نصب و راه اندازی UFW در اوبونتو 20.04 LTS

UFW یا فایروال بدون عارضه، یک فرانت اند کاربرپسند برای iptable های لینوکس است. UFW در پایتون نوشته شده است (پشتیبانی از پایتون 3.5 و بالاتر) و ابزار مدیریت فایروال فعلی در سیستم های اوبونتو است. این ابزار بسیار کاربرپسند است و به عنوان یک ابزار عالی عمل می کند hostفایروال مبتنی بر

این مقاله روش نصب و استفاده از UFW را به شما نشان می دهد روی سیستم Ubuntu 20.04 LTS شما.

نصب و راه اندازی

UFW از قبل نصب شده است روی اکثر سیستم های اوبونتو اگر بیلد شما این برنامه را قبلاً نصب نکرده است، می توانید آن را با استفاده از snap یا apt package managers نصب کنید.$ sudo اسنپ ​​نصب ufw

من شخصا ترجیح می دهم از apt package manager برای انجام این کار استفاده کنم زیرا snap محبوبیت کمتری دارد و نمی خواهم این پیچیدگی اضافی را داشته باشم. در زمان نوشتن این مقاله، نسخه منتشر شده برای UFW 0.36 برای نسخه 20.04 است.

ترافیک ورودی در مقابل ترافیک خروجی

اگر در دنیای شبکه مبتدی هستید، اولین چیزی که باید توضیح دهید تفاوت بین ترافیک ورودی و خروجی است.

هنگامی که به‌روزرسانی‌ها را با استفاده از apt-get نصب می‌کنید، اینترنت را مرور می‌کنید یا ایمیل خود را بررسی می‌کنید، کاری که انجام می‌دهید ارسال درخواست‌های «خروجی» به سرورهایی مانند اوبونتو، گوگل و غیره است. برای دسترسی به این خدمات، حتی نیازی به یک IP عمومی معمولاً یک آدرس IP عمومی برای مثلاً یک اتصال پهن باند خانگی اختصاص داده می شود و هر دستگاه IP خصوصی خود را دریافت می کند. سپس روتر ترافیک را با استفاده از چیزی به نام NAT یا ترجمه آدرس شبکه.

جزئیات NAT و آدرس های IP خصوصی فراتر از محدوده این مقاله است، اما ویدیوی لینک شده در بالا نقطه شروع بسیار خوبی است. با بازگشت به UFW، به طور پیش‌فرض، UFW به همه ترافیک عادی وب خروجی اجازه می‌دهد. مرورگرها، مدیران بسته‌ها و سایر برنامه‌های شما یک شماره پورت تصادفی را انتخاب می‌کنند – معمولاً عددی بالاتر از 3000 – و به این ترتیب است که هر برنامه می‌تواند اتصال(های) خود را پیگیری کند.

وقتی سرورهایی را در فضای ابری اجرا می‌کنید، معمولاً دارای یک آدرس IP عمومی هستند و قوانین فوق برای اجازه دادن به ترافیک خروجی همچنان پابرجا هستند. از آنجایی که شما همچنان از ابزارهای کمکی مانند مدیران بسته استفاده خواهید کرد که با سایر نقاط جهان به عنوان «مشتری» صحبت می کنند، UFW به طور پیش فرض این اجازه را می دهد.

سرگرمی با ترافیک ورودی شروع می شود. برنامه‌هایی مانند سرور OpenSSH که برای ورود به VM خود استفاده می‌کنید، گوش می‌دهند روی پورت های خاص (مانند 22) برای ورودی درخواست ها، مانند سایر برنامه ها. سرورهای وب نیاز به دسترسی به پورت های 80 و 443 دارند.

این بخشی از کار یک فایروال است که به برنامه های کاربردی خاص اجازه گوش دادن به آن را می دهد روی ترافیک ورودی خاص در حالی که همه موارد غیر ضروری را مسدود می کند. ممکن است یک سرور پایگاه داده نصب کرده باشید روی VM شما، اما معمولاً نیازی به گوش دادن به درخواست‌های دریافتی ندارد روی رابط با IP عمومی معمولاً فقط گوش می دهد روی رابط حلقه بک برای درخواست ها

ربات‌های زیادی در وب وجود دارند که دائماً سرورها را با درخواست‌های جعلی بمباران می‌کنند تا به زور وارد شوند یا یک حمله انکار سرویس ساده انجام دهند. یک فایروال که به خوبی پیکربندی شده است باید بتواند اکثر این هجوم ها را با کمک افزونه های شخص ثالث مانند Fail2ban مسدود کند.

