آموزش نصب و کانفیگ فایروال با UFW در Debian 10

در هر سرور و سیستم متصل به شبکه اینترنت، امنیت از حساسیت بالایی برخوردار است و جز اساسی ترین تنظیمات هر سیستمی به شما می رود. UFW یا Uncomplicated Firewall رول های فایروال را برای مدیریت iptables ساده می کند زیرا در حالت عادی مدیریت iptables به ویژه برای افراد مبتدی اصلا آسان نیست به همین منظور در این مطلب از نایس استار با آموزش نصب و کانفیگ فایروال با UFW در Debian 10 در خدمت شما هستیم.

آموزش نصب و کانفیگ فایروال با UFW در Debian 10

برای شروع ابتدا با استفاده از دسترسی کاربر sudo به سرور متصل شده و با استفاده از sudo دستورات مورد نیاز را اجرا می کنیم. ابتدا دستور زیر را اجرا می کنیم تا پکیج UFW روی سرور دبیان ما نصب شود.

sudo apt update
sudo apt install ufw

با دستورات بالا ابتدا پکیج های اساسی سرور آپدیت می شوند و پس از آن ufw نصب می شود. پس از اتمام نصب می توانید با استفاده از دستور زیر وضعیت UFW را بررسی کنید.

sudo ufw status verbose

خروجی

Status: inactive

دلیل غیرفعال بودن UFW و عدم راه اندازی آن به صورت خودکار این است که دسترسی شما به سرور مسدود و قفل نشود.

لازم به ذکر است که سیاست های ufw به طور پیش فرض این است که تمام اتصالات ورودی به سرور مسدود شود اما اتصالات خروجی برقرار باشد. این بدان معناست که هر شخص یا سرویسی در خارج از سرور قصد ارتباط با سرور را داشته باشد، با اتصالی مسدود روبرو می شود مگر اینکه شما پورت یا دسترسی آن را مجاز کنید. سرویس های فعال روی سرور می توانند با اتصالات خروجی به فعالیت خود ادامه دهند.

به طور معمول هر برنامه ای دارای یک پروفایل است که شامل اطلاعات مربوط به آن برنامه می شود. اگر می خواهید فایروال را برای هر سرویس کانفیگ کنید ابتدا با دستور زیر پروفایل برنامه ها را لیست کرده و با دستور دوم اطلاعات برنامه مورد نظر خود را به دست بیاورید.

sudo ufw utf --help

در خروجی لیست برنامه ها را مشاهده می کنید.

sudo ufw app info OpenSSH

خروجی دستور بالا حاوی اطلاعات برنامه و سرویس مورد نظر ما می باشد.

تنظیم UFW برای اتصالات SSH

همانطور که توضیح دادیم UFW مانع از اتصالات ورودی به سرور می شود که این مورد شامل دسترسی SSH به سرور نیز می شود به همین منظور پیش از اینکه فایروال UFW را فعال کنیم باید دسترسی SSH را مجاز کنیم. توجه داشته باشید در صورت انجام این مرحله، پس از فعالسازی فایروال دیگر نمی توانید به سرور خود متصل شوید.

sudo ufw allow OpenSSH

خروجی

Rules updated
Rules updated (v6)

پورت پیش فرض SSH پورت 22 می باشد اما ممکن است به دلیل مسائل امنیتی پورت SSH را تغییر داده باشید که باید این پورت را به UFW معرفی کنید. برای این کار می توانید از دستوری مشابه زیر استفاده کنید و پورت را جایگزین کنید.

sudo ufw allow 8257/tcp

فعالسازی UFW

برای فعال کردن فایروال، پس از کانفیگ کردن SSH از دستور زیر استفاده کنید.

sudo ufw enable

خروجی

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

برای غیرفعال کردن UFW نیز می توانید از دستور زیر استفاده کنید.

sudo ufw disable

باز کردن پورت های مهم در سرور

برای اینکه مشکلی در عملکرد سرویس ها و برنامه های حساس روی سرور پدیدار نشود باید، این پورت های مهم را در فایروال باز کنیم تا اختلالی در عملکرد سرویس ها به وجود نیاید. در ادامه مهم ترین و رایج ترین برنامه های که در صورت استفاده باید پورت آنها را در فایروال باز کنیم را معرفی می کنیم.

باز کردن پورت HTTP

sudo ufw allow http

sudo ufw allow 80/tcp

باز کردن پورت HTTPS

sudo ufw allow https

sudo ufw allow 443/tcp

باز کردن پورت کاربردی 8080

sudo ufw allow 8080/tcp

گاهی ممکن است باز کردن یک پورت چندان کاربردی نباشد و متناسب با سرویس ها و کارکرد سرور نیاز به باز کردن یک رنج پورت در فایروال داشته باشید که می توانید از دستوری مشابه زیر استفاده کنید.

sudo ufw allow 7100:7200/tcp

sudo ufw allow 7100:7200/udp

دسترسی یه IP خاص

اگر می خواهید دسترسی یک IP مشخص با همه پورت ها را باز کنید می توانید از دستور زیر استفاده کرده و IP مورد نظر خود را جایگزین کنید.

sudo ufw allow from 1.1.1.1

اما اگر قصد دارید دسترسی یک IP خاص به یک پورت مشخص را مجاز کنید می توانید از دستوری مشابه زیر استفاده کرده و IP و پورت مورد نظر خود را جایگزین کنید.

sudo ufw allow from 1.1.1.1 to any port 22

اگر می خواهید دسترسی از subnet یک IP مشخص را باز کنید می توانید از دستور زیر استفاده کنید.

sudo ufw allow from 192.168.1.0/24 to any port 22

در صورتی که قصد دارید اتصال یک رابط شبکه مشخص را مجاز کنید نیز می توان از دستور زیر استفاده کرد.

sudo ufw allow in on eth2 to any port 3306

مسدود کردن اتصالات

همانطور که قبل تر توضیح دادیم تمام اتصالات ورودی توسط UFW مسدود می شود مگر اینکه شما آن اتصالات را باز کرده باشید. حال ممکن است پس از باز کردن یک پورت نیاز داشته باشید آن اتصال را مسدود کنید که برای اینکار می توانید از دستور زیر استفاده کنید.

sudo ufw deny from 23.24.25.0/24

یا

sudo ufw deny from 23.24.25.0/24 to any port 80

حذف Rule های فایروال ufw

اگر نیاز دارید که rule های ایجاد شده در فایروال را حذف کنید ساده ترین روش این است که ابتدا rule های ایجاد شده در فایروال را لیست کنیم.

sudo ufw status numbered

خروجی

Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 8080/tcp ALLOW IN Anywhere

حال با اجرا دستور زیر و وارد کردن عدد ابتدا هر rule می توانیم آن را حذف کنیم.

sudo ufw delete 2

در اینجا ما rule دوم که مربوط به پورت 80 بود را حذف کردیم.

به پایان آموزش نصب و کانفیگ فایروال با UFW در Debian 10 از نایس استار رسیدیم و امیدواریم موفق شده باشید فایروال UFW را روی سرور دبیان خود نصب، کانفیگ و مدیریت کنید.