UFW : बुनियादी उपयोग2023/09/20 |
|
यह UFW (Uncomplicated FireWall) का आधार है।
|
|
| [1] | UFW nftables/iptables का फ्रंटएंड टूल है। Ubuntu 22.04 पर, UFW का डिफ़ॉल्ट बैकएंड nftables है। |
|
root@dlp:~# update-alternatives --config iptables There are 2 choices for the alternative iptables (providing /usr/sbin/iptables). Selection Path Priority Status ------------------------------------------------------------ * 0 /usr/sbin/iptables-nft 20 auto mode 1 /usr/sbin/iptables-legacy 10 manual mode 2 /usr/sbin/iptables-nft 20 manual mode Press <enter> to keep the current choice[*], or type selection number: |
| [2] | UFW का उपयोग करने के लिए, उसे UFW सेवा चलाने की आवश्यकता है। (डिफ़ॉल्ट रूप से चल रहा है) इसके अलावा, भले ही सेवा चल रही हो, UFW डिफ़ॉल्ट रूप से अक्षम है, इसलिए इसे मैन्युअल रूप से सक्षम करने की आवश्यकता है। |
|
root@dlp:~# systemctl status ufw
* ufw.service - Uncomplicated firewall
Loaded: loaded (/lib/systemd/system/ufw.service; enabled; vendor preset: e>
Active: active (exited) since Fri 2022-09-30 04:33:04 UTC; 59min ago
Docs: man:ufw(8)
Process: 548 ExecStart=/lib/ufw/ufw-init start quiet (code=exited, status=0>
Main PID: 548 (code=exited, status=0/SUCCESS)
CPU: 925us
# वर्तमान स्थिति root@dlp:~# ufw status Status: inactive # ufw सक्षम करें root@dlp:~# ufw enable Firewall is active and enabled on system startup
root@dlp:~#
ufw status Status: active # ufw को अक्षम करें root@dlp:~# ufw disable Firewall stopped and disabled on system startup |
| [3] | यह UFW द्वारा सेवाओं या पोर्ट की अनुमति देने का आधार है। |
|
# आने वाले सभी कनेक्शन डिफ़ॉल्ट रूप से अस्वीकृत हैं root@dlp:~# ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip # उदाहरण के लिए, SSH को अनुमति दें root@dlp:~# ufw allow ssh Rule added Rule added (v6) # उदाहरण के लिए, HTTP की अनुमति दें root@dlp:~# ufw allow http Rule added Rule added (v6) # उदाहरण के लिए, 2049/tcp की अनुमति दें root@dlp:~# ufw allow 2049/tcp Rule added Rule added (v6)root@dlp:~# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22/tcp ALLOW IN Anywhere
80/tcp ALLOW IN Anywhere
2049/tcp ALLOW IN Anywhere
22/tcp (v6) ALLOW IN Anywhere (v6)
80/tcp (v6) ALLOW IN Anywhere (v6)
2049/tcp (v6) ALLOW IN Anywhere (v6)
# * [ufw allow (service name)] चलाते समय, [/etc/services] में पोर्ट सेट की अनुमति है
|
| [4] | यह UFW द्वारा नियमों को हटाने का आधार है। |
|
root@dlp:~# ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 2049/tcp ALLOW IN Anywhere 22/tcp (v6) ALLOW IN Anywhere (v6) 80/tcp (v6) ALLOW IN Anywhere (v6) 2049/tcp (v6) ALLOW IN Anywhere (v6) # उदाहरण के लिए, SSH अनुमति नियम हटाएँ root@dlp:~# ufw delete allow ssh Rule deleted Rule deleted (v6) # उदाहरण के लिए, 80/tcp अनुमति नियम को हटा दें root@dlp:~# ufw delete allow 80/tcp Rule deleted Rule deleted (v6) # नियम संख्या के साथ स्थिति दिखाएं root@dlp:~# ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 2049/tcp ALLOW IN Anywhere
[ 2] 2049/tcp (v6) ALLOW IN Anywhere (v6)
# नियम संख्या निर्दिष्ट करने वाला नियम हटाएँ root@dlp:~# ufw delete 2
Deleting:
allow 2049/tcp
Proceed with operation (y|n)? y
Rule deleted (v6)
# सभी नियमों को हटाने और UFW को अक्षम करने के लिए, निम्नानुसार चलाएँ root@dlp:~# ufw reset
Resetting all rules to installed defaults. Proceed with operation (y|n)? y
Backing up 'user.rules' to '/etc/ufw/user.rules.20221004_011751'
Backing up 'before.rules' to '/etc/ufw/before.rules.20221004_011751'
Backing up 'after.rules' to '/etc/ufw/after.rules.20221004_011751'
