XaaS Cloud Computing Loading ...
X
درخواست شما ثبت شد

درخواست شما با موفقیت ثبت شد. گروه پشتیبانی ما درخواست شما را بررسی و در اسرع وقت با شما تماس خواهند گرفت

تنظیمات فایروال سرور ابری زس (Ubuntu)

تکنولوژی container

در مقاله قبل با اقدامات اولیه پس از تحویل گرفتن سرور ابری آشنا شدیم و مقدمه ای نیز در مورد تنظیم uncomplicated firewall یا همان ufw داشتیم.

در واقع ufw که به صورت پیشفرض در اوبونتو نصب شده یک واسط برای iptables است که با هدف ساده سازی عملیات برای تازه کارها  پیاده سازی شده است.

 

۱.تنظیم سیاست های پیشفرض

در ابتدای کار بهتر است قوانین پیشفرض را تعریف کنید.

قوانین پیشفرض آنهایی هستند که مشخص می کنند در صورت عدم وجود قانون به خصوص در مورد ترافیکی مشخص باید چه اتفاقی بیافتد.

به صورت پیشفرض ufw تمامی ترافیک ورودی را مسدود می کند ولی ترافیک خروجی را اجازه می دهد.

بنابراین اگر کسی قصد داشته باشد از بیرون به سرور ابری شما دسترسی پیدا کند چنین امکانی وجود نداشته، اما تمامی برنامه های داخل سرور امکان دسترسی به بیرون را خواهند داشت.

چنانچه در مراحل بعدی تغییراتی انجام دادید و بعد مایل به بازگشت به حالت پیشفرض بودید از دستورات زیر استفاده کنید:

 

  • sudo ufw default deny incoming

  • sudo ufw default allow outgoing

 

گام بعدی فراهم کردن دسترسی به سرویس های حیاتی برای مدیریت سرور است.

 

۲.مجاز کردن ارتباط SSH

 

اگر اکنون ufw را فعال کنیم تمامی ترافیک بیرونی را مسدود می کند که باعث می شود ارتباط ما با سرور ابری مربوطه قطع شود (نگران نباشید در پنل ابری ما میتوانید از طریق کنسول دوباره دسترسی پیدا کنید) لذا نیاز داریم که ابتدا ارتباط ssh را برای آن مجاز کنیم:

 

sudo ufw allow ssh

 

در دستور بالا ما به جای پورت از نام سرویس استفاده کردیم.

این به دلیل آشنایی ufw با سرویس های متداول است که نام سرویس و پورت مربوط به آن را در نظر دارد که البته از فایل etc/services/ آن را می خواند.

با این حال چنانچه بخواهیم دستور را برای پورت سرویس SSH بازنویسی کنیم به این شکل خواهد بود:

 

sudo ufw allow 22

 

حال که SSH روی ufw باز شده است می توانیم آن را فعال کنیم.

۳.فعال سازی UFW

 

با اجرای دستور زیر ufw را فعال می کنیم:

 

sudo ufw enable

 

اگر هشداری مبنی بر اختلال در SSH دریافت کردید توجه داشته باشید که در مرحله قبل SSH را مجاز کردیم بنابراین مشکلی به وجود نخواهد آمد پس عملیات را مطابق دستور prompt تایید کنید.

حال دیوار آتش فعال شده است و برای دیدن قوانین موجود می توانید از دستور زیر استفاده کنید:

 

sudo ufw status verbose

 

در ادامه به بررسی قوانین مربوط به بعضی سرویس های رایج دیگر می پردازیم.

 

۴.مجاز کردن دیگر ارتباط ها

برای پروتکل های خاص، می‌توان با قرار دادن نام پروتکل به عنوان یکی از پارامترهای دستور ufw، همانند موارد نمونه زیر، دسترسی برای پورت خواص را بر روی سرور ابری باز کرد.

  1. Http:
    1. sudo ufw allow http
  2. Https:
    1. sudo ufw allow https
  3. FTP:
    1. sudo ufw allow ftp

 

البته روش های دیگری نیز به غیر از مشخص کردن پورت و سرویس وجود دارند که در ادامه به معرفی آنها پرداخته ایم.

مشخص کردن بازه ای از پورت ها

 

اگر بخواهیم مجوزی را روی  بازه ای از پورت ها در ufw اعمال کنیم از روش زیر استفاده می کنیم:

 

  • sudo ufw allow 6000:6007/tcp

  • sudo ufw allow 6000:6007/udp

 

دقت داشته باشید که در این روش نوع پروتکل ها را در انتها همانطور که ذکر شده مشخص می کنیم.

 

قوانین برای یک IP مشخص

 

وقتی بخواهیم عملیات توسط یک ip مشخص را مجاز کنیم از روش زیر استفاده می کنیم:

 

sudo ufw allow from 15.15.15.51

 

اگر بخواهیم پورت مشخصی را برای ip مجاز کنیم نیز:

 

sudo ufw allow from 15.15.15.51 to any port 22

 

زیرشبکه ها (subnets)

 

sudo ufw allow from 15.15.15.0/24

 

مانند بخش قبل اگر بخواهیم زیرشبکه به پورت مشخصی دسترسی داشته باشد:

 

sudo ufw allow from 15.15.15.0/24 to any port 22

 

۵.قوانین منع کننده

 

تا به این جا صرفا قوانین مجاز کننده را بررسی کردیم حال می خواهیم نحوه منع ارتباط را بررسی کنیم:

 

sudo ufw deny http

 

منع دسترسی از یک ip نیز به شکل زیر است:

 

sudo ufw deny from 15.15.15.51

 

حال به حذف قوانین میرسیم.

 

۶.حذف قوانین

 

اگر قصد حذف قانونی را داشته باشیم چه کنیم؟

برای این کار دو روش وجود دارد:

  1. حذف با استفاده از شماره قانون:
    1. ابتدا شماره قوانین را با اجرای دستور sudo ufw status numbered به دست می آوریم و سپس از دستور زیر برای حذف استفاده می کنیم:

sudo ufw delete 2

  1. حذف با قانون اصلی
    1. sudo ufw delete allow http
    2. sudo ufw delete allow 80

۷.بررسی وضعیت و قوانین UFW

 

در هر زمان می توانید با استفاده از دستور:

 

sudo ufw status verbose

 

وضعیت ufw را بررسی نمایید.

 

۸.غیرفعال سازی یا تنظیم مجدد UFW

 

چنانچه قصد غیر فعال سازی ufw را داشتید از دستور:

 

sudo ufw disable

 

و اگر قصد تنظیم مجدد ufw را داشته باشید:

 

sudo ufw reset

 

اکنون دیگر اکثر دستورات ضروری برای کار با ufw را بررسی کرده ایم و حال می توانید سرویس های مد نظر خود را نیز اضافه بفرمایید.