اما، در حال حاضر، ما تمرکز می کنیم روی یک تنظیم بسیار ابتدایی

استفاده پایه

اکنون که UFW را نصب کرده اید روی سیستم شما، ما به چند کاربرد اساسی این برنامه نگاه خواهیم کرد. از آنجایی که قوانین فایروال در سراسر سیستم اعمال می شوند، دستورات زیر به صورت دستور اجرا می شوند root کاربر. در صورت تمایل می توانید استفاده کنید sudo با امتیازات مناسب برای این روش.

به طور پیش فرض، UFW در حالت غیر فعال است که چیز خوبی است. شما نمی خواهید تمام ترافیک ورودی را مسدود کنید روی پورت 22 که پورت پیش فرض SSH است. اگر از طریق SSH وارد یک سرور راه دور شده باشید و پورت 22 را مسدود کنید، خارج از سرور قفل خواهید شد.

UFW ایجاد سوراخ فقط برای OpenSSH را برای ما آسان می کند. دستور زیر را اجرا کنید:

توجه داشته باشید که من هنوز فایروال را فعال نکرده ام. اکنون OpenSSH را به لیست برنامه های مجاز خود اضافه می کنیم و سپس فایروال را فعال می کنیم. برای انجام این کار، دستورات زیر را وارد کنید:

این فرمان ممکن است اتصالات SSH موجود را مختل کند. به عملیات (y|n) ادامه دهید؟ y

فایروال اکنون فعال و فعال است روی راه اندازی سیستم

تبریک می‌گوییم، UFW اکنون فعال و در حال اجرا است. UFW اکنون فقط به OpenSSH اجازه گوش دادن به آن را می دهد روی درخواست های دریافتی در پورت 22. برای بررسی وضعیت فایروال خود در هر زمان، کد زیر را اجرا کنید:

همانطور که می بینید، OpenSSH اکنون می تواند درخواست ها را از هر کجا دریافت کند روی اینترنت، به شرطی که به آن برسد روی پورت 22. خط v6 نشان می دهد که قوانین برای IPv6 نیز اعمال می شوند.

البته بسته به اینکه می توانید محدوده خاصی از IP را ممنوع کنید یا فقط محدوده خاصی از IP را مجاز کنید روی محدودیت های امنیتی که در آن کار می کنید.

افزودن برنامه های کاربردی

برای محبوب ترین برنامه ها، دستور ufw app list به طور خودکار فهرست سیاست های خود را پس از نصب به روز می کند. به عنوان مثال، پس از نصب وب سرور Nginx، گزینه های جدید زیر ظاهر می شوند:

ادامه دهید و سعی کنید این قوانین را آزمایش کنید. توجه داشته باشید که به جای اینکه منتظر نمایش نمایه برنامه باشید، می توانید به سادگی به شماره پورت اجازه دهید. به عنوان مثال، برای اجازه دادن به پورت 443 برای ترافیک HTTPS، به سادگی از دستور زیر استفاده کنید:

نتیجه

اکنون که اصول اولیه UFW را مرتب کرده اید، می توانید سایر قابلیت های فایروال قدرتمند را بررسی کنید، از اجازه دادن و مسدود کردن محدوده IP شروع کنید. داشتن خط مشی های روشن و ایمن فایروال سیستم های شما را ایمن و محافظت می کند.

برای نگارش بخشهایی از این متن ممکن است از ترجمه ماشینی یا هوش مصنوعی GPT استفاده شده باشد
لطفا در صورت وجود مشکل در متن یا مفهوم نبودن توضیحات، از طریق دکمه گزارش نوشتار یا درج نظر روی این مطلب ما را از جزییات مشکل مشاهده شده مطلع کنید تا به آن رسیدگی کنیم