Backing up 'user6.rules' to '/etc/ufw/user6.rules.20221004_011751'
Backing up 'before6.rules' to '/etc/ufw/before6.rules.20221004_011751'
Backing up 'after6.rules' to '/etc/ufw/after6.rules.20221004_011751'
root@dlp:~# ufw status Status: inactive |
| [5] | यह विशिष्ट स्रोत या गंतव्य होस्ट के साथ सेवाओं या बंदरगाहों को अनुमति देने का आधार है। |
|
# उदाहरण के लिए, SSH को केवल [10.0.0.215] से अनुमति दें root@dlp:~# ufw allow from 10.0.0.215 to any port ssh Rule added # उदाहरण के लिए, केवल [80/tcp] को [10.0.0.215] से [10.0.0.30] तक की अनुमति दें root@dlp:~# ufw allow from 10.0.0.215 to 10.0.0.30 port 80 proto tcp Rule added # उदाहरण के लिए, SSH को [10.0.0.220] से सीमित करें # * over 6 consecutive SSH trial within 30 seconds are denided root@dlp:~# ufw limit from 10.0.0.220 to any port ssh Rule added ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From -- ------ ---- 22/tcp ALLOW IN 10.0.0.215 10.0.0.30 80/tcp ALLOW IN 10.0.0.215 22/tcp LIMIT IN 10.0.0.220 # limit का उपयोग करते समय, निम्नलिखित नियम कॉन्फ़िगर किए जाते हैं root@dlp:~# nft list ruleset | grep 'dport 22' meta l4proto tcp ip saddr 10.0.0.220 tcp dport 22 ct state new # recent: SET name: DEFAULT side: source mask: 255.255.255.255 counter packets 0 bytes 0 meta l4proto tcp ip saddr 10.0.0.220 tcp dport 22 ct state new # recent: UPDATE seconds: 30 hit_count: 6 name: DEFAULT side: source mask: 255.255.255.255 counter packets 0 bytes 0 jump ufw-user-limit meta l4proto tcp ip saddr 10.0.0.220 tcp dport 22 counter packets 0 bytes 0 jump ufw-user-limit-accept |
| [6] | ICMP संबंधित सेटिंग्स को कॉन्फ़िगर करने के लिए, नीचे कॉन्फ़िगरेशन फ़ाइल को संपादित करें। आने वाले सभी कनेक्शनों को डिफ़ॉल्ट रूप से अस्वीकार कर दिया जाता है लेकिन ICMP से संबंधित कनेक्शनों की अनुमति है। |
|
root@dlp:~#
vi /etc/ufw/before.rules # ICMP संबंधित कनेक्शन की अनुमति नीचे दी गई सेटिंग्स द्वारा दी गई है # यदि आप उन्हें अस्वीकार करना चाहते हैं, तो बस निम्नलिखित सभी प्रकार की टिप्पणी करें # ok icmp codes for INPUT # -A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT # -A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT # -A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT # -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT # ok icmp code for FORWARD # -A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT # -A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT # -A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT # -A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT # सेटिंग्स पुनः लोड करें root@dlp:~# ufw reload Firewall reloaded # विशिष्ट आईपी पते या नेटवर्क से [echo-request] को अनुमति देने के लिए, निम्नानुसार सेट करें # * दूरस्थ होस्ट से पिंग का उत्तर
root@dlp:~#
vi /etc/ufw/before.rules # उदाहरण के लिए, [echo-request] को [10.0.0.0/24] से अनुमति दें # ok icmp codes for INPUT # -A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT # -A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT # -A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT # -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT -A ufw-before-input -p icmp --icmp-type echo-request -s 10.0.0.0/24 -j ACCEPT # ok icmp code for FORWARD # -A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT # -A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT # -A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT # -A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPTroot@dlp:~# ufw reload Firewall reloaded |
| Sponsored Link |