Basics ufw általános szabályokat és tűzfal parancs

Miután szerver biztonságos adatközpontok Európában. Nyílt felhő VPS / VDS szerver egy gyors SSD 1 perc alatt!

A legjobb Web Hosting:
- megvédi az illetéktelen hozzáférés egy biztonságos európai adatközpont
- fizet legalább Bitcoin.
- Akkor tegye meg a disztribúciós

- védelmet DDOS támadások
- ingyenes biztonsági mentés
- Üzemidő 99,9999%
- DPC - TIER III
- ISP - TIER I

Támogatás az orosz 24/7/365 dolgozni a jogi és fizikai személyek. Most kell 24 mag és 72 Gb RAM. Kérlek!

A versenyképes áron bizonyítani, hogy a legolcsóbb hosting, ha nem tudja!

A percek alatt, válassza ki a konfiguráció, a fizetés és a CMS egy VPS kész.
Pénzvisszafizetési - 30 nap alatt!

Bankkártyák, elektronikus valuta révén Qiwi terminálok, WebMoney, PayPal, Novoplat és mások.

Tegye fel kérdését támogatás 24/7/365

Megtalálja a választ az adatbázisunkban, és megfelel az ajánlásokat a

megjegyzés

A legtöbb példa a kézikönyvben utal, hogy a használata a szokásos szabályok UFW. Azaz, a tűzfal lehetővé kell tennie a kimenő és bejövő forgalmat blokkolja az alapértelmezett politika. Lehet, hogy szelektíven engedélyezi a bejövő forgalmat.

Elvégezni az összes szakaszok a megrendelések kezelése feltétlenül, hiszen a legtöbb szakaszok nem kapcsolódik egymáshoz. Végezze csak megfelelő részekre a szerver követelményeknek.

Bármely kód a kézi, akkor másolja be a parancssor helyett az előre jelzett piros érték az adatokat.

Ahhoz, hogy ellenőrizze a jelenlegi szabályok, írja be:

sudo ufw status

sudo ufw status bőbeszédű

sudo ufw deny from 12.12.12.21

Blokkolása kapcsolat a hálózati interfész

Blokkolásához kapcsolatok egy meghatározott IP (12.12.12.21) a hálózati interfész (mint például eth0), használat:

sudo ufw tagadja az eth0 származó 12.12.12.21

Ez a parancs közel azonos az előző parancsot, kivéve a feltétel az eth0, az elsődleges felületen.

A hálózati interfész megadható a tűzfal szabályt. Ez lehetővé teszi, hogy csökkentsék a beállítást egy adott felületen.

SSH szolgáltatás

Amikor dolgozik a felhő szerver lehet, hogy lehetővé teszi a bejövő SSH kapcsolatokat (22-es port). Ez a fejezet a különböző tűzfal szabályok az SSH szolgáltatást.

Hogyan kell megnyitni SSH

Annak érdekében, hogy a beérkező SSH kapcsolatot, írja be a következő parancsot:

sudo ufw lehetővé ssh

Az alternatív szintaxis (adja meg a szolgáltatás port):

sudo ufw lehetővé 22

sudo ufw lehetővé származó 15.15.15.0/24 minden kikötő 22

Az rsync eszköz porton fut 873, fel lehet használni a fájlok megosztására.

sudo ufw lehetővé származó 15.15.15.0/24 minden kikötő 873

webszerver

Web szerver (például az Apache és Nginx), általában menetes 80. és 443. port a HTTP és HTTPS kapcsolatok, ill. Ha a politika a bejövő forgalom alapértelmezés szerint úgy van beállítva, hogy elutasítja vagy blokkolja ezeket a vegyületeket, akkor a legvalószínűbb, akkor meg kell változtatni ezt a viselkedést.

Hogyan teszi a bejövő HTTP-forgalom

Ahhoz, hogy a bejövő HTTP-kapcsolat (80-as port), írja be a következő parancsot:

sudo ufw lehetővé http

Alternatív szintaxis szükséges megadni a port:

sudo ufw lehetővé 80

Hogyan teszi a bejövő HTTPS forgalom

Ahhoz, hogy lehetővé teszi a bejövő HTTPS-kapcsolatot (443-as port), típus:

sudo ufw lehetővé https

Az alternatív szintaxis (adja meg a port):

sudo ufw lehetővé 443

Hogyan lehetővé teszi a bejövő HTTP és HTTPS kapcsolatok

Ahhoz, hogy a bejövő HTTP és HTTPS kapcsolatot hozzon létre egy szabályt, amely megnyitja érintett portokat. használni:

sudo ufw lehetővé proto tcp from any to any port 80443

Megjegyzés: megadásával több port, meg kell adnia a protokoll (proto tcp).

MySQL szolgáltatás

MySQL figyeli klienskapcsolatokat porton 3306. Ha a MySQL-szerver által használt ügyfél vagy egy távoli szerveren, meg kell, hogy a tűzfal fogadja el az ilyen forgalmat.

