LinuxYazılarYazılım Konuları

Ubuntu UFW Kullanımı: Ubuntu UFW Firewall Rehberi

Mehmed Gürbüz avatarı
14 Ağustos 2021
Son Güncelleme: Mayıs 20, 2023
3 dkd. okuma
0
Ubuntu UFW Kullanımı: Ubuntu UFW Firewall Rehberi, Ubuntu ve Centos kullanıcılarına UFW'nin kurulumu, yapılandırması ve güvenlik duvarı ayarlarının nasıl yapılacağı konusunda kapsamlı bir rehber sunmaktadır. Bu rehberde, Ubuntu UFW komutları ve kullanımı, ağ trafiği kontrolü, güvenlik politikaları ve kuralları gibi konular ele alınarak, Ubuntu kullanıcılarının sistemlerini etkili bir şekilde korumaları sağlanmaktadır. Ayrıca, UFW ile ilgili hata ayıklama ve sorun giderme yöntemleriyle birlikte gelişmiş güvenlik önlemleri ve dış erişimi sınırlama stratejileri de açıklanmaktadır. Ubuntu UFW kullanıcıları için kapsamlı bir kaynak olarak bu rehber, güvenli bir sistem oluşturmak ve ağ güvenliği konusunda bilinçli adımlar atmalarını sağlamak amacıyla tasarlanmıştır

Ubuntu için varsayılan güvenlik duvarı aracı olan Ubuntu UFW hakkında detaylı bilgi ve kurulumu barındıran bu rehberde, UFW’nin kullanımı ve firewall ayarlarının yapılandırılması anlatılacaktır.

Anahtar Kelimeler: Ubuntu UFW kullanımı, Ubuntu UFW firewall rehberi

İptables güvenlik duvarı ile yapılandırmasını kolaylaştırmak için geliştirilen UFW, IPv4 veya IPv6 ana bilgisayar tabanlı güvenlik duvarı oluşturmak için kullanıcı dostu bir yöntem sunar.

UFW varsayılan olarak sunucunuzda devre dışı olarak gelir. Ancak, bu rehberde, UFW’nin nasıl etkinleştirileceği ve kullanılacağı adımlar halinde açıklanmaktadır.

Ubuntu UFW, eksiksiz bir güvenlik duvarı işlevi sağlamak için değil, basit kurallar eklemek veya kaldırmak için kolay bir yol sağlamak amacıyla tasarlanmıştır. Bu nedenle, özellikle ana bilgisayar tabanlı güvenlik duvarları için tercih edilmektedir.

Aşağıda, Ubuntu UFW’nin nasıl kullanılacağına dair kılavuz niteliğindeki açıklamalara yer verdim:

Ubuntu UFW Kullanımı

UFW Durumunu Kontrol Etme

İlk olarak, Güvenlik duvarı durumunu görmek için şunu istemciniz aracılığı ile girin:

sudo ufw status

UFW Etkinleştirme ve Devre Dışı Bırakma

Ardından, ufw’nin etkinleştirilmesi gerekiyor.

 Bir terminal isteminden(SSH) şunu girin:

sudo ufw enable

eğer devre dışı bırakmak isterseniz:

sudo ufw disable

Ufw’yi etkinleştirdikten sonra bir bağlantı noktasını açmanız gereklidir.

UFW Bağlantı Noktası Açma

SSH Bağlantı noktası dahil bütün portlar şu anda kapalıdır, UFW Etkinleştirildiğinde bütün portlar kapatılır ve manuel açılmak üzere bekletilir. UFW Etkinleştirildikten sonra bu komutu, komut satırı aracını kapatmadan girmeniz gerekmektedir. Girmeden sakın istemciden çıkmaya çalışmayın!

sudo ufw allow 22

Kurallar, numaralandırılmış bir biçim kullanılarak da eklenebilir,

Ör:1 ve 80 arasındaki portları erişime açmak isterseniz:

sudo ufw insert 1 allow 80

Benzer şekilde, açık bir bağlantı noktasını kapatmak için, örnek olarak 22 portu:

sudo ufw deny 22

Bir kuralı kaldırmak için önce silin ve ardından kuralı kapatın:

sudo ufw delete deny 22

Belirli ip bloğundan veya ağlardan bir bağlantı noktasına erişime izin vermek de mümkündür. Aşağıdaki örnek, 192.168.0.2 numaralı ip adresinin sunucunuzdaki 22 portu (SSH)portuna erişim izni verir.

