Како да поставите заштитен ѕид на серверот Ubuntu
Објавено: 5 март 2025, во 19:55:18 UTC
Оваа статија објаснува и дава неколку примери за тоа како да поставите заштитен ѕид на GNU/Linux користејќи ufw, што е кратенка за Некомплициран огнен ѕид - и името е соодветно, навистина е многу лесен начин да бидете сигурни дека немате отворени повеќе порти отколку што треба.
How to Set Up a Firewall on Ubuntu Server
Информациите во овој пост се засноваат на Ubuntu Server 14.04 x64. Може или не може да важи за други верзии. (Ажурирање: Можам да потврдам дека информациите во оваа објава се во основа сè уште валидни и функционални од Ubuntu Server 24.04, но во последните 10 години, ufw стана нешто „попаметно“ со тоа што има профили за заеднички серверски апликации (на пример, можете да овозможите „Nginx full“ наместо портите 80 и да ги исклучите сите нови правила) примената повеќе не е потребна)
Кога првпат започнав со GNU/Linux (Ubuntu) сервери, поставувањето заштитен ѕид вклучуваше рачно создавање и одржување на потенцијално сложена конфигурациска датотека за iptables. Сепак, неодамна го открив ufw , што е кратенка за Некомплициран заштитен ѕид - и навистина е :-)
Мојата инсталација на Ubuntu Server 14.04 веќе имаше инсталирано ufw, но ако не го имате, едноставно инсталирајте го од складиштата:
UFW е всушност само алатка која ја поедноставува конфигурацијата на iptables - зад сцената, сè уште е iptables и заштитниот ѕид на Linux кернелот што го прави филтрирањето, така што ufw не е ниту помалку, ниту посигурен од овие. Меѓутоа, бидејќи ufw многу го олеснува правилното конфигурирање на заштитен ѕид, може да го намали ризикот од човечка грешка и затоа е веројатно побезбеден за неискусните администратори.
Ако вашиот сервер е конфигуриран со IPv6, како и со IPv4, проверете дали ова е овозможено и за UFW. Уредете ја датотеката /etc/default/ufw и побарајте линија која вели IPV6=да . На мојата инсталација веќе беше таму, но ако не е или ако вели не, треба да го уредите
Потоа едноставно користете ја командната линија за да ги овозможите портите што сакате да ги отворите. Ако сте поврзани со вашиот сервер преку ssh, погрижете се да го дозволите и тоа или може да ја наруши вашата врска и евентуално да ве заклучи надвор од вашиот сервер кога ќе го активирате - во зависност од тоа дали имате физички пристап до серверот или не, ова може да биде малку незгодно ;-)
На пример, ако користите ssh на стандардната порта 22 и конфигурирате веб-сервер кој поддржува и нешифрирани (HTTP на порта 80) и шифрирани (HTTPS на портата 443) конекции, ќе ги издадете следните команди за конфигурирање на ufw:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Ако ви требаат повеќе правила, едноставно додајте ги како погоре.
Ако имате статична IP адреса и треба само да можете да се поврзете преку ssh од една локација, можете исто така да ги ограничите ssh врските на една адреса на потекло како ова:
Се разбира, наместо тоа, внесете ја вашата сопствена IP адреса.
Кога ќе завршите, овозможете ufw со внесување:
И завршивте! Заштитниот ѕид работи и автоматски ќе се вклучи кога ќе го рестартирате серверот :-)
Ако направите промени во конфигурацијата ufw, можеби ќе треба да ја оневозможите и повторно да ја овозможите за да ги ставите во сила, вака:
sudo ufw enable
За да ја погледнете моменталната конфигурација, едноставно внесете:
Ако ufw не е овозможено, ова едноставно ќе прикаже „неактивна“ порака, во спротивно ќе ги наведе моментално дефинираните правила.