Hvernig á að setja upp eldvegg á Ubuntu Server

Birt: 19. mars 2025 kl. 21:29:15 UTC
Síðast uppfært: 19. mars 2025 kl. 22:07:56 UTC

Þessi grein útskýrir og gefur nokkur dæmi um hvernig á að setja upp eldvegg á GNU/Linux með því að nota ufw, sem er stytting á Uncomplicated FireWall - og nafnið er viðeigandi, það er í raun mjög auðveld leið til að tryggja að þú hafir ekki fleiri port opin en þú þarft.

Þessi síða var vélþýdd úr ensku til að gera hana aðgengilega sem flestum. Því miður er vélþýðing ekki enn fullkomin tækni, svo villur geta komið upp. Ef þú vilt geturðu skoðað upprunalegu ensku útgáfuna hér:

How to Set Up a Firewall on Ubuntu Server

Upplýsingarnar í þessari færslu eru byggðar á Ubuntu Server 14.04 x64. Það kann að vera að þær séu ekki gildar fyrir aðrar útgáfur. (Uppfærsla: Ég get staðfest að upplýsingarnar í þessari færslu séu í raun enn í gildi og virki með Ubuntu Server 24.04, þó svo að í þeim 10 árum sem liðin eru hafi ufw orðið nokkuð "vitur" með því að bæta við prófílum fyrir algengar þjónustuforrit (til dæmis getur þú virkjað "Nginx full" í stað þess að opna port 80 og 443 sérstaklega) og það er ekki lengur nauðsynlegt að slökkva á/vakna eldvegginn til að fá nýjar reglur til að gilda)

Þegar ég byrjaði fyrst með GNU/Linux (Ubuntu) þjónusverum, þá þurfti að stilla eldvegg með því að búa til og viðhalda mögulega flóknum stillingarskrám fyrir iptables. Ég hef hins vegar nýlega uppgötvað ufw, sem stendur fyrir Uncomplicated Firewall – og það er sannarlega það :-)

Ég hafði þegar sett upp Ubuntu Server 14.04 með ufw, en ef það er ekki á þínum þjónn, einfaldlega settu það upp frá geymslunum:

sudo apt-get install ufw

UFW er í raun bara tæki sem einfaldar iptables stillingarnar – á bakvið tjöldin er það enn iptables og eldveggurinn í Linux kjarna sem sér um síunina, þannig að ufw er hvorki minna né meira öruggt en þessi tól. Hins vegar, vegna þess að ufw gerir það miklu auðveldara að stilla eldvegg rétt, þá getur það minnkað líkur á mannlegum villum og er því hugsanlega öruggara fyrir óreynda stjórnendur.

Ef þjónninn þinn er stilltur með IPv6 auk IPv4, passaðu að þetta sé einnig virkjað fyrir UFW. Breyttu skráinni /etc/default/ufw og leitaðu að línu sem segir IPV6=yes. Á minni uppsetningu var það þegar til staðar, en ef það er ekki eða ef það segir nei, þá ættir þú að breyta því.

Notaðu svo bara skipanalínuna til að virkja þau port sem þú vilt opna. Ef þú ert tengdur við þjóninn þinn í gegnum ssh, passaðu að leyfa það líka eða það getur rofið tenginguna þína og mögulega lokað þér úti úr þjóninum þegar þú virkjar það – háð því hvort þú hafir líkamlega aðgang að þjóninum eða ekki, þá gæti það verið nokkuð óþægilegt ;-)

Til dæmis, ef þú notar ssh á staðlaða portinu 22 og þú ert að stilla vefþjón sem styður bæði ókrypteraðar (HTTP á porti 80) og krypteraðar (HTTPS á porti 443) tengingar, þá myndir þú gefa eftirfarandi skipanir til að stilla ufw:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Ef þú þarft fleiri reglur, bættu þeim einfaldlega við eins og hér að ofan.

Ef þú hefur fasta IP-tölu og þarft aðeins að geta tengst í gegnum ssh frá einni staðsetningu, getur þú einnig takmarkað ssh tengingar við eina upprunalega heimilisfang eins og þetta:

sudo ufw allow from 192.168.0.1 to any port 22

Auðvitað, sláðu inn eigin IP-tölu í staðinn.

Þegar þú ert búinn, virkjaðu ufw með því að slá inn:

sudo ufw enable

Og þú ert búinn! Eldveggurinn er að keyra og mun sjálfkrafa hefjast þegar þú endurræsir þjóninn þinn :-)

Ef þú gerir breytingar á ufw stillingunum, þá þarftu mögulega að slökkva á og virkja það aftur til að þær öðlist gildi, eins og þetta:

sudo ufw disable
sudo ufw enable

Til að skoða núverandi stillingar, sláðu bara inn:

sudo ufw status

Ef ufw er ekki virkjað, mun þetta einfaldlega sýna "óvirkt" skilaboð, annars mun það sýna núverandi skilgreindar reglur.