షట్టర్‌స్టాక్ / అనటోలిర్

UFW, “సంక్లిష్టమైన ఫైర్‌వాల్” కోసం చిన్నది, ఇది మరింత సంక్లిష్టమైన వాటికి ఫ్రంటెండ్ iptables వినియోగ. పోర్ట్‌లను తెరిచి మూసివేయడం మరియు అనుమతించబడిన ట్రాఫిక్‌ను నియంత్రించడం వంటి ఫైర్‌వాల్ నిర్వహణను సులభతరం చేయడానికి ఇది రూపొందించబడింది.

UFW కాన్ఫిగరేషన్

UFW డిఫాల్ట్‌గా ఉబుంటులో ఇన్‌స్టాల్ చేయబడింది, అయితే అది కాకపోతే మీరు దీన్ని ఇన్‌స్టాల్ చేయవచ్చు apt:

sudo apt-get install ufw

మీరు మరొక పంపిణీని నడుపుతున్నట్లయితే, మీరు ఆ పంపిణీ యొక్క ప్యాకేజీ నిర్వాహికిని ఉపయోగించాల్సి ఉంటుంది, కానీ UFW విస్తృతంగా అందుబాటులో ఉంది. మీరు వీటితో ఫైర్‌వాల్ స్థితిని తనిఖీ చేయవచ్చు:

sudo ufw status

మీరు ఇంతకు ముందు కాన్ఫిగర్ చేయకపోతే అది “క్రియారహితంగా” ఉండాలి.

ఏదైనా ఫైర్‌వాల్‌తో ప్రారంభించడానికి మంచి ప్రదేశం అన్ని ఇన్‌బౌండ్ ట్రాఫిక్‌లను ఆపివేసి, అవుట్‌బౌండ్ ట్రాఫిక్‌ను అనుమతించడం. చింతించకండి, ఫైర్‌వాల్ ఇంకా ప్రారంభించబడనందున ఇది మీ SSH కనెక్షన్‌ను వెంటనే తగ్గించదు.

sudo ufw default deny incoming
sudo ufw default allow outgoing

ఇది పని చేయడానికి మరియు పైన నియమాలను జోడించడానికి మాకు క్లీన్ స్లేట్ ఇస్తుంది.

UFW తో తలుపు తెరవడం

తలుపులు తెరవడానికి, ఆదేశాన్ని ఉపయోగించండి ufw allow. ఉదాహరణకు, మీరు తలుపు 22 తెరవాలి, కాబట్టి ముందుకు సాగండి:

sudo ufw allow 22

నియమాన్ని జోడించేటప్పుడు మీరు మీ కోసం ఒక గమనికను కూడా ఉంచవచ్చు:

sudo ufw allow 8080/tcp comment 'Open port for Express API'

చాలా అనువర్తనాలు UFW కోసం ప్రొఫైల్‌లను ఇన్‌స్టాల్ చేస్తాయి, వాటిలో SSH ఒకటి. కాబట్టి మీరు కొన్ని అనువర్తనాలను పేరును పేర్కొనడం ద్వారా అవసరమైన పోర్టులను తెరవడానికి కూడా అనుమతించవచ్చు:

sudo ufw allow ssh

మీరు అందుబాటులో ఉన్న అనువర్తనాల జాబితాను చూడవచ్చు ufw app listమరియు ఒక అప్లికేషన్ గురించి వివరాలను చూడండి ufw app info [name].

పెద్దప్రేగును సెపరేటర్‌గా ఉపయోగించడం ద్వారా మీరు మొత్తం శ్రేణి పోర్ట్‌లను కూడా అనుమతించవచ్చు మరియు మీరు ప్రోటోకాల్‌ను పేర్కొనవచ్చు. ఉదాహరణకు, 3000 నుండి 3100 పోర్టులలో TCP ట్రాఫిక్‌ను మాత్రమే అనుమతించడానికి, మీరు వీటిని చేయవచ్చు:

sudo ufw allow 3000:3100/tcp

డిఫాల్ట్ ఎంట్రీని తిరస్కరించినందున, మీరు ఏ తలుపులను మానవీయంగా మూసివేయవలసిన అవసరం లేదు. మీరు అవుట్గోయింగ్ తలుపును మూసివేయాలనుకుంటే, మీరు దాని ప్రక్కన ఒక దిశను పేర్కొనాలి ufw reject:

sudo ufw reject out 3001

యుఎఫ్‌డబ్ల్యుతో వైట్‌లిస్టింగ్ మరియు రేట్ పరిమితి

మీరు కొన్ని IP చిరునామాలకు వేర్వేరు అనుమతులను కలిగి ఉండటానికి అనుమతించవచ్చు. ఉదాహరణకు, మీ IP చిరునామా నుండి అన్ని ట్రాఫిక్‌ను అనుమతించడానికి, మీరు అమలు చేయవచ్చు:

sudo ufw allow 192.168.1.1

నిర్దిష్ట పోర్ట్‌లను ప్రామాణీకరించడానికి, మీరు చాలా పూర్తి వాక్యనిర్మాణాన్ని ఉపయోగించాల్సి ఉంటుంది:

sudo ufw allow proto tcp from 192.168.1.1 to any port 22

ఐపి చిరునామాలు చాలా తరచుగా మారుతున్నందున, మీకు బ్యాకప్ కనెక్షన్ లేదా ఒక విధమైన పోర్ట్ అన్‌బ్లాక్ సెటప్ ఉంటే తప్ప మీరు ఈ విధంగా SSH ప్రాప్యతను దాటవేయలేరు. మీరు SSH ప్రాప్యతను మీకు మాత్రమే పరిమితం చేయాలనుకుంటే ఒక ఎంపిక అదే ప్రైవేట్ క్లౌడ్‌లో OpenVPN సర్వర్‌ను సెటప్ చేయడం మరియు ఆ సర్వర్‌కు ప్రాప్యతను ప్రామాణీకరించడం.

