Debian 방화벽(UFW) 사용

Debian 방화벽(UFW) 사용

2022-06-03 last update

7 minutes reading Debian
단순 방화벽(UFW)은 Iptables의 전단이다. 우리는 보통 이 소프트웨어를 사용하여 넷필터를 관리한다. 이것은 Linux 커널에 포함된 필터 기능이다.Iptables를 관리하려면 중급에서 고급까지의 네트워크 관리 지식이 필요하기 때문에 개발 전단은 임무를 간소화하기 위한 것이다. 간단한 방화벽이 그 중 하나이기 때문에 본 강좌는 이에 대해 설명할 것이다.
주: 본 강좌는 네트워크 인터페이스 enp2s0과 IP 주소 192.168.0.2/7을 예로 삼아 정확하게 바꿉니다.

ufw 설치:


Debian run에 ufw를 설치하려면 다음과 같이 하십시오.
apt install ufw

UFW 실행 설정하기
ufw enable

UFW 실행 비활성화하기
ufw disable

방화벽 상태를 빠르게 확인하려면 다음을 실행하십시오.
ufw status

어디:
상태: 방화벽이 활성 상태인지 알려 줍니다.
To: 포트 또는 서비스 표시
작업: 정책 표시
보낸 사람: 가능한 데이터 원본을 표시합니다.
다음 명령을 실행하여 방화벽 상태를 자세히 확인할 수도 있습니다.
ufw status verbose

방화벽 상태를 보는 두 번째 명령은 기본 정책과 흐름 방향도 표시합니다.
"ufwstatus"또는 "ufwstatusverbose"가 있는 정보 화면을 제외하고, 규칙 관리에 도움이 된다면, 우리는 모든 번호의 규칙을 인쇄할 수 있습니다. 잠시 후에 보실 수 있습니다.방화벽 규칙의 번호 목록을 가져오려면 다음을 실행하십시오.
ufw status numbered

다음 명령을 실행하여 UFW 설정을 기본 구성으로 재설정할 수 있습니다.
ufw reset

ufw 규칙을 재설정하면 확인을 요청합니다.Y로 확인합니다.

방화벽 정책 소개:


모든 방화벽에 대해 우리는 기본 정책을 확정할 수 있다. 민감한 네트워크는 제한된 정책을 적용할 수 있다. 이것은 특별히 허용된 데이터를 제외한 모든 데이터를 거부하거나 막는다는 것을 의미한다.제한적인 정책과 달리 라이센스 방화벽은 특정 차단된 트래픽을 제외한 모든 트래픽을 수용합니다.
예를 들어 만약에 우리가 웹 서버가 있고 이 서버가 간단한 사이트에 서비스를 제공하기를 원하지 않는다면, 우리는 포트 80(http)과 443(https)을 제외한 모든 포트를 막을 수 있는 제한적인 정책을 적용할 수 있다. 이것은 기본적으로 특정한 포트를 막지 않으면 모든 포트가 막힐 수 있기 때문이다.허용되는 방화벽의 예는 보호되지 않는 서버입니다. 그 중에서 우리는 로그인 포트만 막습니다. 예를 들어 Plesk 서버에 대해 443과 22가 유일하게 차단된 포트입니다.이 밖에 우리는 ufw를 사용하여 전송을 허용하거나 거부할 수 있습니다.

ufw에 대한 제한 및 라이센스 정책 적용:


기본적으로 ufw run을 사용하여 모든 전송 유량을 제한하려면 다음과 같이 하십시오.
ufw default deny incoming

반대로 모든 전송 데이터가 실행될 수 있도록 허용:
ufw default allow incoming

우리 네트워크에서 전송되는 모든 트래픽을 차단하려면 다음과 같이 하십시오.

모든 전송 트래픽을 허용하려면 거부를 허용으로 바꾸면 전송 트래픽이 실행될 수 있습니다.

