วิธีกำหนดค่า UFW Firewall ใน Linux

UFW ย่อมาจาก Uncomplic Firewall Firewall ไม่ใช่อูบุนตูไฟร์วอลล์อย่างที่หลายคนเชื่อ ชื่อนี้สะท้อนถึงข้อเท็จจริงที่ว่าการกำหนดค่าทำได้ง่าย ผู้ใช้ส่วนใหญ่จะต้องตั้งค่าตัวเลือกสามตัวอักษรก่อนที่จะปลอดภัย ผู้ที่ต้องการตั้งค่าตัวเลือกการกำหนดค่าขั้นสูงบางอย่างจะไม่ต้องทำมากกว่าการแก้ไขไฟล์ข้อความ ในขณะที่นักพัฒนาซอฟต์แวร์โครงการอูบุนตูได้ออกแบบซอฟต์แวร์ไฟร์วอลล์ชิ้นนี้ไว้แล้ว ufw ยังมีอยู่ในการแจกจ่ายอื่นอีกด้วย ผู้ใช้ Debian, Arch, Linux Mint, Lubuntu และ Xubuntu มีแนวโน้มว่าจะติดตั้งแล้ว

ปัญหาคือมีเพียงไม่กี่คนที่เปิดใช้งาน ในขณะที่ผู้ใช้ไม่จำเป็นต้องทำงานกับ iptables โดยตรงอูบุนตูบังคับให้ตั้งค่าเริ่มต้นเป็นสถานะปิด implementations หลาย Debian ไม่ได้มีแพคเกจติดตั้งโดยค่าเริ่มต้น ข่าวดีก็คือทุกคนที่มีประสบการณ์น้อยสุดอาจทำให้ระบบของพวกเขาแข็งตัวได้

วิธีที่ 1: เปิด UFW จาก Command Prompt

สมมติว่าคุณมีแพคเกจ ufw ติดตั้งไว้ก่อนที่คุณจะพยายามติดตั้งแยกต่างหาก เรียกใช้คำสั่งเหล่านี้ก่อนสิ่งอื่น ๆ หากคุณพบข้อผิดพลาดใด ๆ ในช่วงครึ่งทางจากนั้นคุณสามารถกลับไปติดตั้งแพคเกจ ufw ได้ในภายหลังโดยไม่มีปัญหาใด ๆ

ถ้าคุณกำลังทำงานจากบัญชีผู้ใช้มาตรฐานให้เรียกใช้ sudo ufw enable และพิมพ์รหัสผ่านผู้ดูแลระบบของคุณหากได้รับพร้อมท์ คุณควรจะบอกว่า ufw ถูกเปิดใช้งานและจะทำงานโดยอัตโนมัติเมื่อเริ่มต้น เรียกใช้ สถานะ sudo ufw ต่อไปเพียงเพื่อให้แน่ใจ คุณควรจะได้รับบรรทัดเดียวของการส่งออกที่อ่านสถานะ: ใช้งานกับอะไรหลังจากที่มัน

ในทางกลับกันคุณอาจได้รับแจ้งว่า ufw ไม่ได้ติดตั้ง ผู้ใช้ apt-based distribution เช่น Debian ควรรัน sudo apt-get install ufw คุณอาจต้องการเรียกใช้ sudo apt-get update จากนั้นจึง อัพเกรด sudo apt-get เพื่อให้แน่ใจว่าแพคเกจอื่น ๆ ของคุณมีความถูกต้องเมื่อติดตั้ง ผู้ใช้ Arch Linux จะต้องเรียกใช้ sudo pacman -Syu ถ้าต้องการรับแพ็คเกจตามลำดับแล้ว sudo pacman -S ufw เพื่อติดตั้ง ufw แต่ผู้ใช้ทุกคนจะสามารถดำเนินการต่อได้ตามปกติหลังจากนั้น ทำตามขั้นตอนข้างต้นและตรวจสอบให้แน่ใจว่าการเรียกใช้ sudo ufw enable จะส่งคืน สถานะ: active line

วิธีที่ 2: การส่ง UFW ชุดกฎพื้นฐาน

เครื่องมือไฟร์วอลล์ใช้ชุดของกฎเพื่อตรวจสอบว่าจะรับแพคเก็ตที่ส่งไปยังคอมพิวเตอร์ของคุณผ่านเครือข่ายหรือไม่ คุณเกือบจะต้องการเรียกใช้คำสั่งสองคำสั่งต่อไปนี้:

