このチュートリアルでは、Debian9を実行しているLinuxVPSにUFWファイアウォールシステムをインストールして使用する方法を示します。独自のサーバーを実行する場合、セキュリティは非常に重要な考慮事項です。
UFW(Uncomplicated Firewall)は、iptablesファイアウォールルールを管理するためのシンプルでユーザーフレンドリーなフロントエンドです。UFWは、ユーザーに使いやすいインターフェイスを提供し、より多くのユーザーが安全なサーバーにアクセスできるようにすることを目的としています。ファイアウォールの概念に慣れていない初心者ユーザー向けに特別に設計されています。
インストールから始めましょう。
前提条件
- このチュートリアルでは、Debian9VPSを使用します。
- 完全なSSHルートアクセスまたはsudo権限を持つユーザーも必要です。
ステップ1:SSH経由で接続し、OSを更新する
次のコマンドを使用して、rootユーザーとしてSSH経由でサーバーに接続します。
ssh root@IP_ADDRESS -p PORT_NUMBER
「IP_ADDRESS」と「PORT_NUMBER」をサーバーのそれぞれのIPアドレスとSSHポート番号に置き換えることを忘れないでください。
インストールを開始する前に、OSパッケージを最新バージョンに更新する必要があります。簡単に実行でき、数分もかかりません。
これを行うには、次のコマンドを実行します。
apt-get update apt-get upgrade
更新が完了したら、次のステップに進むことができます。
ステップ2:UFWをインストールする
デフォルトでは、UFWはDebian 9にインストールされていません。次のコマンドを実行してUFWをインストールできます:
apt-get install ufw
インストールが完了すると、次のコマンドを使用してUFWのステータスを確認できます。
ufw status verbose
出力は次のようになります。
Status: inactive
サーバーからのロックアウトを回避するために、UFWはデフォルトで無効になっています。
ステップ3:SSH接続を許可する
デフォルトでは、DebianVPSへのすべての着信接続はUFWによってブロックされます-誰もそれに接続できません。したがって、UFWファイアウォールを有効にする前に着信SSH接続を許可する必要があります。
ufw allow ssh
または
ufw allow 22/tcp
ステップ4:UFWを有効にする
UFWを有効にするには、次のコマンドを使用できます:
ufw enable
有効にすると、UFWはすべての着信接続をブロックし、すべての発信接続を許可します。デフォルト設定を確認するには、次のコマンドを使用できます。
ufw show raw
または
grep 'DEFAULT_' /etc/default/ufw
出力は次のようになります:
DEFAULT_INPUT_POLICY="DROP" DEFAULT_OUTPUT_POLICY="ACCEPT" DEFAULT_FORWARD_POLICY="DROP" DEFAULT_APPLICATION_POLICY="SKIP"
それでおしまい!これで、サーバーにUFWがインストールされ、有効になりました。ご覧のとおり、デフォルトでは、すべての着信接続が拒否されます。サーバーにリモートでアクセスする場合は、特にポートを開く必要があります。
他のサービスの許可
他の着信接続も許可する必要がある場合があります。
ufw allow 21/tcp ufw allow 80/tcp ufw allow 443/tcp
次のコマンドを使用して、UFWステータスを確認できます。
ufw status
出力は次のようになります。
Status: active To Action From -- ------ ---- 22/tcp ALLOW Anywhere 21/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6) 21/tcp (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6) 443/tcp (v6) ALLOW Anywhere (v6)
たとえば、ポート80へのアクセスを拒否する場合は、次のコマンドを実行する必要があります。
ufw deny 80/tcp
ポート21での着信接続を許可するルールを削除するには、次のコマンドを実行します。
ufw delete allow 21/tcp
特定のIPアドレスとポート範囲からの接続を許可する
次のコマンドを使用して、特定のIPアドレスからの接続を許可することもできます。
ufw allow 192.168.10.100
サブネットマスクを使用して範囲を広げることができます:
ufw allow 192.168.10.0/24
IPアドレス、ポート、プロトコルを1つのコマンドで組み合わせることもできます。たとえば、IP 192.168.10.100、プロトコルtcp、およびポート22からの接続のみを許可するには、次のコマンドを実行する必要があります。
ufw allow from 192.168.10.100 proto tcp to any port 22
UFWでポート範囲を指定することもできます。たとえば、TCPポート1100〜1200を許可するには、次のコマンドを実行します。
ufw allow 1100:1200/tcp
たとえば、ポート1100〜1200でUDPを許可する場合は、次のコマンドを使用する必要があります。
ufw allow 1100:1200/udp
着信接続の拒否
構文を拒否するUFWは、トラフィックを無視するだけです。トラフィックが拒否されていることを送信者に知らせるには、次のコマンドを実行します。
ufw reject 443
誰かがポート443に接続しようとすると、次の拒否メッセージが表示されます。
telnet: Unable to connect to remote host: Connection refused
UFWレポートの表示
次のコマンドで追加されたルールのリストを表示できます:
ufw show added
出力は次のようになります。
Added user rules (see 'ufw status' for running firewall): ufw allow 22/tcp ufw allow 21/tcp ufw allow 80/tcp ufw allow 443/tcp
UFWの無効化
何らかの理由でUFWを無効にする必要がある場合は、次のコマンドを実行できます。
ufw disable
すべてのルールをデフォルト設定にリセットするには、次のコマンドを使用します。
ufw reset
その他の使用コマンドには–helpフラグを使用できます:
ufw --help
以上です。このチュートリアルでは、UFWファイアウォールシステムをインストールして有効にする方法を学びました。また、さまざまなレベルの基準を使用して、UFWファイアウォールシステムにルールを追加および削除する方法についても説明しました。
もちろん、管理対象のDebian VPSホスティングサービスの1つを使用する場合は、Debian 9でUFWを使用してファイアウォールを構成する必要はありません。その場合は、専門のLinux管理者にDebian9でUFWをインストールして構成するよう依頼するだけです。 。 24時間年中無休でご利用いただけます。リクエストはすぐに処理されます。
PS 。 Debian9でUFWを使用してファイアウォールを構成する方法に関するこの投稿が気に入った場合 、以下の共有ショートカットを使用してソーシャルネットワークで友達と共有するか、コメントセクションにコメントを残してください。ありがとう。