또한 특정 네트워크 인터페이스의 트래픽을 허용하거나 거부하여 각 인터페이스에 다른 규칙을 유지하여 내가 실행할 이더넷 카드의 모든 트래픽을 차단할 수 있습니다.
ufw deny in on enp2s0

어디:
ufw = 호출 프로그램
거부 = 정책 정의
입력 유량
enp2s0 = 내 이더넷 인터페이스
이제 전송된 데이터에 대해 기본 제한 정책을 적용하고 포트 80과 22만 허용합니다.
ufw default  deny incoming
ufw allow 22
ufw allow http

어디:
첫 번째 명령은 모든 전송 흐름을 막고, 두 번째 명령은 포트 22의 전송 연결을 허용하고, 세 번째 명령은 포트 80의 전송 연결을 허용한다.ufw는 기본 포트나 서비스 이름을 통해 이 서비스를 호출할 수 있도록 합니다.우리는 포트 22 또는 ssh, 포트 80 또는 http와의 연결을 받아들이거나 거부할 수 있습니다.
"ufw status verbose"명령은 결과를 표시합니다.

우리가 허용하는 두 서비스 (22와 http) 를 사용할 수 있을 때, 모든 전송 데이터가 거부됩니다.
특정 규칙을 삭제하려면 "delete"매개 변수를 사용할 수 있습니다.트래픽 포트 http에서 실행할 수 있는 이전 규칙을 삭제하려면 다음과 같이 하십시오.
ufw delete allow http

ufw status verbose를 실행하여 http 서비스가 계속 사용되거나 차단되었는지 확인합니다.

포트 80은 더 이상 예외로 나타나지 않으며 포트 22는 유일한 예외입니다.
앞서 언급한 명령 "ufw status Number"에서 제공한 디지털 ID를 호출하여 규칙을 삭제할 수도 있습니다. 이 경우 이더리움 카드 enp2s0 전송 데이터의 거부 정책을 삭제합니다.
ufw delete 1

그것은 확인을 요구할 것이며, 확인되면 계속 진행할 것이다.
또한 거부하기 위해 매개 변수 REJECT를 사용하여 다른 측의 연결이 거부되었음을 알릴 수 있으며, ssh의 연결을 거부하기 위해 실행할 수 있습니다.
ufw reject 22

그리고 만약 누군가가 우리의 포트 22에 접근하려고 시도한다면, 그는 다음 그림과 같이 연결이 거부되었다는 통지를 받을 것이다.

모든 단계에서 다음 명령을 실행하여 기본 구성에 추가된 규칙을 확인할 수 있습니다.
ufw show added

우리는 모든 연결을 거부할 수 있고 특정한 IP 주소를 허용할 수 있다. 다음 예시에서 나는 포트 22에 대한 모든 연결을 거부할 것이다. 그러나 IP 192.168.0.2를 제외하고는 유일하게 연결할 수 있을 것이다.
ufw deny 22
ufw allow from 192.168.0.2

현재 ufw 상태를 검사하면 포트 22의 모든 전송 데이터가 거부되고 지정한 IP가 허용됩니다 (규칙 2)

우리는 폭력 공격을 방지하기 위해 운행 제한을 설정하여 로그인 시도를 제한할 수 있다.
제한 ssh

이 강좌를 끝내고 ufw의 아낌없는 감상을 배우기 위해 iptables를 사용하면 단일 IP를 제외한 모든 데이터를 거부할 수 있다는 것을 기억하자.
iptables -A INPUT -s 192.168.0.2 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.2 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
ufw를 사용하면 다음과 같은 세 개의 비교적 짧고 간단한 회선만 사용할 수 있습니다.
ufw default deny incoming
ufw default deny outgoing
ufw allow from 192.168.0.2

나는 네가 이 ufw를 소개하는 문장이 매우 유용하다고 생각하길 바란다.UFW 또는 Linux와 관련된 질문이 있으면 지원 채널 https://support..com 을 통해 문의하십시오.

관련 문장


Iptables for beginners
Configure Snort IDS and Create Rules