Bazele UFW reguli generale și de comandă firewall

Având servere în centre de date sigure din Europa. Deschideți nor VPS server / VDS pe un SSD rapid în 1 minut!

Cel mai bun Web Hosting:
- va proteja datele împotriva accesului neautorizat într-un centru european de date securizat
- va plăti cel puțin în Bitcoin.
- Acesta va pune distribuție

- protecție împotriva atacurilor DDoS-
- gratuit de backup
- Uptime 99,9999%
- DPC - TIER III
- ISP - NIVELULUI I

Suport în 24/7/365 rusă lucra cu persoane juridice și persoane fizice. Ai nevoie de acum 24 de bază și 72 GB RAM. Vă rog!

Tarifele noastre competitive dovedesc că cele mai ieftine de găzduire pe care nu a știut!

O chestiune de minute, selectați configurația, să plătească și CMS pe un VPS este gata.
Bani Înapoi - 30 de zile!

Carduri bancare, moneda electronică prin intermediul unor terminale QIWI, Webmoney, PayPal, Novoplat și altele.

Pune o intrebare 24/7/365 Suport

Găsiți răspunsurile în baza noastră de date, și să respecte recomandările din

remarcă

Cele mai multe dintre exemplele din acest manual se referă la utilizarea unui set standard de reguli UFW. Adică, firewall-ul trebuie să permită de ieșire și de a bloca traficul de intrare utilizând politici implicite. Poate fi necesar pentru a permite în mod selectiv traficul de intrare.

Efectuați toate secțiunile din gestionare a comenzilor în mod necesar, ca de cele mai multe secțiuni nu sunt conectate între ele. Se efectuează numai secțiunile corespunzătoare cerințelor de server.

Orice cod în manual, aveți posibilitatea să copiați și inserați linia de comandă, înlocuind valoarea roșie premarcat datele lor.

Pentru a verifica actualul set de reguli, introduceți:

Starea UFW sudo

sudo UFW starea verbose

sudo UFW neagă din 12.12.12.21

Blocarea conectivitate la interfața de rețea

Pentru a bloca conexiuni de la un anumit IP (12.12.12.21) la interfața de rețea (cum ar fi eth0), utilizarea:

sudo UFW neagă în eth0 pe la 12.12.12.21

Această comandă este aproape la fel ca comanda de mai sus, cu excepția condiției de pe eth0, interfața de master.

Interfața de rețea poate fi specificată în orice regulă de firewall. Acest lucru face posibil pentru a reduce setarea la o anumită interfață.

serviciul SSH

Atunci când se lucrează cu un server de nor poate fi necesar pentru a permite conexiuni SSH de intrare (port 22). Această secțiune se referă la diferitele reguli de firewall pentru serviciul SSH.

Cum de a deschide SSH

Pentru a permite conexiunea SSH de intrare, introduceți următoarea comandă:

sudo UFW permite ssh

Sintaxa alternativă (specificați portul de servicii):

sudo UFW permite 22

sudo UFW permit de la 15.15.15.0/24 la orice port 22

Instrumentul rsync, care rulează pe portul 873, poate fi folosit pentru a partaja fișiere.

sudo UFW permit de la 15.15.15.0/24 la orice port 873

Web Server

Serverele Web (de exemplu, Apache și Nginx), porturi, de obicei, tasat 80 și 443 pentru conexiuni HTTP și HTTPS, respectiv. În cazul în care politica a traficului de intrare în mod implicit este configurat pentru a respinge sau bloca acești compuși, este cel mai probabil, va trebui să schimbe acest comportament.

Cum pentru a permite intrare HTTP-trafic

Pentru a permite intrare HTTP-conexiune (portul 80), tastați următoarea comandă:

sudo UFW permite http

sintaxa alternativă necesară pentru a specifica portul:

sudo UFW permite 80

Cum pentru a permite intrare HTTPS-trafic

Pentru a permite HTTPS intrare-conexiune (port 443), de tip:

sudo UFW permit https

Sintaxa alternativă (introduceți portul):

sudo UFW permite 443

Cum pentru a permite conexiuni HTTP și HTTPS de intrare

Pentru a permite conexiuni HTTP și HTTPS de intrare, de a crea o regulă care se deschide porturile corespunzătoare. utilizați:

sudo UFW permite proto tcp de la orice la orice port 80443

Notă: specificând mai multe porturi, trebuie să specificați protocolul (Proto TCS).

serviciul MySQL

MySQL ascultă pentru conexiuni client pe portul 3306. Dacă serverul MySQL este utilizat de către client sau un server de la distanță, aveți nevoie pentru a permite firewall-ul să accepte o astfel de trafic.

