Настройка firewall в Debian 9 (iptables)
İçindekiler:
- Ön şartlar
- UFW'yi yükle
- UFW Durumunu Kontrol Et
- UFW Varsayılan Politikaları
- Uygulama Profilleri
- SSH Bağlantılarına İzin Ver
- UFW'yi etkinleştir
- Diğer bağlantı noktalarında bağlantılara izin ver
- 80 numaralı bağlantı noktasını aç - HTTP
- Açık bağlantı noktası 443 - HTTPS
- Açık bağlantı noktası 8080
- Bağlantı Noktası Aralıklarına İzin Ver
- Belirli IP Adreslerine İzin Ver
- Belirli bağlantı noktasında Belirli IP Adreslerine İzin Ver
- Alt Ağlara İzin Ver
- Belirli Bir Ağ Arayüzüne Bağlantılara İzin Ver
- Bağlantıları reddet
- UFW Kurallarını Sil
- UFW'yi devre dışı bırak
- UFW'yi sıfırla
- Sonuç
Debian, temel sistemin bir parçası olarak yüklenen iptables ile bir güvenlik duvarını yönetmek için araçlar sağlayan çeşitli paketler içerir. Yeni başlayanlar için bir güvenlik duvarını düzgün bir şekilde yapılandırmak ve yönetmek için iptables aracını nasıl kullanacaklarını öğrenmek karmaşık olabilir, ancak UFW bunu basitleştirir.
UFW (Karmaşık Güvenlik Duvarı) iptables güvenlik duvarı kurallarını yönetmek için kullanıcı dostu bir ön uçtur ve asıl amacı iptables yönetimini kolaylaştırmak veya adın karmaşık olmadığını belirtmektir.
Bu eğitimde, Debian 9'da UFW ile nasıl bir güvenlik duvarı ayarlayacağınızı göstereceğiz.
Ön şartlar
Bu eğiticiye devam etmeden önce, giriş yaptığınız kullanıcının sudo ayrıcalıklarına sahip olduğundan emin olun.
UFW'yi yükle
Debian 9'da UFW varsayılan olarak yüklenmez
ufw
paketini aşağıdakileri yazarak yükleyebilirsiniz:
UFW Durumunu Kontrol Et
Kurulum işlemi tamamlandıktan sonra, aşağıdaki komutla UFW'nin durumunu kontrol edebilirsiniz:
sudo ufw status verbose
Çıktı şöyle görünecektir:
Status: inactive
UFW varsayılan olarak devre dışıdır. Yükleme, sunucudan kilitlenmeyi önlemek için güvenlik duvarını otomatik olarak etkinleştirmez.
UFW etkinleştirilirse, çıkış aşağıdakine benzer olacaktır:
UFW Varsayılan Politikaları
Varsayılan olarak, UFW gelen tüm bağlantıları engeller ve tüm giden bağlantılara izin verir. Bu, özellikle bağlantı noktasını açmadıkça sunucunuza erişmeye çalışan herkesin bağlanamayacağı, sunucunuzda çalışan tüm uygulamaların ve hizmetlerin dış dünyaya erişebileceği anlamına gelir.
Varsayılan politikalar
/etc/default/ufw
dosyasında tanımlanmıştır ve
sudo ufw default
kullanılarak değiştirilebilir
Güvenlik duvarı politikaları, daha ayrıntılı ve kullanıcı tanımlı kurallar oluşturmanın temelini oluşturur. Çoğu durumda, ilk UFW Varsayılan Politikaları iyi bir başlangıç noktasıdır.
Uygulama Profilleri
apt
içeren bir paket yüklerken,
/etc/ufw/applications.d
dizinine hizmeti tanımlayan ve UFW ayarlarını içeren bir uygulama profili ekleyecektir.
Sistem türünüzde bulunan tüm uygulama profillerini listelemek için:
sudo ufw app list
Sisteminizde kurulu paketlere bağlı olarak, çıktı aşağıdakine benzer olacaktır:
Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…
Belirli bir profil ve dahil edilen kurallar hakkında daha fazla bilgi bulmak için aşağıdaki komutu kullanın:
sudo ufw app info OpenSSH
Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp
AYukarıdaki çıktı bize OpenSSH profilinin
22
bağlantı noktasını açtığını söylüyor.
SSH Bağlantılarına İzin Ver
UFW güvenlik duvarını etkinleştirmeden önce gelen SSH bağlantılarına izin vermeliyiz.
Sunucunuza neredeyse her zaman geçerli olan uzak bir konumdan bağlanıyorsanız ve gelen SSH bağlantılarına açıkça izin vermeden önce UFW güvenlik duvarını etkinleştirirseniz, artık Debian sunucunuza bağlanamayacaksınız.
UFW güvenlik duvarınızı gelen SSH bağlantılarına izin verecek şekilde yapılandırmak için aşağıdaki komutu çalıştırın:
sudo ufw allow OpenSSH
Rules updated Rules updated (v6)
SSH sunucusu varsayılan bağlantı noktası 22 dışındaki bir bağlantı noktasını dinliyorsa, bu bağlantı noktasını açmanız gerekir.
Örneğin, ssh sunucunuz
8822
numaralı bağlantı noktasını dinler, ardından bu bağlantı noktasındaki bağlantılara izin vermek için aşağıdaki komutu kullanabilirsiniz:
UFW'yi etkinleştir
Artık UFW güvenlik duvarınız gelen SSH bağlantılarına izin verecek şekilde yapılandırıldığına göre, aşağıdakileri çalıştırarak etkinleştirebilirsiniz:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Güvenlik duvarını etkinleştirmenin mevcut ssh bağlantılarını bozabileceği konusunda uyarılırsınız, sadece
y
ve
Enter
.
Diğer bağlantı noktalarında bağlantılara izin ver
Sunucunuzda çalışan uygulamalara ve özel gereksinimlerinize bağlı olarak diğer bazı bağlantı noktalarına gelen erişime de izin vermeniz gerekir.
Aşağıda, en yaygın hizmetlerden bazılarına gelen bağlantılara nasıl izin verileceğine ilişkin birkaç örnek verilmiştir:
80 numaralı bağlantı noktasını aç - HTTP
HTTP bağlantılarına aşağıdaki komutla izin verilebilir:
sudo ufw allow
http
profili yerine,
80
numaralı bağlantı noktası numarasını kullanabilirsiniz:
Açık bağlantı noktası 443 - HTTPS
HTTP bağlantılarına aşağıdaki komutla izin verilebilir:
sudo ufw allow
https
yerine aynı şeyi elde etmek için
443
numaralı bağlantı noktasını kullanabilirsiniz:
Açık bağlantı noktası 8080
Bağlantı Noktası Aralıklarına İzin Ver
UFW ile bağlantı noktası aralıklarına erişime de izin verebilirsiniz. UFW ile bağlantı noktası aralıklarına izin verirken, protokolü
tcp
veya
udp
belirtmeniz gerekir.
Örneğin, hem
tcp
hem de
udp
üzerinde
7100
ile
7200
arasındaki bağlantı noktalarına izin vermek için aşağıdaki komutu çalıştırın:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Belirli IP Adreslerine İzin Ver
sudo ufw allow from 64.63.62.61
Belirli bağlantı noktasında Belirli IP Adreslerine İzin Ver
Belirli bir bağlantı noktasına erişime izin vermek için, 64.63.62.61 IP adresine sahip iş makinenizdeki bağlantı noktası 22'yi diyelim:
sudo ufw allow from 64.63.62.61 to any port 22
Alt Ağlara İzin Ver
IP adreslerinin bir alt ağına bağlanmaya izin verme komutu, tek bir IP adresi kullanmayla aynıdır, tek fark, ağ maskesini belirtmenizdir. Örneğin, 192.168.1.1 ile 192.168.1.254 ile 3360 bağlantı noktası (MySQL) arasındaki IP adreslerine erişime izin vermek istiyorsanız, bu komutu kullanabilirsiniz:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Belirli Bir Ağ Arayüzüne Bağlantılara İzin Ver
Belirli bir bağlantı noktasına erişime izin vermek için diyelim ki 3360 numaralı bağlantı noktasını yalnızca belirli ağ arabirimi
eth2
,
allow in on
eth2
allow in on
ve ağ arabiriminin adını kullanabilirsiniz:
sudo ufw allow in on eth2 to any port 3306
Bağlantıları reddet
Tüm gelen bağlantılar için varsayılan ilke,
deny
şekilde ayarlanmıştır; bu, bağlantıyı özellikle açmadıkça UFW'nin tüm gelen bağlantıları engelleyeceği anlamına gelir.
Diyelim ki
80
ve
443
bağlantı noktalarını
23.24.25.0/24
ve sunucunuz
23.24.25.0/24
ağından saldırı altında.
23.24.25.0/24
tüm bağlantıları reddetmek için aşağıdaki komutu kullanın:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
Reddetme kuralları yazmak, izin verme kuralları yazmakla aynıdır, yalnızca
allow
deny
ile değiştirmeniz gerekir.
UFW Kurallarını Sil
Kural numarasına ve gerçek kuralı belirterek UFW kurallarını silmenin iki farklı yolu vardır.
Özellikle UFW'de yeniyseniz, UFW kurallarını kural numarasına göre silmek daha kolaydır.
Bir kuralı kural numarasına göre silmek için önce silmek istediğiniz kuralın numarasını bulmanız gerekir. Bunu yapmak için aşağıdaki komutu çalıştırın:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
8080 numaralı bağlantı noktasına bağlantılara izin veren kural olan 3 numaralı kuralı silmek için aşağıdaki komutu kullanabilirsiniz:
sudo ufw delete 2
İkinci yöntem, gerçek kuralı belirterek bir kuralı silmektir. Örneğin,
8069
bağlantı noktasını açmak için bir kural eklediyseniz, aşağıdakilerle silebilirsiniz:
UFW'yi devre dışı bırak
Herhangi bir nedenle UFW'yi durdurmak ve tüm kuralları devre dışı bırakmak istiyorsanız:
sudo ufw disable
Daha sonra UTF'yi yeniden etkinleştirmek ve tüm kuralları etkinleştirmek istiyorsanız sadece şunu yazın:
UFW'yi sıfırla
UFW sıfırlandığında UFW devre dışı bırakılır ve tüm etkin kurallar silinir. Tüm değişikliklerinizi geri almak ve yeni bir başlangıç yapmak istiyorsanız bu yararlıdır.
UFW'yi sıfırlamak için aşağıdaki komutu yazmanız yeterlidir:
Sonuç
Debian 9 makinenize UFW güvenlik duvarını nasıl kuracağınızı ve yapılandıracağınızı öğrendiniz. Tüm gereksiz bağlantıları sınırlarken, sisteminizin düzgün çalışması için gerekli olan tüm gelen bağlantılara izin verdiğinizden emin olun.
ufw güvenlik duvarı iptables debian güvenlikWindows 7 Güvenlik Duvarı Denetimi Ücretsiz Microsoft'un Yerleşik Güvenlik Duvarı Demystifies
Windows 7 ve Windows Vista'da yerleşik güvenlik duvarı üzerinde daha fazla denetim sağlayın.
Windows Güvenlik Duvarı Denetimi: Windows Güvenlik Duvarı ayarlarını yapılandırma ve yönetme
Windows Güvenlik Duvarı Denetimi, en sık kullanılan seçenek ve özelliklere hızlı erişim sağlayan ücretsiz bir yazılımdır. Windows Güvenlik Duvarı. Bağlantıları yönetmek için kullanın.
Ubuntu 18.04'te ufw ile güvenlik duvarı nasıl kurulur
Varsayılan olarak Ubuntu, UFW (Karmaşık Güvenlik Duvarı) adlı bir güvenlik duvarı yapılandırma aracıyla birlikte gelir. UFW iptables güvenlik duvarı kurallarını yönetmek için kullanıcı dostu bir ön uçtur ve asıl amacı iptables yönetimini kolaylaştırmak veya adın karmaşık olmadığını belirtmektir.