



در هر سرور و سیستم متصل به شبکه اینترنت، امنیت از حساسیت بالایی برخوردار است و جز اساسی ترین تنظیمات هر سیستمی به شما می رود. UFW یا Uncomplicated Firewall رول های فایروال را برای مدیریت iptables ساده می کند زیرا در حالت عادی مدیریت iptables به ویژه برای افراد مبتدی اصلا آسان نیست به همین منظور در این مطلب از نایس استار با آموزش نصب و کانفیگ فایروال با UFW در Debian 10 در خدمت شما هستیم.
آموزش نصب و کانفیگ فایروال با UFW در Debian 10
برای شروع ابتدا با استفاده از دسترسی کاربر sudo به سرور متصل شده و با استفاده از sudo دستورات مورد نیاز را اجرا می کنیم. ابتدا دستور زیر را اجرا می کنیم تا پکیج UFW روی سرور دبیان ما نصب شود.
sudo apt update sudo apt install ufw
با دستورات بالا ابتدا پکیج های اساسی سرور آپدیت می شوند و پس از آن ufw نصب می شود. پس از اتمام نصب می توانید با استفاده از دستور زیر وضعیت UFW را بررسی کنید.
sudo ufw status verbose
خروجی
Status: inactive
دلیل غیرفعال بودن UFW و عدم راه اندازی آن به صورت خودکار این است که دسترسی شما به سرور مسدود و قفل نشود.
لازم به ذکر است که سیاست های ufw به طور پیش فرض این است که تمام اتصالات ورودی به سرور مسدود شود اما اتصالات خروجی برقرار باشد. این بدان معناست که هر شخص یا سرویسی در خارج از سرور قصد ارتباط با سرور را داشته باشد، با اتصالی مسدود روبرو می شود مگر اینکه شما پورت یا دسترسی آن را مجاز کنید. سرویس های فعال روی سرور می توانند با اتصالات خروجی به فعالیت خود ادامه دهند.
به طور معمول هر برنامه ای دارای یک پروفایل است که شامل اطلاعات مربوط به آن برنامه می شود. اگر می خواهید فایروال را برای هر سرویس کانفیگ کنید ابتدا با دستور زیر پروفایل برنامه ها را لیست کرده و با دستور دوم اطلاعات برنامه مورد نظر خود را به دست بیاورید.
sudo ufw utf --help
در خروجی لیست برنامه ها را مشاهده می کنید.
sudo ufw app info OpenSSH
خروجی دستور بالا حاوی اطلاعات برنامه و سرویس مورد نظر ما می باشد.
تنظیم UFW برای اتصالات SSH
همانطور که توضیح دادیم UFW مانع از اتصالات ورودی به سرور می شود که این مورد شامل دسترسی SSH به سرور نیز می شود به همین منظور پیش از اینکه فایروال UFW را فعال کنیم باید دسترسی SSH را مجاز کنیم. توجه داشته باشید در صورت انجام این مرحله، پس از فعالسازی فایروال دیگر نمی توانید به سرور خود متصل شوید.
sudo ufw allow OpenSSH
خروجی
Rules updated Rules updated (v6)
پورت پیش فرض SSH پورت 22 می باشد اما ممکن است به دلیل مسائل امنیتی پورت SSH را تغییر داده باشید که باید این پورت را به UFW معرفی کنید. برای این کار می توانید از دستوری مشابه زیر استفاده کنید و پورت را جایگزین کنید.
sudo ufw allow 8257/tcp
فعالسازی UFW
برای فعال کردن فایروال، پس از کانفیگ کردن SSH از دستور زیر استفاده کنید.
sudo ufw enable
خروجی
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
برای غیرفعال کردن UFW نیز می توانید از دستور زیر استفاده کنید.
sudo ufw disable
باز کردن پورت های مهم در سرور
برای اینکه مشکلی در عملکرد سرویس ها و برنامه های حساس روی سرور پدیدار نشود باید، این پورت های مهم را در فایروال باز کنیم تا اختلالی در عملکرد سرویس ها به وجود نیاید. در ادامه مهم ترین و رایج ترین برنامه های که در صورت استفاده باید پورت آنها را در فایروال باز کنیم را معرفی می کنیم.
باز کردن پورت HTTP
sudo ufw allow http
sudo ufw allow 80/tcp
باز کردن پورت HTTPS
sudo ufw allow https
sudo ufw allow 443/tcp
باز کردن پورت کاربردی 8080
sudo ufw allow 8080/tcp
گاهی ممکن است باز کردن یک پورت چندان کاربردی نباشد و متناسب با سرویس ها و کارکرد سرور نیاز به باز کردن یک رنج پورت در فایروال داشته باشید که می توانید از دستوری مشابه زیر استفاده کنید.
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
دسترسی یه IP خاص
اگر می خواهید دسترسی یک IP مشخص با همه پورت ها را باز کنید می توانید از دستور زیر استفاده کرده و IP مورد نظر خود را جایگزین کنید.
sudo ufw allow from 1.1.1.1
اما اگر قصد دارید دسترسی یک IP خاص به یک پورت مشخص را مجاز کنید می توانید از دستوری مشابه زیر استفاده کرده و IP و پورت مورد نظر خود را جایگزین کنید.
sudo ufw allow from 1.1.1.1 to any port 22
اگر می خواهید دسترسی از subnet یک IP مشخص را باز کنید می توانید از دستور زیر استفاده کنید.
sudo ufw allow from 192.168.1.0/24 to any port 22
در صورتی که قصد دارید اتصال یک رابط شبکه مشخص را مجاز کنید نیز می توان از دستور زیر استفاده کرد.
sudo ufw allow in on eth2 to any port 3306
مسدود کردن اتصالات
همانطور که قبل تر توضیح دادیم تمام اتصالات ورودی توسط UFW مسدود می شود مگر اینکه شما آن اتصالات را باز کرده باشید. حال ممکن است پس از باز کردن یک پورت نیاز داشته باشید آن اتصال را مسدود کنید که برای اینکار می توانید از دستور زیر استفاده کنید.
sudo ufw deny from 23.24.25.0/24
یا
sudo ufw deny from 23.24.25.0/24 to any port 80
حذف Rule های فایروال ufw
اگر نیاز دارید که rule های ایجاد شده در فایروال را حذف کنید ساده ترین روش این است که ابتدا rule های ایجاد شده در فایروال را لیست کنیم.
sudo ufw status numbered
خروجی
Status: active To Action From -- ------ ---- [ 1] 22/tcp ALLOW IN Anywhere [ 2] 80/tcp ALLOW IN Anywhere [ 3] 8080/tcp ALLOW IN Anywhere
حال با اجرا دستور زیر و وارد کردن عدد ابتدا هر rule می توانیم آن را حذف کنیم.
sudo ufw delete 2
در اینجا ما rule دوم که مربوط به پورت 80 بود را حذف کردیم.
به پایان آموزش نصب و کانفیگ فایروال با UFW در Debian 10 از نایس استار رسیدیم و امیدواریم موفق شده باشید فایروال UFW را روی سرور دبیان خود نصب، کانفیگ و مدیریت کنید.