Cum de a deschide MySQL la un IP sau subrețea specifică

Pentru a activa accepta conexiuni la MySQL de la un anumit IP sau subrețea, trebuie să specificați conexiunea sursei. De exemplu, pentru a permite conexiuni subrețea 15.15.15.0/24, introduceți:

sudo UFW permit de la 15.15.15.0/24 la orice port 3306

Cum de a deschide MySQL la o interfață de rețea specifică

Pentru a activa firewall-ul să accepte conexiuni la MySQL pe o interfață de rețea (de exemplu, eth1), introduceți:

sudo UFW permite în pe eth1 la orice port 3306

serviciul PostgreSQL

PostgreSQL ascultă pentru conexiuni client pe portul 5432. Dacă serverul de baze de date PostgreSQL utilizat de către client sau un server de la distanță, aveți nevoie pentru a permite firewall-ul să accepte o astfel de conectivitate.

Pentru a permite conexiuni PostgreSQL să accepte de la un anumit IP sau subrețea, trebuie să specificați conexiunea sursei. De exemplu, pentru a permite conexiuni pentru subretea 15.15.15.0/24, introduceți:

sudo UFW permit de la 15.15.15.0/24 la orice port 5432

Comanda care permite traficul de ieșire pentru conectarea PostgreSQL instalată necesară numai în cazul în care politica implicită - nu ACCEPT.

Cum de a deschide un PostgreSQL pentru o anumită interfață de rețea

Pentru a activa firewall-ul să accepte conexiuni la PostgreSQL la o interfață de rețea (de exemplu, eth1), introduceți:

sudo UFW permite în pe eth1 la orice port 5432

Comanda care permite traficul de ieșire pentru conectarea PostgreSQL instalată necesară numai în cazul în care politica implicită - nu ACCEPT.

servicii poștale

Servicii poștale (de exemplu, Sendmail sau Postfix) compuse asculta pe porturi diferite în funcție de protocolul utilizat pentru livrarea poștei. Dacă rulați un server de mail, specificați protocoalele utilizate și pentru a permite tipuri adecvate de trafic. De asemenea, în această secțiune arată cum să creați o regulă pentru a bloca ieșire SMTP-mail.

Blocarea de ieșire Adresa SMTP-mail

sudo UFW neagă 25

Aceasta configurează firewall-ul pentru a reseta tot traficul de ieșire pe portul 25.

Notă. Pentru a bloca traficul către orice alt port, pur și simplu introduceți numărul în loc de 25.

Așa cum permite intrare SMTP-compus

Pentru a permite serverului să răspundă la toate primite SMTP-a sesiune (portul 25), de tip:

sudo UFW permite 25

Notă. SMTP pentru e-mail de ieșire, utilizează în mod obișnuit portul 587.

În ceea ce permite de intrare IMAP-compus

Pentru a permite serverului să accepte toate de intrare IMAP-conexiune (portul 143), executați:

sudo UFW permite 143

Cum pot permite intrare IMAPS

Pentru a permite serverului să accepte toate de intrare IMAPS-conexiune (portul 993), utilizați:

sudo UFW permit 993

Așa cum permite intrare POP3-compus

Pentru a permite tuturor de intrare POP3-conexiune (portul 110), rulați:

sudo UFW permite 110

Așa cum permite intrare POP3S-compus

Pentru a permite tuturor de intrare POP3S-conexiune (portul 995), rulați:

sudo UFW permite 995

concluzie

Acest ghid acoperă cele mai comune comenzi pentru a configura firewall-ul folosind UFW.

UFW - un instrument foarte flexibil, de aceea este recomandat să experimenteze cu ea pe cont propriu pentru a îndeplini cerințele specifice ale serverului, în cazul în care nu sunt abordate în acest articol.

Vă mulțumim pentru conducerea ta! Am setat la locul de muncă, dar există o nuanță.
După ce a stabilit nu a vrut să înceapă.
Am genera o eroare și a jurat la iptables
A avut în fișierul de configurare / etc / default / UFW put = nr ipv6
Și se pare că totul a lucrat, dar aici e problema: foarte strans (lung 504 + eroare) a trimis scrisori oficiale la site prin intermediul smtp.

Am făcut schimb de scrisori cu VPS suport tehnic. Ei au spus că tot acest lucru încearcă să treacă prin IPv6, dar el a refuzat un paravan de protecție, apoi, după un timp trimite prin IPv4.

Vă rog să-mi spuneți dacă ați întâlnit o problemă similară? În orice caz, eu pot pune orice eroare de pe consola atunci când încercați să porniți UFW atunci când IPV6 = da