Kako postaviti vatrozid na Ubuntu poslužitelju

Objavljeno: 15. veljače 2025. u 21:37:47 UTC

Ovaj članak objašnjava i daje neke primjere o tome kako postaviti vatrozid na GNU/Linuxu pomoću ufw-a, što je skraćenica za Uncomplicated FireWall - i naziv je prikladan, to je stvarno vrlo jednostavan način da budete sigurni da nemate više otvorenih portova nego što je potrebno.

Ova je stranica strojno prevedena s engleskog kako bi bila dostupna što većem broju ljudi. Nažalost, strojno prevođenje još nije usavršena tehnologija pa se mogu pojaviti pogreške. Ako želite, izvornu englesku verziju možete pogledati ovdje:

How to Set Up a Firewall on Ubuntu Server

Informacije u ovom postu temelje se na Ubuntu poslužitelju 14.04 x64. Može, ali i ne mora vrijediti za druge verzije. (Ažuriranje: mogu potvrditi da su informacije u ovom postu u osnovi i dalje važeće i funkcionalne od Ubuntu Servera 24.04, međutim u među10 godina, ufw je postao nešto "pametniji" tako što ima profile za uobičajene poslužiteljske aplikacije (na primjer, možete omogućiti "Nginx full" umjesto portova 80 i 443 odvojeno) i onemogućavanje/omogućavanje cijelog vatrozida za primjenu novih pravila više nije potrebno)

Kad sam prvi put počeo s GNU/Linux (Ubuntu) poslužiteljima, postavljanje vatrozida uključivalo je ručno stvaranje i održavanje potencijalno složene konfiguracijske datoteke za iptables. Međutim, nedavno sam otkrio ufw , što je skraćenica za Uncomplicated Firewall – i stvarno jest :-)

Moja instalacija Ubuntu Servera 14.04 već ima instaliran ufw, ali ako vaša nema, jednostavno ga instalirajte iz repozitorija:

sudo apt-get install ufw

UFW je zapravo samo alat koji pojednostavljuje konfiguraciju iptables – iza kulisa, još uvijek su iptables i firewall Linux kernela ti koji vrše filtriranje, tako da ufw nije ni manje ni sigurniji od njih. Međutim, budući da ufw čini puno lakšim ispravno konfiguriranje vatrozida, može smanjiti rizik od ljudske pogreške i stoga je možda sigurniji za neiskusne administratore.

Ako je vaš poslužitelj konfiguriran s IPv6 kao i IPv4, provjerite je li ovo omogućeno i za UFW. Uredite datoteku /etc/default/ufw i potražite redak koji kaže IPV6=yes . Na mojoj instalaciji već je bio tamo, ali ako nije ili ako piše ne, trebali biste to urediti

Zatim jednostavno upotrijebite naredbeni redak da omogućite portove koje želite otvoriti. Ako ste povezani sa svojim poslužiteljem preko ssh-a, svakako dopustite i to ili bi to moglo poremetiti vašu vezu i možda vas zaključati sa vašeg poslužitelja kada ga aktivirate – ovisno o tome imate li fizički pristup poslužitelju ili ne, ovo može biti pomalo nezgodno ;-)

Na primjer, ako koristite ssh na standardnom portu 22 i konfigurirate web poslužitelj koji podržava i nekriptirane (HTTP na portu 80) i šifrirane (HTTPS na portu 443) veze, trebali biste izdati sljedeće naredbe za konfiguraciju ufw:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Ako trebate više pravila, jednostavno ih dodajte kao gore.

Ako imate statičku IP adresu i trebate se samo moći povezati preko ssh-a s jedne lokacije, također možete ograničiti ssh veze na jednu izvornu adresu ovako:

sudo ufw allow from 192.168.0.1 to any port 22

Naravno, umjesto toga unesite svoju IP adresu.

Kada završite, omogućite ufw unosom:

sudo ufw enable

I gotovi ste! Vatrozid radi i automatski će se pokrenuti kada ponovno pokrenete poslužitelj :-)

Ako unesete promjene u konfiguraciju ufw-a, možda ćete je morati onemogućiti i ponovno omogućiti kako biste ih primijenili, ovako:

sudo ufw disable
sudo ufw enable

Za pregled trenutne konfiguracije jednostavno unesite:

sudo ufw status

Ako ufw nije omogućen, ovo će jednostavno prikazati poruku "neaktivno", inače će prikazati popis trenutno definiranih pravila.