వర్చువల్ ప్రైవేట్ క్లౌడ్ ప్రొవైడర్ ద్వారా మీరు మీ సర్వర్‌లను నిర్వహించేటప్పుడు, మీరు మొత్తం IP చిరునామాలకు అధికారం ఇవ్వాలనుకుంటే, మీరు ప్రామాణిక CIDR సబ్‌నెట్ సంజ్ఞామానాన్ని ఉపయోగించవచ్చు:

sudo ufw allow 192.168.0.0/24

సబ్‌నెట్‌లు చాలా క్లిష్టంగా ఉంటాయి, కాబట్టి మీరు మరింత తెలుసుకోవడానికి వారితో పనిచేయడానికి మా గైడ్‌ను చదవవచ్చు.

రేట్ థ్రోట్లింగ్ అనేది ఫైర్‌వాల్‌ల యొక్క మరొక ఉపయోగకరమైన లక్షణం, ఇది స్పష్టంగా దుర్వినియోగమైన కనెక్షన్‌లను నిరోధించగలదు. SSH పోర్టును బలవంతంగా తెరిచేందుకు ప్రయత్నిస్తున్న దాడి చేసేవారి నుండి రక్షించడానికి ఇది ఉపయోగించబడుతుంది. వాస్తవానికి, పోర్టును పూర్తిగా రక్షించడానికి మీరు వైట్‌లిస్ట్ చేయవచ్చు, కానీ థ్రోట్లింగ్ ఇప్పటికీ ఉపయోగపడుతుంది. అప్రమేయంగా, UFW వేగం ప్రతి 30 సెకన్లకు 6 కనెక్షన్‌లను పరిమితం చేస్తుంది మరియు ఇది SSH కోసం ఉపయోగించడానికి ఉద్దేశించబడింది:

sudo ufw limit ssh

UFW ని సక్రియం చేయండి

మీరు నియమాలను కాన్ఫిగర్ చేసిన తర్వాత, మీరు UFW ని ప్రారంభించవచ్చు. పోర్ట్ 22 లోని SSH తెరిచి ఉందని నిర్ధారించుకోండిలేదా మీరు మీరే మూసివేస్తారు. మీరు కోరుకుంటే, మీరు ప్రారంభంలో అమలు చేయకుండా UFW ని నిలిపివేయవచ్చు, తద్వారా రీసెట్ ఏదైనా సమస్యలను పరిష్కరిస్తుంది:

sudo systemctl disable ufw

కాబట్టి, మీరు వీటితో UFW ని ప్రారంభించవచ్చు:

sudo ufw enable

ఆశాజనక, మీరు అమలు చేయవచ్చు ufw status ఫైర్‌వాల్ యొక్క ప్రస్తుత స్థితిని వీక్షించడానికి. మీరు లాక్ అవుట్ కాకపోతే మరియు ఫైర్‌వాల్ రన్ అవుతుంటే, దీన్ని ప్రారంభంలో అమలు చేయడానికి సెట్ చేయండి:

sudo systemctl enable ufw

మీరు మార్పులు చేసినప్పుడు, మీరు వీటితో ఫైర్‌వాల్‌ను మళ్లీ లోడ్ చేయాలి:

sudo ufw reload

కనెక్షన్‌లను లాగిన్ చేయడానికి మీరు లాగింగ్‌ను కూడా ప్రారంభించవచ్చు /var/log/:

sudo ufw logging on

నిబంధనల నిర్వహణ మరియు తొలగింపు

మీరు ఒక నియమాన్ని తొలగించాలనుకుంటే, మీరు దీని సంఖ్యను దీనితో పొందాలి:

sudo ufw status numbered

సంఖ్యలు 1 నుండి ప్రారంభమవుతాయని గమనించండి, 0 కాదు. మీరు సంఖ్యను బట్టి ఒక నియమాన్ని తొలగించవచ్చు:

sudo ufw delete [number]

మళ్ళీ, పోర్ట్ 22 ను తెరిచి ఉంచడం ద్వారా మీరు నియమాన్ని తొలగించలేదని నిర్ధారించుకోండి.మీరు ఉపయోగించవచ్చు --dry-run ధృవీకరణ కోసం UFW మిమ్మల్ని అడగడానికి పరామితి:

మీరు ఏమైనా మార్పులు చేస్తే, మీరు మళ్లీ ఫైర్‌వాల్‌ను మళ్లీ లోడ్ చేయాలి.

Source link