Rovnako ako všetky distribúcie systému Linux, aj Ubuntu je už nainštalovaný firewall (firewall). Tento firewall je v skutočnosti zabudovaný do jadra. V Ubuntu bolo rozhranie príkazového riadku brány firewall nahradené o niečo ľahšie použiteľným skriptom. Avšak ufw (Uncomplicated FireWall) má aj grafické rozhranie, ktoré sa veľmi ľahko používa. V tomto príspevku predstavíme podrobného minipríručku o tom, ako používať gufw, grafické rozhranie ufw, na konfiguráciu nášho firewallu. |
Pred inštaláciou gufw nie je zlý nápad skontrolovať stav ufw. Aby som to urobil, otvoril som terminál a napísal:
sudo ufw status
Výsledok by mal povedať niečo ako: „Stav: neaktívny“. Toto je predvolený stav brány firewall v systéme Ubuntu: je nainštalovaný, ale je zakázaný.
Ak chcete nainštalovať gufw, otvoril som softvérové centrum Ubuntu a odtiaľ som ho vyhľadal.
Môžete ho tiež nainštalovať z terminálu zadaním:
sudo apt-get nainštalovať gufw
Nastavenie gufw
Po inštalácii k nej získate prístup zo sekcie Systém> Správa> Nastavenia brány firewall.
Ako vidíte na snímke obrazovky, ufw štandardne funguje tak, že prijíma všetky odchádzajúce spojenia a odmieta všetky prichádzajúce spojenia (okrem tých, ktoré súvisia s odchádzajúcimi). To znamená, že akákoľvek aplikácia, ktorú použijete, sa bude môcť bez problémov pripojiť k exteriéru (či už je to internet alebo súčasť vášho intranetu), ale ak niekto z iného počítača chce mať prístup k tej vašej, nebude to môcť.
Všetky zásady pripojenia sú uložené v súbore / etc / default / ufw. Zvláštne je, že ufw štandardne blokuje prenosy IPv6. Ak to chcete povoliť, upravte súbor / etc / default / ufw a zmeniť IPV6 = č podľa IPV6 = áno.
Vytváranie vlastných pravidiel
Kliknite na tlačidlo Pridať v hlavnom okne gufw. Existujú tri karty na vytváranie vlastných pravidiel: Predkonfigurované, Jednoduché a Pokročilé.
Z Predkonfigurovaného môžete vytvoriť sériu pravidiel pre určitý počet služieb a aplikácií. Dostupné služby sú: FTP, HTTP, IMAP, NFS, POP3, Samba, SMTP, ssh, VNC a Zeroconf. Dostupné aplikácie sú: Amule, Deluge, KTorrent, Nicotine, qBittorrent a Transmission.
Od Simple môžete vytvárať pravidlá pre predvolený port. Toto vám umožňuje vytvárať pravidlá pre služby a aplikácie, ktoré nie sú k dispozícii v Predkonfigurovanom. Ak chcete nakonfigurovať celý rad portov, môžete ich nastaviť pomocou nasledujúcej syntaxe: PORT1: PORT2.
Z časti Pokročilé môžete vytvoriť konkrétnejšie pravidlá pomocou zdrojovej a cieľovej adresy IP a portov. Existujú štyri možnosti, ako definovať pravidlo: povoliť, odmietnuť, zakázať a obmedziť. Účinok povolenia a odmietnutia je samozrejmý. Odmietnutie vráti žiadateľovi správu „ICMP: cieľ nedosiahnuteľný“. Limit vám umožňuje obmedziť počet neúspešných pokusov o pripojenie. Chráni vás to pred útokmi hrubou silou.
Po pridaní pravidla sa zobrazí v hlavnom okne gufw.
Po vytvorení pravidla sa toto pravidlo zobrazí v hlavnom okne Gufw. Pravidlo môžete zobraziť aj z terminálu shell zadaním stavu sudo ufw.
Neobvyklé učenie sa písať, niečo dobré
Nebudem vás urážať, ako to robíte tým, že sa nazývate nenormálnym, kvôli chybám v písaní, ale musím vám povedať, že „vy vidíte slamu v oku iného a nevidíte lúč vo svojom“.