sudo ufw default อนุญาตให้ส่งออก

sudo ufw default ปฏิเสธการเข้า

เพื่อให้แน่ใจว่า ufw จะช่วยให้คุณสามารถส่งข้อมูลขาออกไปยังการ์ดเชื่อมต่อเครือข่ายของคุณซึ่งเป็นสิ่งสำคัญหากคุณทำงานออนไลน์แบบใด ๆ ธรรมชาติคุณไม่ควรพิจารณาคำขอที่ส่งออกใด ๆ ที่เป็นอันตราย นอกจากนี้คำร้องขอดังกล่าวยังห้ามไม่ให้มีการกระทำใด ๆ ซึ่งเป็นการตั้งค่าที่ถูกต้องสำหรับผู้ใช้ที่อยู่อาศัยและธุรกิจเกือบทั้งหมด แม้แต่นักเล่นเกมส่วนใหญ่ที่เล่นเกม FPS ออนไลน์ที่เข้มข้นไม่ควรต้องการอะไรมากกว่านี้ คนส่วนใหญ่สามารถหยุดได้ที่นี่ตราบใดที่การเรียกใช้สถานะ sudo ufw ยังคงส่งกลับข้อความที่เปิดใช้งานแม้กระทั่งหลังจากที่คุณรีบูตเครื่อง มีกระบวนการอื่น ๆ อีกมากมาย ผู้ใช้ที่มีเป้าหมาย ssh หรือเป้าหมายเครือข่ายขั้นสูงจำเป็นต้องดำเนินการต่อ

วิธีที่ 3: ตัวเลือกการกำหนดค่า UFW ขั้นสูง

ผู้ใช้ส่วนใหญ่ไม่จำเป็นต้องอ่านต่อมา แต่กฎเหล่านี้อาจเป็นประโยชน์สำหรับบางคน ตัวอย่างเช่นถ้าคุณต้องการอนุญาตการเชื่อมต่อ tcp บนพอร์ต 80 ทั่วไปที่คุณสามารถใช้งานได้:

sudo ufw อนุญาต 80 / tcp

นอกจากนี้คุณยังสามารถใช้ sudo ufw อนุญาตจาก ###. ##. ##. ## / ## โดยมีที่อยู่ IP จริงและหมายเลข subnet จริงหลังจากเครื่องหมายสแลช โปรดจำไว้ว่า 80 เป็นจำนวนที่ถูกต้องสำหรับการใช้งานนี้ถ้าคุณต้องการดำเนินการเชื่อมต่อเครือข่าย การใช้บางอย่างเช่น sudo ufw อนุญาตให้ http / tcp มีความถูกต้องและอาจจำเป็นในสถานการณ์ของเซิร์ฟเวอร์ แต่สิ่งนี้เริ่มเปิดกว้างขึ้นเพื่อหนอนเวิร์มให้มากที่สุดเท่าที่จะอนุญาตการเชื่อมต่อประเภทต่างๆได้

หนึ่งในการตั้งค่าที่เป็นที่นิยมมากคือ sudo ufw allow 22 ซึ่งจะเปิดพอร์ตสำหรับการเชื่อมต่อ ssh ผู้ใช้บางคนใช้คำว่า sudo ufw อนุญาต ssh ซึ่งทำงานได้ดีเช่นกัน แม้ว่าคำแนะนำบางคำอาจแนะนำให้คุณเพิ่มทั้งสองบรรทัด แต่สิ่งนี้ไม่จำเป็นในกรณีส่วนใหญ่และอาจทำให้เกิดค่าใช้จ่ายที่ไม่จำเป็นในตอนท้าย

PRO TIP: หากปัญหาเกิดขึ้นกับคอมพิวเตอร์หรือแล็ปท็อป / โน้ตบุ๊คคุณควรลองใช้ซอฟต์แวร์ Reimage Plus ซึ่งสามารถสแกนที่เก็บข้อมูลและแทนที่ไฟล์ที่เสียหายได้ วิธีนี้ใช้ได้ผลในกรณีส่วนใหญ่เนื่องจากปัญหาเกิดจากความเสียหายของระบบ คุณสามารถดาวน์โหลด Reimage Plus โดยคลิกที่นี่

เมื่อคุณต้องการลบกฎของคุณในอนาคตคุณสามารถเรียกใช้ sudo ufw delete ตามด้วยชื่อกฎ ตัวอย่างเช่น sudo ufw delete อนุญาตให้ 80 / tcp จะปิดหนึ่งในตัวอย่างที่เราทำไว้ข้างต้น

ตอนนี้เมื่อคุณเรียกใช้ sudo ufw verbose สถานะ คุณอาจเห็นตารางที่สมบูรณ์มากขึ้นถ้าคุณได้สร้างกฎเพิ่มเติม หากคุณต้องการปิดการใช้งานไฟร์วอลล์ในอนาคตคุณสามารถเรียกใช้ sudo ufw disable ได้ แต่มีสถานการณ์น้อยมากที่คุณต้องทำเช่นนี้

บางครั้งคุณอาจพบว่าคุณได้รับข้อผิดพลาดหมดเวลาเกตเวย์ 504 ถ้าคุณใช้ ufw ในลักษณะนี้เพื่อปกป้องเซิร์ฟเวอร์ การเปลี่ยนแปลงลำดับของกฎบางอย่างอาจช่วยได้ในกรณีนี้ ต้องมีการป้อนกฎก่อนที่จะปฏิเสธกฎเนื่องจาก ufw มักมองหาการจับคู่ครั้งแรกเมื่อแยกวิเคราะห์รายการของคุณด้วยเหตุผลด้านความปลอดภัย การลบคู่กฎและการเพิ่มกลับโดยการพิมพ์ ค่าเริ่มต้น sudo ufw default ให้ แก้ไขปัญหานี้ก่อน คุณอาจต้องการลบบรรทัดใด ๆ ที่ซ้ำกันเพื่อเพิ่มประสิทธิภาพด้วย

เรียกใช้ sudo ufw verbose และให้ความใส่ใจกับคำสั่งของ DENY IN และ ALLOW IN ที่เข้ามาถ้าคุณมีบางอย่างที่พอร์ตทั่วไปเช่น 80 หรือ 22 ซึ่งอ่าน DENY IN ตามด้วย Anywhere ในแผนภูมิก่อนที่จะอ้างอิงไปยังพอร์ตเหล่านั้น แล้วคุณอาจพยายามบล็อกการเชื่อมต่อก่อนที่จะมีโอกาสได้ผ่าน การเรียงลำดับใหม่จะช่วยแก้ปัญหาได้ การวางคำสั่งเหล่านี้ตามลำดับที่ถูกต้องในครั้งแรกจะช่วยป้องกันไม่ให้ปัญหาเกิดขึ้นในภายหลัง

ผู้ใช้ root ที่เพิ่มขึ้นจะไม่ต้องใช้ sudo ก่อนคำสั่งแต่ละคำ หากคุณได้รับข้อผิดพลาดบางอย่างเกี่ยวกับเรื่องนี้อาจเป็นปัญหาของคุณ ตรวจสอบปลายพรอมต์เพื่อดูว่าคุณมี # หรือ $ ก่อนเคอร์เซอร์ของคุณหรือไม่ ผู้ใช้ tcsh ที่มีเฉพาะ% สำหรับ prompt ควรใช้ whoami เพื่อดูว่าผู้ใช้คนใดกำลังใช้งานอยู่

ผู้ใช้ปกติที่ใช้ สถานะ sudo ufw verbose จะยังคงได้รับข้อเสนอแนะเล็กน้อยหลังจากได้รับคำแนะนำ คุณอาจเห็นบรรทัดเดียวกับที่คุณเคยเห็นมาก่อน

เนื่องจากผู้ใช้เหล่านี้ใช้งานได้เพียงไม่กี่กฎเท่านั้น คำเตือนอาจมีความสำคัญต่อกฎเหล่านี้อย่างไรก็ตาม ในขณะที่คำสั่งดีฟอลต์ ufw จะช่วยให้คุณสามารถใช้พารามิเตอร์การปฏิเสธคุณสามารถล็อกตัวเองออกจากโครงสร้างเซิร์ฟเวอร์ส่วนตัวของคุณเองหรือทำสิ่งแปลก ๆ อื่น ๆ ได้ หากคุณต้องการให้ sudo ufw อนุญาต ssh หรือบรรทัดอื่น ๆ ที่คล้ายกันในชุดกฎของคุณสิ่งนี้จะต้องมาก่อนที่คุณจะใช้กฎปฏิเสธหรือปฏิเสธเริ่มต้น

ในขณะที่เครื่องมือกราฟิกบางอย่างมีอยู่เช่น Gufw และ QQ-based Kaifirewall คุณสามารถกำหนดค่า ufw จากบรรทัดคำสั่งได้โดยง่ายซึ่งคุณจะไม่ต้องการใช้งาน หากคุณต้องการแก้ไขไฟล์การกำหนดค่าโดยตรงแทนให้ใช้ เพื่อย้ายไปยังไดเร็กทอรีที่ถูกต้องจากนั้นใช้ sudo nanofw เพื่อแก้ไข คุณอาจต้องการเริ่มใช้ ufw หรือน้อยกว่าเพื่อให้สามารถดูข้อความก่อนได้อย่างรวดเร็ว

นักพัฒนาซอฟต์แวร์ใช้เวลาในการแสดงความคิดเห็นที่เหมาะสมเพื่อที่คุณจะไม่หลงทางเมื่อแก้ไข แต่คุณอาจต้องการลบสิ่งนี้ถ้าคุณรู้สึกว่าจำเป็นต้องใช้

PRO TIP: หากปัญหาเกิดขึ้นกับคอมพิวเตอร์หรือแล็ปท็อป / โน้ตบุ๊คคุณควรลองใช้ซอฟต์แวร์ Reimage Plus ซึ่งสามารถสแกนที่เก็บข้อมูลและแทนที่ไฟล์ที่เสียหายได้ วิธีนี้ใช้ได้ผลในกรณีส่วนใหญ่เนื่องจากปัญหาเกิดจากความเสียหายของระบบ คุณสามารถดาวน์โหลด Reimage Plus โดยคลิกที่นี่

Facebook Twitter Google Plus Pinterest