डेबियन 9 पर ufw के साथ एक फ़ायरवॉल कैसे स्थापित करें

डेबियन में कई पैकेज शामिल हैं जो आधार प्रणाली के हिस्से के रूप में स्थापित iptables के साथ एक फ़ायरवॉल के प्रबंधन के लिए उपकरण प्रदान करते हैं। शुरुआती लोगों के लिए यह सीखना जटिल हो सकता है कि फ़ायरवॉल को ठीक से कॉन्फ़िगर करने और प्रबंधित करने के लिए iptables टूल का उपयोग कैसे करें, लेकिन UFW इसे सरल करता है।

UFW (Uncomplicated Firewall) iptables फ़ायरवॉल नियमों को प्रबंधित करने के लिए एक उपयोगकर्ता के अनुकूल फ्रंट-एंड है और इसका मुख्य लक्ष्य iptables का प्रबंधन आसान बनाना है या जैसा कि नाम कहता है कि सीधी है।

इस ट्यूटोरियल में, हम आपको बताएंगे कि डेबियन 9 पर UFW के साथ फ़ायरवॉल कैसे सेट करें।

आवश्यक शर्तें

इस ट्यूटोरियल के साथ आगे बढ़ने से पहले, सुनिश्चित करें कि आपके द्वारा लॉगिन किए गए उपयोगकर्ता में sudo विशेषाधिकार हैं।

UFW स्थापित करें

UFW डिफ़ॉल्ट रूप से डेबियन 9 में स्थापित नहीं है। आप टाइप करके ufw पैकेज स्थापित कर सकते हैं:

sudo apt install ufw

UFW स्थिति की जाँच करें

एक बार इंस्टॉलेशन प्रक्रिया पूरी होने के बाद, आप निम्न कमांड के साथ UFW की स्थिति देख सकते हैं:

sudo ufw status verbose

आउटपुट इस तरह दिखेगा:

Status: inactive

UFW डिफ़ॉल्ट रूप से अक्षम है। सर्वर से लॉकआउट से बचने के लिए स्थापना फ़ायरवॉल को स्वचालित रूप से सक्रिय नहीं करेगी।

यदि UFW सक्रिय है, तो आउटपुट निम्न के जैसा दिखेगा:

UFW डिफ़ॉल्ट नीतियां

डिफ़ॉल्ट रूप से, UFW आने वाले सभी कनेक्शनों को ब्लॉक कर देगा और सभी आउटबाउंड कनेक्शनों की अनुमति देगा। इसका मतलब यह है कि आपके सर्वर तक पहुंचने का प्रयास करने वाला कोई भी व्यक्ति तब तक कनेक्ट नहीं कर पाएगा जब तक कि आप विशेष रूप से पोर्ट नहीं खोलते हैं, जबकि आपके सर्वर पर चलने वाले सभी एप्लिकेशन और सेवाएं बाहरी दुनिया तक पहुंचने में सक्षम होंगे।

डिफ़ॉल्ट /etc/default/ufw फ़ाइल में परिभाषित किए गए हैं और sudo ufw default का उपयोग करके बदला जा सकता है आदेश।

फ़ायरवॉल नीतियां अधिक विस्तृत और उपयोगकर्ता-परिभाषित नियमों के निर्माण की नींव हैं। ज्यादातर मामलों में, प्रारंभिक यूएफडब्ल्यू डिफ़ॉल्ट नीतियां एक अच्छा प्रारंभिक बिंदु हैं।

आवेदन प्रोफाइल

apt साथ एक पैकेज स्थापित करते समय यह /etc/ufw/applications.d निर्देशिका में एक एप्लिकेशन प्रोफ़ाइल जोड़ देगा जो सेवा का वर्णन करता है और इसमें UFW सेटिंग्स शामिल हैं।

आपके सिस्टम प्रकार पर उपलब्ध सभी एप्लिकेशन प्रोफाइलों को सूचीबद्ध करने के लिए:

sudo ufw app list

आपके सिस्टम पर स्थापित पैकेजों के आधार पर आउटपुट निम्न के जैसा दिखेगा:

Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…

किसी विशिष्ट प्रोफ़ाइल और शामिल नियमों के बारे में अधिक जानकारी प्राप्त करने के लिए, निम्नलिखित कमांड का उपयोग करें:

sudo ufw app info OpenSSH

Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp

ऊपर का आउटपुट हमें बताता है कि ओपनएसएसएच प्रोफाइल पोर्ट 22 खोलता है।

SSH कनेक्शन्स की अनुमति दें

UFW फ़ायरवॉल को सक्षम करने से पहले हमें आने वाले SSH कनेक्शन की अनुमति देने की आवश्यकता है।

यदि आप किसी दूरस्थ स्थान से अपने सर्वर से कनेक्ट कर रहे हैं, जो लगभग हमेशा ही होता है और आप आने वाले SSH कनेक्शनों को स्पष्ट रूप से अनुमति देने से पहले UFW फ़ायरवॉल को सक्षम करते हैं तो आप अपने Debian सर्वर से कनेक्ट नहीं कर पाएंगे।

आने वाले SSH कनेक्शन की अनुमति देने के लिए अपने UFW फ़ायरवॉल को कॉन्फ़िगर करने के लिए, निम्न कमांड चलाएँ:

sudo ufw allow OpenSSH

Rules updated Rules updated (v6)

यदि SSH सर्वर डिफ़ॉल्ट पोर्ट 22 के अलावा किसी पोर्ट पर सुन रहा है, तो आपको उस पोर्ट को खोलना होगा।

उदाहरण के लिए, आपका ssh सर्वर पोर्ट 8822 पर सुनता है, तो आप उस पोर्ट पर कनेक्शन की अनुमति देने के लिए निम्न कमांड का उपयोग कर सकते हैं:

sudo ufw allow 8822/tcp

UFW सक्षम करें

अब जब आपके UFW फ़ायरवॉल को आने वाले SSH कनेक्शन की अनुमति देने के लिए कॉन्फ़िगर किया गया है, तो आप इसे चलाकर सक्षम कर सकते हैं:

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup

आपको चेतावनी दी जाएगी कि फ़ायरवॉल को सक्षम करने से मौजूदा ssh कनेक्शन बाधित हो सकते हैं, बस y टाइप Enter और Enter ।

अन्य पोर्ट पर कनेक्शन की अनुमति दें

आपके सर्वर पर चलने वाले एप्लिकेशन और आपकी विशिष्ट आवश्यकताओं के आधार पर आपको कुछ अन्य पोर्ट पर आने वाली एक्सेस की अनुमति भी देनी होगी।

नीचे कुछ सामान्य सेवाओं के लिए आने वाले कनेक्शन की अनुमति देने के कई उदाहरण दिए गए हैं:

ओपन पोर्ट 80 - एचटीटीपी

HTTP कमांड को निम्नलिखित कमांड के साथ अनुमति दी जा सकती है:

sudo ufw allow

http प्रोफाइल के बजाय, आप पोर्ट संख्या 80 उपयोग कर सकते हैं:

sudo ufw allow 80/tcp

ओपन पोर्ट 443 - HTTPS

HTTP कमांड को निम्नलिखित कमांड के साथ अनुमति दी जा सकती है:

sudo ufw allow

https बजाय समान प्राप्त करने के लिए आप पोर्ट नंबर, 443 उपयोग कर सकते हैं:

sudo ufw allow 443/tcp

ओपन पोर्ट 8080

sudo ufw allow 8080/tcp

पोर्ट रेंज की अनुमति दें

यूएफडब्ल्यू के साथ आप पोर्ट रेंज तक पहुंच की अनुमति भी दे सकते हैं। यूएफडब्ल्यू के साथ पोर्ट की अनुमति देते समय, आपको प्रोटोकॉल निर्दिष्ट करना चाहिए, या तो tcp या udp ।

उदाहरण के लिए, tcp और udp दोनों पर 7100 से 7200 तक पोर्ट की अनुमति देने के लिए, निम्न कमांड चलाएँ:

sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp

विशिष्ट आईपी पते की अनुमति दें

sudo ufw allow from 64.63.62.61

विशिष्ट पोर्ट पर विशिष्ट IP पते की अनुमति दें

किसी विशिष्ट पोर्ट पर पहुंच की अनुमति देने के लिए, आइए 64.63.62.61 के IP पते के साथ अपनी कार्य मशीन से पोर्ट 22 को निम्नलिखित बातों का उपयोग करें:

sudo ufw allow from 64.63.62.61 to any port 22

सबनेट की अनुमति दें

IP पते के सबनेट से कनेक्शन की अनुमति देने की कमान एक ही आईपी पते का उपयोग करते समय समान है, केवल अंतर यह है कि आपको नेटमास्क निर्दिष्ट करने की आवश्यकता है। उदाहरण के लिए, यदि आप आईपी पते के लिए 192.168.1.1 से 192.168.1.254 तक पोर्ट 3360 (MySQL) का उपयोग करने की अनुमति देना चाहते हैं, तो आप इस कमांड का उपयोग कर सकते हैं:

sudo ufw allow from 192.168.1.0/24 to any port 3306

किसी विशिष्ट नेटवर्क इंटरफ़ेस से कनेक्शन की अनुमति दें

किसी विशिष्ट पोर्ट पर एक्सेस की अनुमति देने के लिए आइए पोर्ट 3360 को केवल विशिष्ट नेटवर्क इंटरफेस eth2 , allow in on एंड नेटवर्क नाम के उपयोग की allow in on :

sudo ufw allow in on eth2 to any port 3306

कनेक्शन से इनकार

सभी आवक कनेक्शनों के लिए डिफ़ॉल्ट नीति को deny करने के लिए सेट किया गया है, जिसका अर्थ है कि UFW सभी आवक कनेक्शन को अवरुद्ध कर देगा जब तक कि आप विशेष रूप से कनेक्शन नहीं खोलते।

मान लें कि आपने पोर्ट 80 और 443 खोले हैं और आपके सर्वर पर 23.24.25.0/24 नेटवर्क से हमला हो 23.24.25.0/24 है। 23.24.25.0/24 से सभी कनेक्शनों को अस्वीकार करने के लिए, निम्नलिखित कमांड का उपयोग करें:

sudo ufw deny from 23.24.25.0/24

sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443

इनकार के नियम लिखना उसी तरह है जैसे लिखने की अनुमति देना नियम है, आपको केवल deny साथ allow को बदलने allow आवश्यकता है।

UFW नियम हटाएं

यूएफडब्ल्यू नियमों को हटाने के दो अलग-अलग तरीके हैं, नियम संख्या और वास्तविक नियम निर्दिष्ट करके।

यूएफडब्ल्यू नियमों को नियम संख्या से हटाना आसान है, खासकर यदि आप यूएफडब्ल्यू के लिए नए हैं।

किसी नियम संख्या द्वारा किसी नियम को हटाने के लिए सबसे पहले आपको उस नियम की संख्या ज्ञात करनी होगी जिसे आप हटाना चाहते हैं। निम्नलिखित कमांड को चलाने के लिए:

sudo ufw status numbered

Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere

नियम संख्या 3 को हटाने के लिए, वह नियम जो 8080 को कनेक्शन पोर्ट करने की अनुमति देता है, आप निम्न कमांड का उपयोग कर सकते हैं:

sudo ufw delete 2

दूसरी विधि वास्तविक नियम को निर्दिष्ट करके एक नियम को हटाना है। उदाहरण के लिए, यदि आपने पोर्ट 8069 खोलने के लिए कोई नियम जोड़ा है, तो आप इसे हटा सकते हैं:

sudo ufw delete allow 8069

UFW को अक्षम करें

यदि किसी भी कारण से आप UFW को रोकना चाहते हैं और सभी नियमों को निष्क्रिय करना चाहते हैं:

sudo ufw disable

बाद में यदि आप UTF को फिर से सक्षम और सभी नियमों को सक्रिय करना चाहते हैं:

sudo ufw enable

UFW रीसेट करें

UFW को रीसेट करने से UFW अक्षम हो जाएगा, और सभी सक्रिय नियमों को हटा दिया जाएगा। यदि आप अपने सभी परिवर्तनों को वापस करना चाहते हैं और नए सिरे से शुरुआत करना चाहते हैं तो यह उपयोगी है।

UFW को रीसेट करने के लिए बस निम्न कमांड टाइप करें:

sudo ufw reset

निष्कर्ष

आपने अपने डेबियन 9 मशीन पर UFW फ़ायरवॉल को स्थापित और कॉन्फ़िगर करना सीख लिया है। सभी अनावश्यक कनेक्शनों को सीमित करते हुए, आपके सिस्टम के उचित कामकाज के लिए आवश्यक सभी आवक कनेक्शनों की अनुमति देना सुनिश्चित करें।

ufw फ़ायरवॉल iptables डेबियन सुरक्षा