V jednom písomnom riadku ste sa dopustili niekoľkých chýb a vynechaní; najdôležitejšie je možno nahradiť súčasný infinitív imperatívom.
Nie som odborník, ale ako som čítal, na zabránenie tomu, aby zariadenie reagovalo na požiadavky na ozvenu (minimálna podmienka neviditeľnosti nášho zariadenia a správne odovzdanie skenera portov), je potrebné dodržať tieto kroky:
$ sudo ufw povoliť
$ sudo nano /etc/ufw/before.rules
Kde je riadok, ktorý hovorí:
-A ufw-pred-vstupom -p icmp –icmp typu echo-požiadavka -j ACCEPT
takže to vyzerá takto:
# -A ufw-pred-vstupom -p icmp –icmp-typ echo-request -j ACCEPT
Uložte do nano pomocou ovládania + O. Ukončite pomocou ovládania + X.
Potom:
$ sudo ufw vypnúť
$ sudo ufw povoliť
Urobil som tak na svojom PC. Niekto ma opravte, ak to nie je správne.
Dobrý deň, je pravda, že v 64-bitovej verzii je GUI iné. Myslím, že to nie je také intuitívne ako GuardDog, ale skúsil som to a fungovalo to lepšie s niektorými portami, ktoré mi komplikovali, takže gufw fungoval. Tento príspevok teda prišiel priamo ku mne. Vďaka, využime ...
Pokiaľ si dobre pamätám, malo by to fungovať, aj keď reštartujete.
Tento program je iba rozhraním brány firewall, ktorá je štandardne dodávaná v systéme Ubuntu.
Na zdravie! Pavla.
Keď je firewall nakonfigurovaný, je funkčný, aj keď reštartujete počítač alebo ho treba spustiť pri každom prihlásení? Vopred dakujem za odpoved.
Ďakujem za príspevok.
Som celkom nováčik a nie som si istý, či to, čo robím, je správne z hľadiska účinnej ochrany. Jediné, čo sťahujem z internetu, je Ubuntu iso a ďalšie distribúcie, takže by som chcel mať všetky porty zatvorené a ufw to aktivujem nasledujúcim spôsobom v konzole.
»Sudo ufw enable», toto vráti správu, že je firewall aktivovaný, v ďalšom kroku vykonám nasledujúcu úpravu zadaním nasledujúceho príkazu do konzoly:
„Sudo gedit /etc/ufw/before.rules“
Na ďalšej obrazovke, ktorá sa objaví, upravím riadok tam, kde je „hotovo“, so znakom hash na začiatku riadku úplne zľava.
Teraz vám chcem položiť otázku: Je toto správne z hľadiska ochrany môjho počítača?
Vopred ďakujem za odpoveď a s pozdravom.
Áno to je pravda. V prípade, že chcete vytvárať pravidlá, odporúčam použiť gufw. 🙂
Na zdravie! Pavla.
Ďakujem veľmi pekne a s pozdravom zo Španielska
Nainštaloval som si svoju verziu 10.10.1 na Ubuntu 10.10 AMD64 sa líši, aspoň v grafickom používateľskom rozhraní od tej, ktorú vysvetľujete.
To je to, čo som dlho hľadal, ďakujem.
Aké dobré violončelo! Som rád!
Na zdravie! Pavla.
yandri som v linuxe nový, moja otázka je taká jednoduchá na konfiguráciu firewallu vo všetkých distribúciách?
hovorí sa, uč sa ...
LibreOffice Impress nemôžem pridať k výnimkám. Potrebujem, aby som mohol používať diaľkové ovládanie (Impress Remote) s wi fi. Doteraz bolo riešením dočasná deaktivácia firewalu
Ahoj…
Vynikajúci článok. Veľmi užitočný
Ďakujem moc
Ahoj kamarát, používam ubuntu 14.10, pri komentovaní pravidla som postupoval podľa krokov, ktoré si uviedol
# -A ufw-pred-vstupom -p icmp –icmp-typ echo-request -j ACCEPT
Ale keď znova urobím skenovanie portov, musím mať opäť otvorené požiadavky na Ping (ICMP Echo), používam skener GRC ShieldsUp https://www.grc.com/x/ne.dll?bh0bkyd2 , nejaké iné riešenie ??
vďaka