Using `iptables` on Linux
جدول المحتويات:
- المتطلبات الأساسية
- تثبيت UFW
- تحقق من حالة UFW
- سياسات الافتراضي UFW
- ملامح التطبيق
- السماح باتصالات SSH
- تمكين UFW
- السماح بالاتصالات على المنافذ الأخرى
- افتح المنفذ 80 - HTTP
- افتح المنفذ 443 - HTTPS
- افتح المنفذ 8080
- اسمح لمجال النطاقات
- السماح بعناوين IP محددة
- السماح بعناوين IP محددة على منفذ معين
- السماح للشبكات الفرعية
- السماح بالاتصالات بواجهة شبكة محددة
- رفض الاتصالات
- حذف قواعد UFW
- تعطيل UFW
- إعادة تعيين UFW
- استنتاج
يتضمن دبيان عدة حزم توفر أدوات لإدارة جدار الحماية مع تثبيت iptables كجزء من النظام الأساسي. قد يكون الأمر معقدًا بالنسبة للمبتدئين لتعلم كيفية استخدام أداة iptables لتكوين جدار الحماية وإدارته بشكل صحيح ، لكن UFW يبسطه.
UFW (جدار حماية غير معقد) هو واجهة سهلة الاستخدام لإدارة قواعد جدار الحماية iptables وهدفها الرئيسي هو جعل إدارة iptables أسهل أو كما يقول الاسم غير معقد.
في هذا البرنامج التعليمي ، سوف نوضح لك كيفية إعداد جدار حماية باستخدام UFW في دبيان 9.
المتطلبات الأساسية
قبل المتابعة مع هذا البرنامج التعليمي ، تأكد من أن المستخدم الذي قمت بتسجيل الدخول به يتمتع بامتيازات sudo.
تثبيت UFW
لم يتم تثبيت UFW افتراضيًا في Debian 9. يمكنك تثبيت حزمة
ufw
بكتابة:
تحقق من حالة UFW
بمجرد اكتمال عملية التثبيت ، يمكنك التحقق من حالة UFW باستخدام الأمر التالي:
sudo ufw status verbose
سيبدو الإخراج كالتالي:
Status: inactive
تم تعطيل UFW بشكل افتراضي. لن يقوم التثبيت بتنشيط جدار الحماية تلقائيًا لتجنب تأمين من الخادم.
إذا تم تنشيط UFW ، سيبدو الإخراج مماثلاً لما يلي:
سياسات الافتراضي UFW
بشكل افتراضي ، سوف تحظر UFW جميع الاتصالات الواردة وتسمح بجميع الاتصالات الصادرة. هذا يعني أن أي شخص يحاول الوصول إلى الخادم الخاص بك لن يكون قادرًا على الاتصال ما لم تفتح المنفذ على وجه التحديد ، في حين أن جميع التطبيقات والخدمات التي تعمل على الخادم الخاص بك ستكون قادرة على الوصول إلى العالم الخارجي.
يتم تعريف السياسات الافتراضية في الملف
/etc/default/ufw
ويمكن تغييرها باستخدام
sudo ufw default
سياسات جدار الحماية هي أساس بناء قواعد أكثر تفصيلًا ومعرفة من قبل المستخدم. في معظم الحالات ، تعد سياسات UFW الافتراضية الأولية نقطة انطلاق جيدة.
ملامح التطبيق
عند تثبيت حزمة مع
apt
سيضيف ملف تعريف تطبيق إلى دليل
/etc/ufw/applications.d
الذي يصف الخدمة ويحتوي على إعدادات UFW.
لسرد جميع ملفات تعريف التطبيق المتاحة على نوع النظام الخاص بك:
sudo ufw app list
اعتمادًا على الحزم المثبتة على نظامك ، سيبدو الإخراج مماثلاً لما يلي:
Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…
للعثور على مزيد من المعلومات حول ملف تعريف معين والقواعد المضمنة ، استخدم الأمر التالي:
sudo ufw app info OpenSSH
Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp
يخبرنا الناتج أعلاه أن الملف الشخصي لـ OpenSSH يفتح المنفذ
22
.