sudo ufw allow proto tcp from 192.168.0.2 to any port 22

Tüm alt ağdan SSH erişimine izin vermek için 192.168.0.2 ip adresini 192.168.0.0/24 ile değiştirin. Bu yöntemi kullanarak sizin ip bloğunuzdan başkasının ssh portuna erişimi olmaz ve güvenlik için bu şekilde kullanılması bence en iyisi.

Bir ufw komutuna –dry-run seçeneğinin eklenmesi, ortaya çıkan kuralların çıktısını verir, ancak bunları uygulamaz. Örneğin, HTTP bağlantı noktası açılırsa uygulanacak olan aşağıdaki gibidir:

 sudo ufw --dry-run allow http
*filter
:ufw-user-input - [0:0]
:ufw-user-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
### RULES ###

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0
-A ufw-user-input -p tcp --dport 80 -j ACCEPT

### END RULES ###
-A ufw-user-input -j RETURN
-A ufw-user-output -j RETURN
-A ufw-user-forward -j RETURN
-A ufw-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT]: "
-A ufw-user-limit -j REJECT
-A ufw-user-limit-accept -j ACCEPT
COMMIT
Rules updated

Güvenlik Duvarının daha ayrıntılı durum bilgisi için şunu kullanabilirsiniz

sudo ufw status verbose

Numaralandırılmış formatı görüntülemek için :

sudo ufw status numbered

Not

Açmak veya kapatmak istediğiniz bağlantı noktası içinde tanımlanmışsa /etc/services, numara yerine bağlantı noktası adını kullanabilirsiniz. Yukarıdaki örneklerde 22’yi ssh ile değiştirin 

Bu, ufw kullanımına hızlı bir giriştir. Daha fazla bilgi için lütfen ufw kılavuz sayfasına bakın.

IP Maskeleme

IP Maskelemenin amacı, ağınızdaki özel, yönlendirilemez IP adreslerine sahip makinelerin, maskelemeyi yapan makine aracılığıyla İnternet’e erişmesine izin vermektir. İnternete yönelik özel ağınızdan gelen trafik, yanıtların isteği yapan makineye geri yönlendirilebilmesi için manipüle edilmelidir. Bunu yapmak için, çekirdeğin her paketin kaynak IP adresini değiştirmesi gerekir, böylece yanıtlar, İnternet üzerinden mümkün olmayan, isteği yapan özel IP adresine değil, ona geri yönlendirilir. Linux, Bağlantı İzlemeyi kullanır(conntrack) hangi bağlantıların hangi makinelere ait olduğunu takip etmek ve her bir dönüş paketini buna göre yeniden yönlendirmek için. Özel ağınızdan çıkan trafik böylece Ubuntu ağ geçidi makinenizden geliyormuş gibi “maskelenir”. Bu işlem, Microsoft belgelerinde Internet Bağlantı Paylaşımı olarak anılır.

ufw ip Maskeleme

IP Maskeleme, özel ufw kuralları kullanılarak elde edilebilir. Bu mümkündür, çünkü ufw için geçerli arka uç, içinde bulunan kural dosyalarıyla iptables-restore’dur /etc/ufw/*.rules. Bu dosyalar, ufw olmadan kullanılan eski iptables kurallarını ve daha çok ağ geçidi veya köprü ile ilgili kuralları eklemek için harika bir yerdir.

Kurallar, ufw komut satırı kurallarından önce yürütülmesi gereken kurallar ve ufw komut satırı kurallarından sonra yürütülen kurallar olmak üzere iki farklı dosyaya bölünmüştür.

