Jinsi ya Kusanidi Firewall kwenye Seva ya Ubuntu
Iliyochapishwa: 15 Februari 2025, 21:35:28 UTC
Makala haya yanafafanua na kutoa baadhi ya mifano ya jinsi ya kusanidi ngome kwenye GNU/Linux kwa kutumia ufw, ambayo ni kifupi cha Uncomplicated FireWall - na jina linafaa, kwa kweli ni njia rahisi sana ya kuhakikisha kuwa huna bandari nyingi zilizofunguliwa kuliko unahitaji.
How to Set Up a Firewall on Ubuntu Server
Habari katika chapisho hili inategemea Ubuntu Server 14.04 x64. Inaweza au isiwe halali kwa matoleo mengine. (Sasisha: Ninaweza kudhibitisha kuwa habari katika chapisho hili kimsingi bado ni halali na inafanya kazi kama ya Ubuntu Server 24.04, hata hivyo katika miaka 10 ya kati, ufw imepata "nadhifu" kwa kuwa na profaili za utumizi wa seva ya kawaida (kwa mfano, unaweza kuwezesha "Nginx kamili" badala ya bandari 80 na 443 za kuzima moto zinatumika kando) na kutokuwepo kwa sheria mpya kuzima moto.
Nilipoanza kwa mara ya kwanza na seva za GNU/Linux (Ubuntu), kusanidi firewall inayohusika kuunda na kudumisha faili inayoweza kuwa ngumu ya usanidi kwa iptables. Walakini, hivi majuzi nimegundua ufw , ambayo ni fupi kwa Uncomplicated Firewall - na ni kweli :-)
Usanikishaji wangu wa Ubuntu Server 14.04 tayari ulikuwa na ufw iliyosanikishwa, lakini ikiwa haifanyi hivyo, isakinishe tu kutoka kwa hazina:
UFW kwa kweli ni zana inayorahisisha usanidi wa iptables - nyuma ya pazia, bado ni iptables na firewall ya Linux kernel ambayo huchuja, kwa hivyo ufw sio chini au salama zaidi kuliko hizi. Hata hivyo, kwa sababu ufw hurahisisha zaidi kusanidi ngome ipasavyo, inaweza kupunguza hatari ya hitilafu ya kibinadamu na kwa hivyo kuna uwezekano wa kuwa salama zaidi kwa wasimamizi wasio na uzoefu.
Ikiwa seva yako imesanidiwa na IPv6 na IPv4, hakikisha kuwa hii imewashwa kwa UFW pia. Hariri faili /etc/default/ufw na utafute mstari unaosema IPV6=yes . Kwenye usakinishaji wangu ilikuwa tayari ipo, lakini ikiwa haipo au ikisema hapana, unapaswa kuihariri
Kisha tumia haraka ya amri kuwezesha bandari unazotaka kufunguliwa. Ikiwa umeunganishwa kwenye seva yako kupitia ssh, hakikisha unairuhusu hiyo pia au inaweza kutatiza muunganisho wako na ikiwezekana kukufungia nje ya seva yako unapoiwasha - kulingana na kama una ufikiaji wa kimwili kwa seva au la, hii inaweza kuwa ngumu ;-)
Kwa mfano, ikiwa unatumia ssh kwenye mlango wa kawaida wa 22 na unasanidi seva ya wavuti inayoauni miunganisho isiyosimbwa (HTTP kwenye bandari 80) na iliyosimbwa (HTTPS kwenye bandari 443), utatoa amri zifuatazo ili kusanidi ufw:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Ikiwa unahitaji sheria zaidi, ziongeze kama ilivyo hapo juu.
Ikiwa unayo anwani ya IP tuli na unahitaji tu kuweza kuunganishwa kupitia ssh kutoka eneo moja, unaweza pia kuzuia miunganisho ya ssh kwa anwani moja asili kama hii:
Bila shaka, ingiza anwani yako ya IP badala yake.
Ukimaliza, wezesha ufw kwa kuingiza:
Na umemaliza! Firewall inafanya kazi na itaanza kiotomatiki ukiwasha tena seva yako :-)
Ukifanya mabadiliko kwenye usanidi wa ufw, unaweza kuhitaji kuzima na kuiwasha tena ili kuyafanya yaanze kutumika, kama hii:
sudo ufw enable
Kuangalia usanidi wa sasa, ingiza tu:
Ikiwa ufw haijawezeshwa, hii itaonyesha tu ujumbe "usiofanya kazi", vinginevyo itaorodhesha sheria zilizofafanuliwa kwa sasa.