כיצד לפתוח יציאות בחומת האש של שרת לינוקס?
1. הפעל את UFW אם הוא עדיין לא פועל.
2. השתמש ב- "sudo ufw allow [מספר יציאה]" כדי לפתוח יציאה.
3. השתמש ב- "sudo ufw allow 6000: 6007 / tcp" כדי לפתוח טווח.
4. השתמש ב"סטטוס sudo ufw ממוספר "כדי להציג את הכללים.
אם אתה פותח יציאה ומחליט שברצונך לסגור אותה, השתמש בצעדים הבאים: הקלד סטטוס sudo ufw ממוספר ולחץ על ↵ Enter.
מדריך זה ילמד אותך כיצד לפתוח יציאות בשלושה חומות אש של לינוקס פופולריות. אם אתה משתמש במוצר כמו חומת האש של ConfigServer (CSF) או חומת האש של מדיניות מתקדמת (ADP), אתה יכול לשלוט על יציאות פתוחות בקובץ התצורה הראשי של חומת האש. אם אתה משתמש בחומת אש לא מסובכת (UFW), אפשרות ברירת המחדל של חומת האש באובונטו, תוכל להוסיף כללים בשורת הפקודה מבלי לערוך קבצים מסובכים.
שיטה 1 מתוך 3: שימוש בחומת אש לא פשוטה עבור אובונטו
- 1היכנס לשרת שלך. אם אתה משתמש באובונטו על שולחן העבודה שלך, לחץ על Ctrl+ Alt+ T כדי לפתוח חלון מסוף.
- 2הקלד sudo ufw status verbose ולחץ ↵ enter. אם UFW כבר פועל, תראה הודעת סטטוס וכן רשימה של כללי כללי חומת האש (כולל יציאות פתוחות) שכבר קיימים.
- אם אתה רואה הודעה שאומרת סטטוס: פעיל, סוג sudo ufw enable בבית הפקודה ולחץ ↵ Enterכדי להתחיל את חומת האש.
- 3השתמש sudo ufw allow [port number] כדי לפתוח יציאה. לדוגמה, אם ברצונך לפתוח את יציאת SSH (22), הקלד kbd ולחץ ↵ Enterכדי לפתוח את היציאה. אין צורך להפעיל מחדש את חומת האש, מכיוון שהשינוי ייכנס לתוקף באופן מיידי.
- אם היציאה שאתה פותח מיועדת לשירות המופיע בתוכו /etc/services, פשוט הקלד את שם השירות במקום מספר היציאה. דוגמה: sudo ufw allow ssh.
- כדי לפתוח טווח מסוים של יציאות, השתמש בתחביר sudo ufw allow 6000:6007/tcp והחלף 6000:6007 לטווח בפועל. אם הטווח הוא יציאות UDP, להחליף tcp עם udp.
- כדי לציין כתובת IP שיכול לגשת הנמל, השתמש בתחביר הבא: sudo ufw allow from 10,0.0,1 to any port 22. החלף 10,0.0,1 עם כתובת IP, וכן 22 עם יציאת אתה רוצה לפתוח לכתובת זו.
- 4מחק כללי חומת אש שאינם נחוצים. כל יציאות שלא נפתחו במיוחד חסומות כברירת מחדל. אם אתה פותח יציאה ומחליט שברצונך לסגור אותה, השתמש בצעדים הבאים:
- הקלד sudo ufw status numbered ולחץ ↵ Enter. פעולה זו מציגה רשימה של כל כללי חומת האש, כל אחד מהם מתחיל עם מספר שייצג אותו ברשימה.
- זהה את המספר בתחילת הכלל שברצונך למחוק. לדוגמה, נניח שאתה רוצה להסיר את הכלל שפותח את יציאה 22, וכלל זה מופיע בשורה 2.
- הקלד sudo ufw delete 2 ולחץ ↵ Enterכדי להסיר את הכלל בשורה 2.
לדוגמה, אם ברצונך לפתוח את יציאת SSH (22), הקלד kbd ולחץ על ↵ Enter כדי לפתוח את היציאה.
שיטה 2 מתוך 3: שימוש בחומת האש של configserver
- 1היכנס לשרת שלך. אם אינך מחובר כמשתמש השורש, תוכל su לשורש בכדי להתאים את התצורה שלך.
- 2עבור לספרייה המכילה את קובץ התצורה של CSF. נקרא לקובץ csf.conf והוא נשמר /etc/csf/csf.conf כברירת מחדל. לשם כך הקלד cd /etc/csf ולחץ ↵ Enter.
- 3פתח csf.conf בעורך טקסט. אתה יכול להשתמש בכל עורך טקסט שאתה רוצה, כגון vim או nano.
- כדי לפתוח את csf.conf ב- vim, הקלד vim csf.config ולחץ ↵ Enter.