  • İlk olarak, ufw’de paket yönlendirmenin etkinleştirilmesi gerekir. DEFAULT_FORWARD_POLICY’yi “ACCEPT” olarak /etc/default/ufwdeğiştirmek için iki yapılandırma dosyasının ayarlanması gerekecektir :DEFAULT_FORWARD_POLICY="ACCEPT" Ardından düzenleyin /etc/ufw/sysctl.confve yorumunuzu kaldırın:net/ipv4/ip_forward=1 Benzer şekilde, IPv6 iletme açıklaması için:net/ipv6/conf/default/forwarding=1
  • Şimdi /etc/ufw/before.rulesdosyaya kurallar ekleyin . Varsayılan kurallar yalnızca filtre tablosunu yapılandırır ve maskelemeyi etkinleştirmek için nat tablosunun yapılandırılması gerekir. Başlık yorumlarından hemen sonra dosyanın en üstüne şunu ekleyin:# nat Table rules *nat :POSTROUTING ACCEPT [0:0] # Forward traffic from eth1 through eth0. -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE # don't delete the 'COMMIT' line or these nat table rules won't be processed COMMIT Yorumlar kesinlikle gerekli değildir, ancak yapılandırmanızı belgelemek iyi bir uygulama olarak kabul edilir. Ayrıca, içindeki kural dosyalarından herhangi birini değiştirirken /etc/ufw, bu satırların değiştirilen her tablo için son satır olduğundan emin olun:# don't delete the 'COMMIT' line or these rules won't be processed COMMIT Her Tablo için karşılık gelen bir COMMIT ifadesi gereklidir. Bu örneklerde yalnızca nat ve filtre tabloları gösterilir, ancak ham ve mangle tabloları için de kurallar ekleyebilirsiniz .NotYukarıdaki örnekte eth0 , eth1 ve 192.168.0.0/24’ü ağınız için uygun arabirimler ve IP aralığı ile değiştirin.
  • Son olarak, değişiklikleri uygulamak için ufw’yi devre dışı bırakın ve yeniden etkinleştirin:sudo ufw disable && sudo ufw enable

IP Maskeleme şimdi etkinleştirilmelidir. Ayrıca herhangi bir ek FORWARD kuralı da ekleyebilirsiniz /etc/ufw/before.rules. Bu ek kuralların ufw-fore forward zincirine eklenmesi önerilir .

Log Tutma

Güvenlik duvarı günlükleri, saldırıları tanımak, güvenlik duvarı kurallarınızda sorun gidermek ve ağınızdaki olağan dışı etkinlikleri fark etmek için gereklidir. Yine de, oluşturulmaları için güvenlik duvarınıza günlük kuralları eklemelisiniz ve günlük kuralları geçerli herhangi bir sonlandırma kuralından önce gelmelidir (KABUL, DROP veya REJECT gibi paketin kaderine karar veren bir hedefe sahip bir kural).

ufw kullanıyorsanız, bir terminale aşağıdakileri girerek günlüğe kaydetmeyi açabilirsiniz:

sudo ufw logging on

ufw’de günlüğü kapatmak için yukarıdaki komutta sadece on yerine off yazarak değiştirin .

ufw yerine iptables kullanıyorsanız şunu girin:

sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 \
-j LOG --log-prefix "NEW_HTTP_CONN: "

Yerel makineden 80 numaralı bağlantı noktasındaki bir istek, dmesg’de şuna benzeyen bir günlük oluşturur:

[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00
SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP
SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0

Yukarıdaki günlük /var/log/messages, ve /var/log/syslog, ve içinde de görünecektir /var/log/kern.log. Bu davranış, /etc/syslog.conf uygun şekilde düzenlenerek veya ulogd yüklenip yapılandırılarak ve LOG yerine ULOG hedefi kullanılarak değiştirilebilir. ulogd arka plan programı, özellikle güvenlik duvarları için çekirdekten günlüğe kaydetme talimatlarını dinleyen ve istediğiniz herhangi bir dosyaya, hatta bir PostgreSQL veya MySQL veritabanına giriş yapabilen bir kullanıcı alanı sunucusudur. Güvenlik duvarı günlüklerinizi anlamlandırmak, logwatch, fwanalog, fwlogwatch veya lire gibi bir günlük analiz aracı kullanılarak basitleştirilebilir.

Ubuntu UFW Kullanım Klavuzu (İngilizce Orjinal Sayfa)

Ubuntu Firewall wiki sayfası UFW gelişimi hakkında bilgi içerir.(Ayrıntılı Kullanımı)

Diğer yazılarım

Önceki Sonraki
No Comments

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir