Kuidas Ubuntu serveris tulemüüri seadistada

Avaldatud: 15. veebruar 2025, kell 21:33:36 UTC

See artikkel selgitab ja pakub mõningaid näiteid selle kohta, kuidas seadistada tulemüüri GNU/Linuxis, kasutades ufw-d, mis on lühend sõnast Uncomplicated FireWall – ja nimi sobib, see on tõesti väga lihtne viis veenduda, et teil pole avatud rohkem porte kui vaja.

See lehekülg on inglise keelest masintõlgitud, et muuta see võimalikult paljudele inimestele kättesaadavaks. Kahjuks ei ole masintõlge veel täiuslik tehnoloogia, mistõttu võivad esineda vead. Kui soovite, võite vaadata ingliskeelset originaalversiooni siin:

How to Set Up a Firewall on Ubuntu Server

Selles postituses olev teave põhineb Ubuntu serveril 14.04 x64. See võib teiste versioonide jaoks kehtida, kuid ei pruugi kehtida. (Värskendus: võin kinnitada, et selles postituses olev teave on Ubuntu Server 24.04 seisuga põhimõtteliselt endiselt kehtiv ja toimiv, kuid vahepealse 10 aasta jooksul on ufw muutunud mõnevõrra "targemaks", kuna tal on tavaliste serverirakenduste profiilid (näiteks saate lubada "Nginx full" selle asemel, et pordid 80 ja 443 eraldi rakenduvad ja uued tulemüürid eraldi ei lubata) kauem vajalik)

Kui ma esimest korda GNU/Linuxi (Ubuntu) serveritega alustasin, hõlmas tulemüüri seadistamine käsitsi potentsiaalselt keeruka iptablesi konfiguratsioonifaili loomist ja hooldamist. Hiljuti avastasin aga ufw , mis on lühend sõnast Uncomplicated Firewall – ja see on tõesti nii :-)

Minu Ubuntu Server 14.04 installimisel oli ufw juba installitud, kuid kui teie seda pole installitud, installige see lihtsalt hoidlatest:

sudo apt-get install ufw

UFW on tegelikult lihtsalt tööriist, mis lihtsustab iptablesi konfigureerimist – kulisside taga on ikkagi iptables ja Linuxi kerneli tulemüür, mis filtreerib, nii et ufw pole nendest vähem ega turvalisem. Kuna aga ufw muudab tulemüüri õige konfigureerimise palju lihtsamaks, võib see vähendada inimlike vigade ohtu ja on seetõttu kogenematute administraatorite jaoks turvalisem.

Kui teie server on konfigureeritud nii IPv6-ga kui ka IPv4-ga, veenduge, et see oleks lubatud ka UFW jaoks. Redigeerige faili /etc/default/ufw ja otsige rida IPV6=yes . Minu installimisel oli see juba olemas, kuid kui see pole nii või kui see ütleb ei, peaksite seda muutma

Seejärel kasutage lihtsalt käsuviiba, et lubada pordid, mida soovite avada. Kui olete oma serveriga ühenduses ssh-i kaudu, lubage ka see, vastasel juhul võib see teie ühendust häirida ja selle aktiveerimisel serverist välja lülitada – olenevalt sellest, kas teil on serverile füüsiline juurdepääs või mitte, võib see olla ebamugav ;-)

Näiteks kui kasutate ssh-d standardses pordis 22 ja konfigureerite veebiserverit, mis toetab nii krüptimata (HTTP pordis 80) kui ka krüpteeritud (HTTPS pordis 443) ühendusi, väljastate ufw konfigureerimiseks järgmised käsud:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Kui vajate rohkem reegleid, lisage need lihtsalt ülaltoodud viisil.

Kui teil on staatiline IP-aadress ja teil on vaja ssh kaudu ühendust luua ainult ühest asukohast, saate piirata ssh-ühendusi ka ühe lähteaadressiga, näiteks järgmiselt:

sudo ufw allow from 192.168.0.1 to any port 22

Loomulikult sisestage selle asemel oma IP-aadress.

Kui olete valmis, lubage ufw, sisestades:

sudo ufw enable

Ja ongi valmis! Tulemüür töötab ja käivitub automaatselt serveri taaskäivitamisel :-)

Kui teete ufw konfiguratsioonis muudatusi, peate võib-olla selle muudatuste jõustumiseks keelama ja uuesti lubama, näiteks järgmiselt:

sudo ufw disable
sudo ufw enable

Praeguse konfiguratsiooni vaatamiseks sisestage lihtsalt:

sudo ufw status

Kui ufw pole lubatud, kuvab see lihtsalt passiivse teate, vastasel juhul loetleb see praegu määratletud reeglid.