. Det finns fyra standardpolicyer:

  • INPUT—trafik som kommer in i datorn.
  • OUTPUT—trafik som går ut från datorn.
  • FRAMÅT—trafik som vidarebefordras från en destination till en annan.
  • APPLIKATIONSPOLICY—trafik som definieras av programmet (och inte nätverksporten).

För de flesta användare kommer endast INPUT- och OUTPUT-policyerna att vara av intresse.

Standard UFW-policyerna ställs in i filen /etc/default/ufw. Ge kommandot. 

  • sudo nano /etc/default/ufw
    och leta efter dessa fyra rader:
    DEFAULT_INPUT_POLICY="SLÄPP"
  • DEFAULT_OUTPUT_POLICY="ACCEPTERA"
  • DEFAULT_FORWARD_POLICY="SLÄPP"
  • DEFAULT_APPLICATION_POLICY="HOPPA över"

Det är viktigt att veta att var och en av ovanstående policyer kan justeras med en något annorlunda standard.

  • INPUT/OUTPUT/FORWARD kan ställas in på ACCEPT, DROP eller REJECT
  • APPLIKATION kan ställas in på ACCEPTERA, SLAPP, AVVISA eller HOPPA över

Skillnaden mellan ACCEPT, DROP och REJECT är:

  • ACCEPTERA—Tillåt trafik genom brandväggen.
  • AVVISA—Tillåt inte trafik genom brandväggen och skicka ett ICMP-destinationsmeddelande som inte går att nå tillbaka till den sändande källan.
  • DROP – Förbjud ett paket från att passera genom brandväggen och skicka inget svar.

Du kan justera standardpolicyerna så att de passar dina behov. Om du ändrar policyerna i filen, ladda om UFW-reglerna med kommandot: 

sudo ufw ladda om.

Tillåta inkommande trafik

Tillåter SSH-trafik i UFW

Eftersom du förmodligen inte behöver ändra standardpolicyn för utgående trafik, låt oss fokusera på att tillåta inkommande trafik. Säg till exempel att du vill kunna säkra skalet på ditt skrivbord (med hjälp av ssh kommando) från en annan maskin. För detta måste du instruera UFW att tillåta inkommande trafik på standard SSH-porten (port 22). Kommandot för detta skulle vara: 

sudo ufw tillåt ssh.

Ovanstående kommando skulle tillåta vilken maskin som helst i ditt nätverk (eller till och med utanför ditt nätverk, om din router är konfigurerad för att tillåta extern trafik in) att komma åt din dator via port 22.

Tillåter SSH-trafik från en specifik IP-adress

Det är bra och bra, om du inte bara vill tillåta specifika datorer i ditt nätverk att komma in. Säg till exempel att du bara vill tillåta en dator – en dator med IP-adressen 192.168.1.162. För detta skulle kommandot vara: 

sudo ufw tillåter från 192.168.1.162 till valfri port 22.

De.

tillåta från

uttalandet instruerar UFW att det som följer är adressen att tillåta trafik från. De.

till vilken hamn som helst

instruerar UFW att tillåta trafik den angivna porten. I exemplet ovan är.

endast

dator på ditt nätverk som skulle tillåtas att säkra skalet i din dator skulle vara den med IP-adress 192.168.1.162.

Du kan också neka trafik till ett specificerat nätverksgränssnitt. Säg till exempel att din maskin har två nätverksgränssnitt:

  • INTERN—använder nätverksgränssnitt ens5 med IP-adressschema 192.168.1.x.
  • EXTERN – använder nätverksgränssnittet enp0s3 med IP-adressschema 172.217.1.x

Vad händer om du vill lämna regeln som tillåter inkommande ssh-trafik på 192.168.1.162, men nekar all inkommande trafik från det externa gränssnittet? För detta skulle kommandot vara: 

sudo ufw neka in på enp0s3 till valfri port ssh.

Ge kommandot.

sudo ufw status för att se att ssh-trafik från 192.168.1.162 fortfarande är tillåten, medan trafik från det externa gränssnittet nekas. Ta bort regler

En lista över UFW-regler efter nummer

Om du upptäcker att du har skapat regler som orsakar problem med datorer som ansluter till din maskin, är det möjligt att ta bort reglerna du har skapat. Det första du vill göra är att låta UFW lista dina regler efter nummer. För att göra detta, utfärda kommandot: 

sudo ufw status numrerad.

Säg att du vill ta bort regel nummer 1. För att göra detta, utfärda kommandot: 

sudo ufw radera 1.

Du kommer att uppmanas att verifiera borttagningen av regeln. Typ y och använda Enter/retur på tangentbordet för att bekräfta. Ge kommandot. 

sudo ufw status.