Як налаштувати простий брандмауер на Ubuntu?

Чи може хтось надати кілька простих кроків із прикладу конфігурації, як налаштувати простий брандмауер на Ubuntu (використовуючи лише консоль)? Потрібно дозволити доступ лише до ssh, http та https.

sudo ufw за замовчуванням відмовити

sudo ufw дозволити http

sudo ufw дозволяють https

sudo ufw дозволяють ssh

sudo ufw enable

Скористайтеся цим сценарієм.

Просто вирішіть, чи хочете ви дозволити вхідний ICMP (ping) чи ні.

# Clear any existing firewall stuff before we start
iptables --flush
iptables -t nat --flush
iptables -t mangle --flush

# As the default policies, drop all incoming traffic but allow all
# outgoing traffic.  This will allow us to make outgoing connections
# from any port, but will only allow incoming connections on the ports
# specified below.
iptables --policy INPUT DROP
iptables --policy OUTPUT ACCEPT

# Allow all incoming traffic if it is coming from the local loopback device
iptables -A INPUT -i lo -j ACCEPT

# Accept all incoming traffic associated with an established
# connection, or a "related" connection
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow incoming connections
# SSH
iptables -A INPUT -p tcp -i eth0 --dport 22 -m state --state NEW -j ACCEPT
# HTTP
iptables -A INPUT -p tcp -i eth0 --dport 80 -m state --state NEW -j ACCEPT
# HTTPS
iptables -A INPUT -p tcp -i eth0 --dport 443 -m state --state NEW -j ACCEPT

# Allow icmp input so that people can ping us
iptables -A INPUT -p icmp -j ACCEPT

# Reject all other incoming packets
iptables -A INPUT -j REJECT

Як зазначається в коментарях до іншої відповіді, ви не хочете втрачати з'єднання, перш ніж дозволити ssh-порт. На чоловіковій сторінці:

"ВИДАЛЕННЯ ВІДДАЛЕННЯ

Під час запуску ufw enable або запуску ufw за допомогою свого initscript, ufw буде промивати ланцюги. Це потрібно, щоб ufw могло підтримувати послідовний стан, але воно може перервати існуючі з'єднання (наприклад, ssh). ufw підтримує додавання правил перед включенням брандмауера, тому адміністратори можуть робити:

ufw allow proto tcp from any to any port 22

перед запуском "ufw enable". Правила все ще будуть стиратися, але ssh порт буде відкритий після включення брандмауера. Зауважте, що після того, як ufw увімкнено, ufw не буде змивати ланцюги при додаванні або видаленні правил (але буде при зміні правила або зміні політики за замовчуванням).

Отже, ось підхід, який використовує сценарій для його встановлення. Ви вийдете із системи під час запуску цього сценарію, але запустивши його, ви зможете знову увійти через ssh.

Помістіть наступне в сценарій і назвіть його start-firewall.sh

#!/bin/sh
ufw allow ssh
ufw enable
ufw default deny
ufw allow http
ufw allow https

А потім зробіть його виконуваним і запустіть його

$ chmod + x start-firewall.sh
$ sudo ./start-firewall.sh

Щоб дізнатися більше, прочитайте сторінку чоловіка .

Якщо ви ознайомитесь із сценарієм iptables, ви будете мати повний контроль над усіма можливостями брандмауера. Він ніде не такий дружній, як Firestarter, але це можна зробити за консоллю з nano/ viредакторами. Перегляньте цей підручник, спрямований на Ubuntu.

Швидкі таблиці допомогли мені вивчити правила iptables. Просто запустіть скрипт, і він генерує сценарій iptables для вас ... тоді ви можете відкрити його та переглянути пов’язані команди, згенеровані запитаннями, які він задав вам. Це чудовий навчальний ресурс.

На жаль, він більше не підтримується.

http://qtables.radom.org/

Мені дуже подобається використовувати firehol ( пакет ).

Щоб створити потрібні правила налаштування, вам потрібно буде відредагувати файл / etc / default / firehol та змінити START_FIREHOL = ТАК

І ви хочете, щоб ваш /etc/firehol/firehol.conf виглядав так.

version 5

interface any IfAll
    client any AnyClient accept
    server "ssh http https" accept
    # Accept everything from trusted networks
    server anystateless AllInside accept src "10.3.27.0/24"

Однією з чудових речей про firehol є команда "спробувати". Ви можете налаштувати файл конфігурації та зробити "спробу firehol", якщо ви там, де підключено через ssh, і щось із приводу того, що ви змінили, знищив доступ до вашої мережі, тоді firehol відновить зміни. Щоб зміни фактично набули чинності, потрібно сказати, що здійснюються.

Я вважаю за краще Шорволл . Це легко в налаштуванні, але одночасно гнучко.

Можливо, варто поглянути на http://iptables-tutorial.frozentux.net/iptables-tutorial.html . Також ви можете знайти більше інформації на lartc.org

sudo apt-get install firestarter

Потім загляньте в меню Система-> Адміністрація.