السماح باتصالات SSH
قبل تمكين جدار الحماية UFW أولاً ، نحتاج إلى السماح باتصالات SSH الواردة.
إذا كنت تتصل بخادمك من موقع بعيد ، وهو ما يحدث دائمًا ، وتمكّن جدار الحماية UFW قبل السماح صراحة باتصالات SSH الواردة ، فلن تتمكن بعد ذلك من الاتصال بخادم دبيان الخاص بك.
لتكوين جدار الحماية UFW للسماح باتصالات SSH الواردة ، قم بتشغيل الأمر التالي:
sudo ufw allow OpenSSH
Rules updated Rules updated (v6)
إذا كان خادم SSH يستمع إلى منفذ آخر غير المنفذ الافتراضي 22 ، فستحتاج إلى فتح ذلك المنفذ.
على سبيل المثال ، يستمع خادم ssh على المنفذ
8822
، ثم يمكنك استخدام الأمر التالي للسماح بالاتصالات على هذا المنفذ:
تمكين UFW
الآن بعد تكوين جدار الحماية UFW الخاص بك للسماح باتصالات SSH الواردة ، يمكنك تمكينه عن طريق تشغيل:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
سيتم تحذيرك من أن تمكين جدار الحماية قد يعطل اتصالات ssh الحالية ، فقط اكتب
y
واضغط على
Enter
.
السماح بالاتصالات على المنافذ الأخرى
اعتمادًا على التطبيقات التي تعمل على الخادم الخاص بك والاحتياجات المحددة الخاصة بك ، ستحتاج أيضًا إلى السماح بالوصول الوارد إلى بعض المنافذ الأخرى.
فيما يلي عدة أمثلة حول كيفية السماح بالاتصالات الواردة إلى بعض الخدمات الأكثر شيوعًا:
افتح المنفذ 80 - HTTP
يمكن السماح باتصالات HTTP باستخدام الأمر التالي:
sudo ufw allow
بدلاً من ملف تعريف
http
، يمكنك استخدام رقم المنفذ ،
80
:
افتح المنفذ 443 - HTTPS
يمكن السماح باتصالات HTTP باستخدام الأمر التالي:
sudo ufw allow
لتحقيق ذلك بدلاً من
https
يمكنك استخدام رقم المنفذ ،
443
:
افتح المنفذ 8080
اسمح لمجال النطاقات
مع UFW ، يمكنك أيضًا السماح بالوصول إلى نطاقات المنافذ. عند السماح لنطاقات المنافذ باستخدام UFW ، يجب عليك تحديد البروتوكول ، إما
tcp
أو
udp
.
على سبيل المثال ، للسماح للمنافذ من
7100
إلى
7200
على كل من
tcp
و
udp
، قم بتشغيل الأمر التالي:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
السماح بعناوين IP محددة
sudo ufw allow from 64.63.62.61
السماح بعناوين IP محددة على منفذ معين
للسماح بالوصول على منفذ معين ، دعنا نقول المنفذ 22 من جهاز العمل الخاص بك مع عنوان IP 64.63.62.61 استخدم الأمر التالي:
sudo ufw allow from 64.63.62.61 to any port 22
السماح للشبكات الفرعية
أمر السماح بالاتصال بشبكة فرعية من عناوين IP هو نفسه عند استخدام عنوان IP واحد ، والفرق الوحيد هو أنك تحتاج إلى تحديد قناع الشبكة. على سبيل المثال ، إذا كنت تريد السماح بالوصول إلى عناوين IP التي تتراوح من 192.168.1.1 إلى 192.168.1.254 إلى المنفذ 3360 (MySQL) ، يمكنك استخدام هذا الأمر:
sudo ufw allow from 192.168.1.0/24 to any port 3306
السماح بالاتصالات بواجهة شبكة محددة
للسماح بالوصول على منفذ معين ، دعنا نقول المنفذ 3360 فقط لـ
eth2
لواجهة شبكة محددة ، استخدم اسم الدخول واسم واجهة الشبكة:
sudo ufw allow in on eth2 to any port 3306
رفض الاتصالات
تم تعيين السياسة الافتراضية لجميع الاتصالات الواردة على
deny
مما يعني أن UFW ستحظر جميع الاتصالات الواردة إلا إذا قمت بفتح الاتصال على وجه التحديد.
