Phenquestions
Artikel ini menunjukkan cara menginstal dan menggunakan UFW di Ubuntu 20 Ubuntu.04 sistem LTS.
Instalasi
UFW sudah diinstal sebelumnya di sebagian besar sistem Ubuntu. Jika build Anda belum menginstal program ini, Anda dapat menginstalnya menggunakan snap atau manajer paket apt.$ sudo snap install ufw
$ sudo apt install ufwSaya pribadi lebih suka menggunakan manajer paket apt untuk melakukan ini karena snap kurang populer dan saya tidak ingin memiliki kerumitan ekstra ini. Pada saat penulisan ini, versi yang diterbitkan untuk UFW adalah 0.36 untuk 20.04 rilis.
Masuk vs. Lalu lintas keluar
Jika Anda seorang pemula dalam dunia jaringan, hal pertama yang perlu Anda klarifikasi adalah perbedaan antara lalu lintas masuk dan keluar.
Saat Anda menginstal pembaruan menggunakan apt-get, menjelajah internet, atau memeriksa email Anda, apa yang Anda lakukan adalah mengirim permintaan "keluar" ke server, seperti Ubuntu, Google, dll. Untuk mengakses layanan ini, Anda bahkan tidak memerlukan IP publik. Biasanya, satu alamat IP publik dialokasikan untuk, katakanlah, koneksi broadband rumah, dan setiap perangkat mendapatkan IP pribadinya sendiri. Router kemudian menangani lalu lintas menggunakan sesuatu yang dikenal sebagai NAT, atau Terjemahan Alamat Jaringan.
Detail NAT dan alamat IP pribadi berada di luar cakupan artikel ini, tetapi video yang ditautkan di atas adalah titik awal yang sangat baik. Kembali ke UFW, secara default, UFW akan mengizinkan semua lalu lintas web keluar biasa. Peramban Anda, manajer paket, dan program lain memilih nomor port acak - biasanya angka di atas 3000 - dan begitulah cara setiap aplikasi dapat melacak koneksinya.
Saat Anda menjalankan server di cloud, mereka biasanya datang dengan alamat IP publik dan aturan di atas untuk mengizinkan lalu lintas keluar tetap berlaku. Karena Anda masih akan menggunakan utilitas, seperti manajer paket, yang berbicara dengan seluruh dunia sebagai 'klien', UFW mengizinkan ini secara default.
Kegembiraan dimulai dengan lalu lintas masuk. Aplikasi, seperti server OpenSSH yang Anda gunakan untuk login ke VM Anda, dengarkan pada port tertentu (seperti 22) untuk masuk permintaan, seperti halnya aplikasi lain. Server web memerlukan akses ke port 80 dan 443.
Ini adalah bagian dari tugas firewall untuk memungkinkan aplikasi tertentu mendengarkan lalu lintas masuk tertentu sambil memblokir semua yang tidak perlu. Anda mungkin memiliki server database yang diinstal pada VM Anda, tetapi biasanya tidak perlu mendengarkan permintaan masuk pada antarmuka dengan IP publik. Biasanya, itu hanya mendengarkan pada antarmuka loopback untuk permintaan.
Ada banyak bot di Web, yang terus-menerus membombardir server dengan permintaan palsu untuk memaksa masuk, atau melakukan serangan Denial of Service sederhana. Firewall yang dikonfigurasi dengan baik harus dapat memblokir sebagian besar kejahatan ini dengan bantuan plugin pihak ketiga seperti Fail2ban.
Tapi, untuk saat ini, kami akan fokus pada pengaturan yang sangat mendasar.
Penggunaan Dasar
Sekarang setelah Anda menginstal UFW di sistem Anda, kita akan melihat beberapa kegunaan dasar untuk program ini. Karena aturan firewall diterapkan di seluruh sistem, perintah di bawah ini dijalankan sebagai pengguna root. Jika mau, Anda dapat menggunakan Sudo dengan hak istimewa yang sesuai untuk prosedur ini.
#status ufwStatus: tidak aktif
Secara default, UFW dalam keadaan tidak aktif, yang merupakan hal yang baik. Anda tidak ingin memblokir semua lalu lintas masuk pada port 22, yang merupakan port SSH default. Jika Anda masuk ke server jarak jauh melalui SSH dan Anda memblokir port 22, Anda akan dikunci dari server.
UFW memudahkan kita untuk membuat lubang hanya untuk OpenSSH. Jalankan perintah di bawah ini:
[dilindungi email]:~# daftar aplikasi ufwAplikasi yang tersedia:
BukaSSH
Perhatikan bahwa saya masih belum mengaktifkan firewall. Kami sekarang akan menambahkan OpenSSH ke daftar aplikasi yang diizinkan dan kemudian mengaktifkan firewall. Untuk melakukannya, masukkan perintah berikut:
# ufw izinkan OpenSSHAturan diperbarui
Aturan diperbarui (v6)
# ufw aktifkan
Perintah dapat mengganggu koneksi SSH yang ada. Lanjutkan dengan operasi (y|n)? kamu.
Firewall sekarang aktif dan diaktifkan pada startup sistem.
Selamat, UFW sudah aktif dan berjalan. UFW sekarang hanya mengizinkan OpenSSH untuk mendengarkan permintaan masuk di port 22. Untuk memeriksa status firewall Anda kapan saja, jalankan kode berikut:
#status ufwStatus: aktif
Untuk Bertindak Dari
-- ------ ----
OpenSSH Izinkan Di Mana Saja
OpenSSH (v6) Izinkan Di Mana Saja (v6)
Seperti yang Anda lihat, OpenSSH sekarang dapat menerima permintaan dari mana saja di Internet, asalkan mencapainya di port 22. Baris v6 menunjukkan bahwa aturan juga diterapkan untuk IPv6.
Anda dapat, tentu saja, melarang rentang IP tertentu, atau hanya mengizinkan rentang IP tertentu, tergantung pada batasan keamanan tempat Anda bekerja.
Menambahkan Aplikasi
Untuk aplikasi paling populer, perintah daftar aplikasi ufw secara otomatis memperbarui daftar kebijakannya setelah instalasi. Misalnya, setelah menginstal server web Nginx, Anda akan melihat opsi baru berikut muncul:
# tepat menginstal nginx# daftar aplikasi ufw
Aplikasi yang tersedia:
Nginx Penuh
Nginx HTTP
Nginx HTTPS
BukaSSH
Silakan dan coba bereksperimen dengan aturan ini. Perhatikan bahwa Anda cukup mengizinkan nomor port, daripada menunggu profil aplikasi muncul. Misalnya, untuk mengizinkan port 443 untuk lalu lintas HTTPS, cukup gunakan perintah berikut:
# ufw izinkan 443#status ufw
Status: aktif
Untuk Bertindak Dari
-- ------ ----
OpenSSH Izinkan Di Mana Saja
443 Izinkan Di Mana Saja
OpenSSH (v6) Izinkan Di Mana Saja (v6)
443 (v6) Izinkan Di Mana Saja (v6)
Kesimpulan
Sekarang setelah Anda memiliki dasar-dasar UFW yang diurutkan, Anda dapat menjelajahi kemampuan firewall kuat lainnya, mulai dari mengizinkan dan memblokir rentang IP. Memiliki kebijakan firewall yang jelas dan aman akan menjaga sistem Anda tetap aman dan terlindungi.
