Како поставити заштитни зид на Убунту серверу

Објављено: 15. фебруар 2025. 21:40:05 UTC

Овај чланак објашњава и даје неке примере о томе како да подесите заштитни зид на ГНУ/Линук-у помоћу уфв-а, што је скраћеница од Унцомплицатед ФиреВалл – и назив је прикладан, заиста је веома једноставан начин да се уверите да немате више отворених портова него што је потребно.

Ова страница је машински преведена са енглеског како би била доступна што већем броју људи. Нажалост, машинско превођење још увек није усавршена технологија, тако да може доћи до грешака. Ако желите, можете погледати оригиналну енглеску верзију овде:

How to Set Up a Firewall on Ubuntu Server

Информације у овом посту су засноване на Убунту Серверу 14.04 к64. Може, али и не мора бити важеће за друге верзије. (Ажурирање: могу да потврдим да су информације у овом посту у основи још увек важеће и функционалне од Убунту Сервера 24.04, међутим у последњих 10 година, уфв је постао нешто „паметнији“ тако што је имао профиле за уобичајене серверске апликације (на пример, можете омогућити „Нгинк пун“ уместо портова 80 и 443 да се нова правила за ватру више не примењују одвојено) неопходно)

Када сам први пут почео са ГНУ/Линук (Убунту) серверима, постављање заштитног зида је укључивало ручно креирање и одржавање потенцијално сложене конфигурационе датотеке за иптаблес. Међутим, недавно сам открио уфв , што је скраћеница од Некомпликовани заштитни зид – и заиста јесте :-)

Моја инсталација Убунту Сервер 14.04 је већ имала инсталиран уфв, али ако нисте, једноставно га инсталирајте из спремишта:

sudo apt-get install ufw

УФВ је заправо само алатка која поједностављује иптаблес конфигурацију – иза кулиса, и даље је иптаблес и заштитни зид Линук кернела који врши филтрирање, тако да уфв није ни мање ни сигурнији од ових. Међутим, пошто уфв много олакшава правилно конфигурисање заштитног зида, може да смањи ризик од људске грешке и стога је вероватно безбеднији за неискусне администраторе.

Ако је ваш сервер конфигурисан са ИПв6 и ИПв4, уверите се да је ово омогућено и за УФВ. Уредите датотеку /етц/дефаулт/уфв и потражите линију која каже ИПВ6=иес . На мојој инсталацији је већ био тамо, али ако није или ако каже не, требало би да га уредите

Затим једноставно користите командну линију да бисте омогућили портове које желите да отворите. Ако сте повезани са својим сервером преко ссх-а, уверите се да сте и то дозволили или то може да поремети вашу везу и евентуално да вас закључа са сервера када га активирате – у зависности од тога да ли имате физички приступ серверу или не, ово може бити помало незгодно ;-)

На пример, ако користите ссх на стандардном порту 22 и конфигуришете веб сервер који подржава и нешифроване (ХТТП на порту 80) и шифроване (ХТТПС на порту 443) везе, издали бисте следеће команде да бисте конфигурисали уфв:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Ако вам треба још правила, једноставно их додајте као горе.

Ако имате статичку ИП адресу и треба да будете у могућности да се повежете преко ссх-а са једне локације, такође можете ограничити ссх везе на једну изворну адресу овако:

sudo ufw allow from 192.168.0.1 to any port 22

Наравно, уместо тога унесите сопствену ИП адресу.

Када завршите, омогућите уфв уносом:

sudo ufw enable

И готови сте! Заштитни зид је покренут и аутоматски ће се покренути када поново покренете сервер :-)

Ако унесете промене у уфв конфигурацију, можда ћете морати да је онемогућите и поново омогућите да бисте их применили, на следећи начин:

sudo ufw disable
sudo ufw enable

Да бисте погледали тренутну конфигурацију, једноставно унесите:

sudo ufw status

Ако уфв није омогућен, ово ће једноставно приказати „неактивну“ поруку, у супротном ће приказати листа тренутно дефинисаних правила.