لنفترض أنك فتحت المنفذين
80
و
443
وأن
23.24.25.0/24
يتعرض للهجوم من شبكة
23.24.25.0/24
. لرفض جميع الاتصالات من
23.24.25.0/24
، استخدم الأمر التالي:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
كتابة قواعد رفض هي نفس قواعد السماح بالكتابة ، ما عليك سوى استبدال
allow
به.
حذف قواعد UFW
هناك طريقتان مختلفتان لحذف قواعد UFW ، حسب رقم القاعدة وتحديد القاعدة الفعلية.
يعد حذف قواعد UFW حسب رقم القاعدة أسهلًا خاصةً إذا كنت جديدًا على UFW.
لحذف قاعدة برقم القاعدة أولاً ، تحتاج إلى العثور على رقم القاعدة التي تريد حذفها. للقيام بذلك ، قم بتشغيل الأمر التالي:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
لحذف القاعدة رقم 3 ، القاعدة التي تسمح بالاتصال بالمنفذ 8080 ، يمكنك استخدام الأمر التالي:
sudo ufw delete 2
الطريقة الثانية هي حذف قاعدة عن طريق تحديد القاعدة الفعلية. على سبيل المثال ، إذا أضفت قاعدة لفتح المنفذ
8069
فيمكنك حذفها باستخدام:
تعطيل UFW
إذا كنت ترغب في إيقاف تشغيل UFW لأي سبب من الأسباب وإلغاء تنشيط جميع القواعد ، فقم بتشغيل:
sudo ufw disable
في وقت لاحق إذا كنت ترغب في إعادة تمكين UTF وتفعيل جميع القواعد ، اكتب فقط:
إعادة تعيين UFW
تؤدي إعادة تعيين UFW إلى تعطيل UFW ، وحذف جميع القواعد النشطة. يعد هذا مفيدًا إذا كنت ترغب في التراجع عن كل تغييراتك والبدء من جديد.
لإعادة تعيين UFW ، ببساطة اكتب الأمر التالي:
استنتاج
لقد تعلمت كيفية تثبيت وتكوين جدار الحماية UFW على جهاز Debian 9 الخاص بك. تأكد من السماح لجميع الاتصالات الواردة الضرورية لتشغيل نظامك بشكل صحيح ، مع الحد من جميع الاتصالات غير الضرورية.
ufw جدار الحماية iptables ديبيان الأمنالتحكم في جدار حماية Windows: تكوين إعدادات جدار حماية Windows وإدارتها
التحكم في جدار حماية Windows هو برنامج مجاني يوفر وصولاً سريعًا إلى الخيارات والميزات الأكثر شيوعًا من جدار حماية ويندوز. استخدمه لإدارة الاتصالات.
مستكشف جدار حماية Windows ومصلحها: إصلاح مشاكل جدار حماية Windows وإصلاحها تلقائيًا
استكشاف أخطاء جدار حماية Windows وإصلاحها. هل جدار حماية Windows لديك يعطيك مشاكل؟ هل تحصل على تحذير أمان تم إيقاف تشغيل "جدار حماية Windows" أو ربما لا يمكنك الوصول إلى الملفات أو الطابعات المشتركة.
كيفية إعداد جدار الحماية مع ufw على أوبونتو 18.04
بشكل افتراضي ، يأتي Ubuntu مع أداة تكوين جدار الحماية تسمى UFW (جدار حماية غير معقد). UFW هي واجهة سهلة الاستخدام لإدارة قواعد جدار الحماية iptables وهدفها الرئيسي هو جعل إدارة iptables أسهل أو كما يقول الاسم غير معقد.