Debian Firewall Setup Best Practices für Sicherheit einrichten

Restriktive gegen zulässige Firewall -Richtlinien

Zusätzlich zu der Syntax müssen Sie wissen, um eine Firewall zu verwalten. Sie müssen die Aufgaben der Firewall definieren, um zu entscheiden, welche Richtlinien implementiert werden sollen. Es gibt 2 Hauptrichtlinien, die ein Firewall -Verhalten und verschiedene Möglichkeiten zur Implementierung definieren.

Wenn Sie Regeln hinzufügen, um bestimmte Pakete, Quellen, Ziele, Ports usw. zu akzeptieren oder abzulehnen. Die Regeln bestimmen, was mit dem Verkehr oder den Paketen passieren wird, die nicht in Ihren Firewall -Regeln eingestuft werden.

Ein extrem einfaches Beispiel wäre: Wenn Sie definieren, ob Sie das IP X Whitelist oder schwarzlist.X.X.x, was passiert mit dem Rest?.

Nehmen wir an, Sie sind der Whitelist -Verkehr aus dem IP X.X.X.X.

A zulässt Richtlinien würden bedeuten, dass alle IP -Adressen nicht x sind.X.X.x kann herstellen, also y.y.y.y oder z.z.z.z kann eine Verbindung herstellen. A restriktiv Die Richtlinie verweigert den gesamten Verkehr von Adressen, die nicht x sind.X.X.X.

Kurz gesagt, eine Firewall, nach der alle Verkehr oder Pakete, die nicht unter ihren Regeln definiert sind restriktiv. Eine Firewall, nach der alle Verkehr oder Pakete, die nicht unter ihren Regeln definiert sind zulässt.

Die Richtlinien können sich für eingehenden und ausgehenden Verkehr unterscheiden. Viele Benutzer haben den Trend, eine restriktive Richtlinie für eingehende Verkehr zu verwenden, eine zulässige Richtlinie für den ausgehenden Verkehr, abhängig von der Verwendung des geschützten Geräts variiert.

Iptables und UFW

Während Iptables ein Frontend für Benutzer ist, um die Kernel -Firewall -Regeln zu konfigurieren, ist UFW ein Frontend zum Konfigurieren von Iptables. Sie sind keine tatsächlichen Konkurrenten. Die Tatsache ist, dass UFW die Fähigkeit zur schneller Einrichtung einer individuellen Firewall hat, ohne unfreundliche Syntax zu lern Ich werde nicht über UFW angewendet, spezifische Regeln, um bestimmte Angriffe zu verhindern.

Dieses Tutorial zeigt Regeln, die ich für die besten Firewall -Praktiken betrachte, die hauptsächlich jedoch nicht nur mit UFW angewendet werden.

Wenn Sie nicht UFW installiert haben, installieren Sie es durch Ausführen:

# APT INSTALLIEREN UFW

Erste Schritte mit UFW:

Lassen Sie uns zunächst die Firewall beim Start -up aktivieren, indem wir Laufen:

# sudo ufw aktivieren

Notiz: Bei Bedarf können Sie die Firewall mit derselben Syntax deaktivieren und "Aktivieren" für "Deaktivieren" ersetzen (sudo ufw deaktivieren).

Sie können jederzeit den Firewall -Status mit Ausführlichkeit überprüfen, indem Sie ausgeführt werden:

# Sudo UFW Status ausführlich

Wie Sie in der Ausgabe sehen können, ist die Ausfallrichtlinie für eingehenden Verkehr restriktiv, während für ausgehende Verkehr die Richtlinie zulässt. Die Spalte „Deaktiviert (Routed)“ bedeutet, dass Routing und Weiterleitungen deaktiviert sind.

Für die meisten Geräte halte ich eine restriktive Richtlinie als Teil der besten Sicherheitspraktiken der Firewall. Daher verweigern wir den gesamten Verkehr, mit Ausnahme der, die wir als akzeptabel definiert haben, eine restriktive Firewall:

# sudo UFW standardmäßig einkaufen

Wie Sie sehen können, warnt uns die Firewall, unsere Regeln zu aktualisieren, um Fehler zu vermeiden, wenn Kunden, die mit uns verbunden sind. Der Weg, das Gleiche mit Iptables zu tun, könnte sein:

# iptables -a Eingabe -j Drop

Der leugnen Regel auf UFW wird die Verbindung fallen lassen, ohne die andere Seite zu informieren, dass die Verbindung abgelehnt wurde. Wenn Sie möchten, dass die andere Seite der Verbindung verweigert wurde, können Sie die Regel verwenden “ablehnen" stattdessen.

# sudo UFW Standardeingang einkomplizieren

Sobald Sie den gesamten eingehenden Verkehr unabhängig von einer beliebigen Bedingung blockiert haben Port 80, Ausführen:

# sudo ufw erlauben 80

Sie können einen Dienst sowohl nach Portnummer als auch nach dem Namen angeben. Sie können beispielsweise den Protokoll 80 wie oben oder den Namen HTTP verwenden:

Zusätzlich können Sie zu einem Dienst eine Quelle definieren. Sie können beispielsweise alle eingehenden Verbindungen mit Ausnahme einer Quell -IP verweigern oder ablehnen.

# sudo ufw erlauben aus

Common iptables Regeln übersetzt in UFW:

Die Begrenzung von rate_limit mit UFW ist ziemlich einfach. Dies ermöglicht uns, Missbrauch zu verhindern, indem wir die Anzahl, die jeder Host errichtet kann, einschränken, wobei die UFW die Rate für SSH einschränken würde:

# Sudo UFW Limit von einem beliebigen Port 22
# sudo UFW Limit SSH/TCP

Um zu sehen, wie die UFW die Aufgabe unten erleichtert, haben Sie eine Übersetzung der obigen UFW -Anweisung, um dasselbe zu unterweisen:

# sudo iptables -a ufw -user -input -p tcp -m tcp - -dort 22 -m connTrack -CTTSTATE NEW
-m aktuell -set -name Standard -mask 255.255.255.0 -RSOURCE
#sudo iptables -a ufw -user -Input -p tcp -m tcp - -dort 22 -m connTrack -CTTSTATE NEW
-M letztes -update -Sekunden 30 -HitCount 6 --Name Standard -mask 255.255.255.255
--rsource -j ufw-user-limit
«

Die oben mit UFW geschriebenen Regeln wären:

Ich hoffe.