- 4הוסף יציאה נכנסת tcp_in לרשימה. יציאות TCP. ברגע שיש לך את הקובץ פתוח, תוכלו לראות TCP_IN ו TCP_OUT סעיפים. TCP_IN רשימות הסעיף לפתוח יציאות TCP נכנסות מופרדות בפסיקים. היציאות בסדר מספרי כדי להקל על העניינים, אך לא נדרש שהיציאות שתצמדו להזמנה. אתה יכול להוסיף יציאות בסוף הרצף, פשוט להפריד ביניהן עם פסיקים.
- לדוגמא, נניח שאתה רוצה לפתוח את יציאה 999, והיציאות הפתוחות הנוכחיות הן 20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 993, 995.
- לאחר הוספת יציאה 999 לרשימה, זה ייראה כך: 20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 993, 995, 999.
- כדי להיכנס למצב הכנסה / הקלדה ב- vim, לחץ על i המקש במקלדת.
- 5אפשר TCP יוצא tcp_out לרשימה. בדיוק כמו שעשית עם היציאה הנכנסת, הוסף TCP_OUT לרשימת כל יציאות TCP יוצאות שברצונך לפתוח.
- 6שמור את השינויים שלך וצא מהקובץ. בצע את הצעדים הבאים כדי לשמור ולצאת מהקובץ:
- לחץ על Esc המקש.
- סוג :wq!.
- לחץ ↵ Enter.
כדי לפתוח מגוון ספציפי של יציאות, השתמש בתחביר sudo ufw allow 6000: 6007 / tcp, והחלף את 6000: 6007 לטווח בפועל. - 7הקלד service csf restart ולחץ ↵ enter. זה מפעיל מחדש את חומת האש ופותח את היציאות החדשות.
- כדי לשלול יציאה, פתח מחדש את הקובץ, מחק את היציאה, שמור את הקובץ ואז הפעל מחדש את חומת האש.
שיטה 3 מתוך 3: שימוש בחומת אש מדיניות מתקדמת
- 1היכנס לשרת שלך. אם אינך מחובר כמשתמש השורש, תוכל su לשורש בכדי להתאים את התצורה שלך.
- 2עבור לספרייה המכילה את קובץ התצורה של APF. הקובץ שאתה מחפש נקרא conf.apf, והוא יימצא /etc/apf כברירת מחדל. הקלד cd /etc/apf כדי להיכנס לספרייה זו.
- 3פתח conf.apf בעורך טקסט. אתה יכול להשתמש בכל עורך טקסט שאתה רוצה, כגון vim או nano.
- כדי לפתוח את conf.apf ב- vim, הקלד vim conf.apf ולחץ ↵ Enter.
- 4הוסף יציאות נכנסות ig_tcp_cports לרשימה. ברגע שיש לך את הקובץ פתוח, תוכלו לראות IG_TCP_CPORTS ו EG_TCP_CPORTS סעיפים. IG_TCP_CPORTS רשימות הסעיף לפתוח יציאות נכנסות מופרדות בפסיקים. היציאות רשומות בסדר מספרי כדי להקל על העניינים, אך אין צורך לעמוד בזה. אתה יכול להוסיף יציאות בסוף הרצף, פשוט להפריד ביניהן עם פסיקים.
- לדוגמא, נניח שאתה רוצה לפתוח את יציאה 999, והיציאות הפתוחות הנוכחיות הן 20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 993, 995.
- לאחר הוספת יציאת 999 אל IG_TCP_CPORTS הרשימה, זה ייראה כך: 20, 21, 22, 25, 53, 80, 110, 143, 443, 465, 587, 993, 995, 999.
- כדי להיכנס למצב הכנסה / הקלדה ב- vim, לחץ על i המקש במקלדת.
- 5אפשר יציאות יוצאות eg_tcp_cports לרשימה. בדיוק כמו שעשיתם עם היציאה הנכנסת, הוסיפו את כל יציאות ה- TCP היוצאות שתרצו לפתוח EG_TCP_CPORTS לרשימה.
אם אתה רואה הודעה שאומרת סטטוס: לא פעיל, הקלד sudo ufw enable בהנחיה ולחץ על ↵ Enter כדי להפעיל את חומת האש. - 6שמור את השינויים שלך וצא מהקובץ. בצע את הצעדים הבאים כדי לשמור ולצאת מהקובץ:
- לחץ על Esc המקש.
- סוג :wq!.
- לחץ ↵ Enter.
- 7הקלד service apf -r ולחץ ↵ enter. זה מפעיל מחדש את חומת האש של APF ופותח את היציאות החדשות.
- כדי לשלול יציאה, פתח מחדש את הקובץ, מחק את היציאה, שמור את הקובץ ואז הפעל מחדש את חומת האש.
- אם אתה רואה יציאה שאינך משתמש או מפעיל שירותים באמצעותה, סגור אותה! אתה לא רוצה להשאיר דלת פתוחה לפולשים!
- אם תתחיל להוסיף יציאות פתוחות אקראיות כאילו הן יוצאות מהאופנה, אתה תקבל פריצה! אז וודא שאתה לא מקל על עבודות ההאקרים. פתח רק את מה שאתה צריך.