Hogyan kell megnyitni a MySQL-t egy adott IP vagy alhálózati

Annak érdekében, hogy kapcsolatot fogadni, hogy a MySQL egy adott IP vagy alhálózati, meg kell adni a forrást kapcsolatot. Például, hogy engedélyezze a kapcsolódást az alhálózati 15.15.15.0/24, írja be:

sudo ufw lehetővé származó 15.15.15.0/24 minden kikötő 3306

Hogyan kell megnyitni a MySQL egy adott hálózati interfész

Annak érdekében, hogy a tűzfalat a kapcsolatot a MySQL egy hálózati interfész (pl eth1), írja be:

sudo ufw teszi be eth1 minden kikötő 3306

PostgreSQL

PostgreSQL figyeli klienskapcsolatokat porton 5432. Ha a PostgreSQL adatbázisban ügyfél által használt vagy egy távoli szerveren, meg kell, hogy a tűzfal fogadja el az ilyen kapcsolat.

Ahhoz, hogy a kapcsolatok PostgreSQL elfogadni egy adott IP vagy alhálózati, meg kell adni a forrást kapcsolatot. Például, hogy engedélyezze a kapcsolódást az alhálózati 15.15.15.0/24, írja be:

sudo ufw lehetővé származó 15.15.15.0/24 minden kikötő 5432

Command, amely lehetővé teszi a kimenő forgalmat a PostgreSQL kapcsolat szükséges, ha az alapértelmezett házirend - nem tud elfogadni.

Hogyan kell megnyitni a PostgreSQL egy adott hálózati interfész

Annak érdekében, hogy a tűzfalat a kapcsolatot PostgreSQL egy hálózati interfész (pl eth1), írja be:

sudo ufw teszi be eth1 minden kikötő 5432

A parancs, amely lehetővé teszi a kimenő forgalmat a PostgreSQL kapcsolat szükséges, ha az alapértelmezett házirend - nem tud elfogadni.

postai szolgáltatások

Postai szolgáltatások (például, Sendmail vagy Postfix) vegyületet hallgatni különböző portokon függően használt protokoll levélkézbesítési. Ha fut egy e-mail szerver, adja meg a használt protokollok és lehetővé teszik a megfelelő típusú forgalom. Szintén ebben a részben bemutatjuk, hogyan kell létrehozni egy szabály, hogy blokkolja a kimenő SMTP-mailben.

Blokkoló kimenő SMTP-mail címét

sudo ufw deny 25

Ez konfigurálja a tűzfalat állítani az összes kimenő forgalmat 25-ös porton.

Megjegyzés. Forgalom blokkolására bármely más port, egyszerűen írja be a számát 25 helyett.

Mivel lehetővé teszi a bejövő SMTP-vegyület

Ahhoz, hogy a kiszolgáló válaszoljon az összes bejövő SMTP-session (port 25), típus:

sudo ufw lehetővé 25

Megjegyzés. SMTP, a kimenő leveleket, jellemzően olyan port 587.

Mivel lehetővé teszi a bejövő IMAP-vegyület

Ahhoz, hogy a szerver fogadja az összes bejövő IMAP-csatlakozás (143-as port), futtassa:

sudo ufw lehetővé 143

Hogyan teszik a bejövő IMAPS

Ahhoz, hogy a szerver fogadja az összes bejövő IMAPS-csatlakozás (port 993) használja:

sudo ufw lehetővé 993

Mivel lehetővé teszi a bejövő POP3-vegyület

Annak érdekében, hogy minden bejövő POP3-csatlakozó (port 110), futnak:

sudo ufw lehetővé 110

Mivel lehetővé teszi a bejövő POP3S-vegyület

Annak érdekében, hogy az összes bejövő POP3S-csatlakozó (port 995), futnak:

sudo ufw lehetővé 995

következtetés

Ez az útmutató a leggyakoribb parancsok a tűzfal segítségével UFW.

UFW - egy nagyon rugalmas eszköz, ezért javasoljuk, hogy kísérletezzen vele, a saját, hogy megfeleljenek a követelményeknek a szerver, ha nem foglalkozik ez a cikk.

Köszönjük vezetés! Azt állítani, hogy működik, de van egy árnyalatot.
Miután létrehozott nem akarta felszámolni.
Azt hibát generál és szidta IPtables
Volt a config / etc / default / ufw put IPv6 = nincs
És úgy tűnik, hogy minden rendben ment, de itt van a probléma: nagyon szoros (hosszú 504 + error) küldött hivatalos levelet az oldalon keresztül smtp.

Azt levelet váltott tech support VPS. Azt mondták, hogy ez az egész dolog próbál átmenni az IPv6, de ő tagadta a tűzfal, akkor egy idő után küldi keresztül IPv4.

Kérem mondja meg, hogy már találkozott hasonló problémával? Ha valami, akkor én is feküdt ki a hibákat a konzolból, amikor megpróbálja elindítani a UFW amikor IPv6 = yes