UFW thực sự là viết tắt của Tường lửa không phức tạp chứ không phải tường lửa Ubuntu như nhiều người tin. Tên này phản ánh thực tế là nó dễ cấu hình một cách đáng ngạc nhiên. Hầu hết người dùng sẽ chỉ cần đặt đúng ba tùy chọn trước khi chúng tương đối an toàn. Những người muốn thiết lập một số tùy chọn cấu hình nâng cao sẽ không phải làm gì nhiều ngoài việc chỉnh sửa tệp văn bản. Mặc dù các nhà phát triển dự án Ubuntu ban đầu thiết kế phần mềm tường lửa đặc biệt này, nhưng ufw cũng có sẵn trong nhiều bản phân phối khác. Người dùng Debian, Arch, Linux Mint, Lubuntu và Xubfox nhiều khả năng đã cài đặt nó.
Vấn đề là tương đối ít người dùng bật nó lên. Trong khi người dùng không còn phải làm việc trực tiếp với iptables thì Ubuntu buộc ufw phải mặc định ở trạng thái tắt. Nhiều triển khai Debian thậm chí không cài đặt các gói theo mặc định. Tin tốt là bất kỳ ai có một chút kinh nghiệm về thiết bị đầu cuối đều có thể củng cố hệ thống của họ.
Phương pháp 1:Bật UFW từ Dấu nhắc Lệnh
Giả sử bạn đã cài đặt gói ufw trước khi cài đặt riêng gói đó. Chạy các lệnh này trước bất cứ điều gì khác. Nếu bạn gặp bất kỳ lỗi nào giữa chừng thì bạn luôn có thể quay lại và cài đặt các gói ufw sau mà không gặp vấn đề gì.
Nếu bạn đang làm việc từ tài khoản người dùng chuẩn thì hãy chạy sudo ufw Enable và nhập mật khẩu quản trị viên của bạn nếu được nhắc. Bạn sẽ được thông báo rằng ufw đã được bật và sẽ tự động chạy khi khởi động. Chạy trạng thái sudo ufw dù sao chỉ để chắc chắn. Bạn sẽ nhận được một dòng đầu ra có nội dung “Trạng thái:đang hoạt động” và không có gì ở sau.
Mặt khác, bạn có thể được thông báo rằng ufw chưa được cài đặt. Người dùng các bản phân phối dựa trên apt như Debian nên chạy sudo apt-get install ufw . Bạn có thể muốn chạy sudo apt-get update và sau đó sudo apt-get nâng cấp để đảm bảo các gói khác của bạn theo thứ tự khi cài đặt. Người dùng Arch Linux sẽ cần chạy sudo pacman -Syu nếu họ muốn nhận gói hàng theo thứ tự và sau đó sudo pacman -S ufw để cài đặt ufw, nhưng sau đó tất cả người dùng sẽ có thể tiếp tục như bình thường. Hãy làm theo các bước ở trên và đảm bảo rằng việc chạy sudo ufw allow trả về “Trạng thái:đang hoạt động đã nói ở trên ” dòng.
Phương pháp 2:Gửi cho UFW bộ quy tắc cơ bản
Các công cụ tường lửa sử dụng một bộ quy tắc để kiểm tra xem có chấp nhận gói được gửi tới máy tính của bạn qua mạng hay không. Bạn gần như chắc chắn sẽ muốn chạy hai lệnh này tiếp theo:
sudo ufw mặc định cho phép gửi đi
Sudo ufw mặc định từ chối gửi đến
Điều này đảm bảo rằng ufw luôn cho phép bạn gửi lưu lượng đi đến bộ điều hợp mạng của mình, điều này rất quan trọng nếu bạn thực hiện bất kỳ loại công việc trực tuyến nào. Đương nhiên, bạn không nên coi bất kỳ yêu cầu gửi đi nào là nguy hiểm. Điều này cũng cấm các yêu cầu gửi đến gây ra bất kỳ tác hại nào, đây là cài đặt chính xác cho hầu hết tất cả người dùng gia đình và doanh nghiệp. Ngay cả hầu hết các game thủ chơi các tựa game FPS trực tuyến chuyên sâu cũng không cần bất cứ thứ gì hơn thế. Hầu hết mọi người có thể dừng ở đây miễn là việc chạy sudo ufw status vẫn trả về thông báo đã bật ngay cả sau khi bạn khởi động lại máy. Không có gì khác trong quá trình cấu hình. Người dùng có bất kỳ loại mục tiêu ssh hoặc mạng nâng cao nào đều cần phải tiếp tục.
Phương pháp 3:Tùy chọn cấu hình UFW nâng cao
Hầu hết người dùng sẽ không cần đọc tiếp nhưng những quy tắc này có thể hữu ích đối với một số người. Ví dụ:nếu bạn cần cho phép kết nối tcp trên cổng 80 chung, bạn có thể chạy:
sudo ufw cho phép 80/tcp
Bạn cũng có thể sử dụng sudo ufw allow từ ###.##.##.##/## với địa chỉ IP thực và số mạng con thực sau dấu gạch chéo. Hãy nhớ rằng 80 là con số hợp lệ cho việc sử dụng này nếu bạn cần thực hiện kết nối mạng qua nó. Sử dụng cái gì đó như sudo ufw allow http/tcp cũng hợp lệ và có thể cần thiết trong tình huống máy chủ, nhưng điều này thực sự bắt đầu mở ra một loạt sâu trong chừng mực cho phép các loại kết nối khác nhau.
Một trong những cài đặt phổ biến hơn là sudo ufw allow 22 , mở cổng cho kết nối ssh. Thay vào đó, một số người dùng diễn đạt nó thành sudo ufw allow ssh , nó cũng hoạt động tốt. Mặc dù một số hướng dẫn có thể hướng dẫn bạn thêm cả hai dòng, nhưng điều này là không cần thiết trong phần lớn các trường hợp và cuối cùng có thể chỉ góp phần tạo ra một lượng chi phí không cần thiết.
Khi bạn muốn xóa một trong các quy tắc của mình trong tương lai, bạn chỉ cần chạy sudo ufw delete theo sau là tên quy tắc. Ví dụ:sudo ufw delete allow 80/tcp sẽ tắt một trong những ví dụ chúng tôi đã thực hiện ở trên.
Bây giờ khi bạn chạy sudo ufw status chi tiết bạn có thể thấy một bảng hoàn chỉnh hơn nhiều nếu bạn đã tạo các quy tắc bổ sung. Nếu bạn muốn tắt tường lửa trong tương lai, bạn có thể chạy lệnh vô hiệu hóa sudo ufw, nhưng có rất ít trường hợp bạn cần phải thực hiện việc này.
Đôi khi, bạn có thể nhận thấy mình gặp phải lỗi hết thời gian chờ cổng 504 nếu bạn đang sử dụng ufw theo cách này để bảo vệ máy chủ. Việc thay đổi thứ tự của một số quy tắc có thể hữu ích trong trường hợp này. Quy tắc cho phép phải được nhập trước quy tắc từ chối vì ufw luôn tìm kết quả khớp đầu tiên khi phân tích danh sách của bạn vì lý do bảo mật. Xóa một cặp quy tắc rồi thêm lại chúng bằng cách nhập sudo ufw default allow dòng đầu tiên sẽ khắc phục vấn đề này. Bạn cũng có thể muốn xóa thêm bất kỳ dòng trùng lặp nào vì lý do hiệu suất.
Chạy sudo ufw dài dòng và chú ý đến thứ tự các dòng DENY IN và ALLOW IN của bạn. Nếu bạn có thứ gì đó trên một cổng chung như 80 hoặc 22 ghi DENY IN theo sau là Anywhere trên biểu đồ trước các tham chiếu khác đến các cổng đó thì bạn có thể đang cố gắng chặn các kết nối trước khi chúng có cơ hội vượt qua. Sắp xếp lại chúng sẽ khắc phục vấn đề. Việc đặt các lệnh này theo đúng thứ tự ngay từ đầu sẽ giúp ngăn ngừa các sự cố về sau.
Người dùng nhắc nhở root nâng cao sẽ không thực sự phải sử dụng sudo trước mỗi lệnh. Nếu bạn nhận được một số loại lỗi về điều đó thì đây có thể là vấn đề của bạn. Kiểm tra phần cuối lời nhắc của bạn để xem bạn có # hay $ trước con trỏ không. Người dùng tcsh chỉ có % cho lời nhắc nên chạy whoami để xem họ đang vận hành với tư cách người dùng nào.
Người dùng thông thường chạy thông tin trạng thái sudo ufw nhiều khả năng vẫn sẽ nhận được tương đối ít phản hồi sau lời nhắc của họ. Có thể bạn sẽ chỉ nhìn thấy dòng tương tự như trước đây.
Điều này là do những người dùng này chỉ làm việc với rất ít quy tắc. Tuy nhiên, một lời cảnh báo có thể quan trọng đối với các quy tắc này. Mặc dù lệnh ufw default còn cho phép bạn sử dụng tham số từ chối, nhưng bạn có thể rất dễ dàng tự khóa mình khỏi cấu trúc máy chủ riêng của mình hoặc thực hiện một số điều kỳ lạ khác. Nếu bạn cần có sudo ufw, hãy cho phép ssh hoặc các dòng tương tự khác trong bộ quy tắc của bạn, dòng này cần phải xuất hiện trước khi bạn áp dụng quy tắc từ chối hoặc từ chối mặc định.
Mặc dù có một số công cụ đồ họa như Gufw và kmyfirewall dựa trên Qt, nhưng việc định cấu hình ufw từ dòng lệnh là đủ dễ dàng mà bạn không thực sự cần đến chúng. Thay vào đó, nếu bạn có nhu cầu chỉnh sửa trực tiếp các tệp cấu hình, hãy sử dụng lệnh để chuyển sang thư mục thích hợp rồi sử dụng sudo nanofw để chỉnh sửa nó. Ban đầu, bạn cũng có thể muốn sử dụng nhiều ufw hơn hoặc ít hơn ufw để xem văn bản trước khi thực hiện bất kỳ thay đổi nào.
Các nhà phát triển thực sự đã dành thời gian để đưa ra những nhận xét phù hợp để bạn không bị bối rối khi chỉnh sửa nó, mặc dù bạn có thể muốn xóa nhận xét này nếu cảm thấy cần thiết.
GIỚI THIỆU TÁC GIẢ
Mũi tên Kevin
Kevin Arrows là một chuyên gia công nghệ giàu kinh nghiệm và hiểu biết với hơn một thập kỷ kinh nghiệm trong ngành. Anh có chứng chỉ Chuyên gia Công nghệ được Chứng nhận của Microsoft (MCTS) và có niềm đam mê sâu sắc trong việc cập nhật những phát triển công nghệ mới nhất. Kevin đã viết nhiều về nhiều chủ đề liên quan đến công nghệ, thể hiện chuyên môn và kiến thức của mình trong các lĩnh vực như phát triển phần mềm, an ninh mạng và điện toán đám mây. Những đóng góp của ông cho lĩnh vực công nghệ đã được các đồng nghiệp công nhận và tôn trọng rộng rãi, đồng thời ông được đánh giá cao nhờ khả năng giải thích các khái niệm kỹ thuật phức tạp một cách rõ ràng và ngắn gọn.