ഉബുണ്ടുവിലും ഡെബിയനിലും UFW ഫയർവാൾ എങ്ങനെ സജ്ജീകരിക്കാം

സമ്പൂർണ്ണ ലിനക്സ് സിസ്റ്റം സുരക്ഷയുടെ ഏറ്റവും നിർണായകമായ ഭാഗമാണ് ശരിയായി പ്രവർത്തിക്കുന്ന ഫയർവാൾ. ഡിഫോൾട്ടായി, ഡെബിയൻ, ഉബുണ്ടു വിതരണം, UFW (Uncomplicated Firewall) എന്ന ഫയർവാൾ കോൺഫിഗറേഷൻ ടൂളുമായി വരുന്നു, ഉബുണ്ടു, ഡെബിയൻ വിതരണങ്ങളിൽ ഫയർവാൾ ക്രമീകരിക്കുന്നതിനും കൈകാര്യം ചെയ്യുന്നതിനുമുള്ള ഏറ്റവും ജനപ്രിയവും ഉപയോഗിക്കാൻ എളുപ്പമുള്ളതുമായ കമാൻഡ് ലൈൻ ഉപകരണമാണിത്.

ഈ ലേഖനത്തിൽ, ഉബുണ്ടു, ഡെബിയൻ വിതരണങ്ങളിൽ UFW ഫയർവാൾ എങ്ങനെ ഇൻസ്റ്റാൾ ചെയ്യാമെന്നും സജ്ജീകരിക്കാമെന്നും ഞങ്ങൾ വിശദീകരിക്കും.

നിങ്ങൾ ഈ ലേഖനം ആരംഭിക്കുന്നതിന് മുമ്പ്, നിങ്ങളുടെ ഉബുണ്ടു അല്ലെങ്കിൽ ഡെബിയൻ സെർവറിലേക്ക് sudo ഉപയോക്താവ് അല്ലെങ്കിൽ റൂട്ട് അക്കൗണ്ട് ഉപയോഗിച്ച് ലോഗിൻ ചെയ്തിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക. നിങ്ങൾക്ക് ഒരു സുഡോ ഉപയോക്താവ് ഇല്ലെങ്കിൽ, റൂട്ട് ഉപയോക്താവായി ഇനിപ്പറയുന്ന നിർദ്ദേശങ്ങൾ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഒരെണ്ണം സൃഷ്ടിക്കാൻ കഴിയും.

# adduser username
# usermod -aG sudo username 
# su - username
$ sudo whoami

ഉബുണ്ടുവിലും ഡെബിയനിലും UFW ഫയർവാൾ ഇൻസ്റ്റാൾ ചെയ്യുക

UFW (Uncomplicated Firewall) ഉബുണ്ടുവിലും ഡെബിയനിലും സ്ഥിരസ്ഥിതിയായി ഇൻസ്റ്റാൾ ചെയ്യണം, ഇല്ലെങ്കിൽ, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് APT പാക്കേജ് മാനേജർ ഉപയോഗിച്ച് ഇത് ഇൻസ്റ്റാൾ ചെയ്യുക.

$ sudo apt install ufw

ഇൻസ്റ്റാളേഷൻ പൂർത്തിയായിക്കഴിഞ്ഞാൽ നിങ്ങൾക്ക് ടൈപ്പ് ചെയ്തുകൊണ്ട് UFW-ന്റെ നില പരിശോധിക്കാം.

$ sudo ufw status verbose

ആദ്യ ഇൻസ്റ്റാളിൽ, UFW ഫയർവാൾ ഡിഫോൾട്ടായി പ്രവർത്തനരഹിതമാക്കുന്നു, ഔട്ട്പുട്ട് താഴെയുള്ളതിന് സമാനമായിരിക്കും.

Status: inactive

ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് UFW ഫയർവാൾ സജീവമാക്കാനോ പ്രവർത്തനക്ഷമമാക്കാനോ കഴിയും, അത് ഫയർവാൾ ലോഡ് ചെയ്യുകയും ബൂട്ടിൽ ആരംഭിക്കാൻ പ്രാപ്തമാക്കുകയും ചെയ്യും.

$ sudo ufw enable

UFW ഫയർവാൾ പ്രവർത്തനരഹിതമാക്കുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക, അത് ഫയർവാൾ അൺലോഡ് ചെയ്യുകയും ബൂട്ടിൽ ആരംഭിക്കുന്നത് പ്രവർത്തനരഹിതമാക്കുകയും ചെയ്യുന്നു.

$ sudo ufw disable 

സ്ഥിരസ്ഥിതിയായി, UFW ഫയർവാൾ എല്ലാ ഇൻകമിംഗ് കണക്ഷനുകളും നിരസിക്കുന്നു കൂടാതെ എല്ലാ ഔട്ട്ബൗണ്ട് കണക്ഷനുകളും സെർവറിലേക്ക് മാത്രമേ അനുവദിക്കൂ. ഇതിനർത്ഥം, നിങ്ങൾ പ്രത്യേകമായി പോർട്ട് തുറക്കുന്നില്ലെങ്കിൽ ആർക്കും നിങ്ങളുടെ സെർവർ ആക്uസസ് ചെയ്യാൻ കഴിയില്ല, അതേസമയം നിങ്ങളുടെ സെർവറിൽ പ്രവർത്തിക്കുന്ന എല്ലാ സേവനങ്ങൾക്കും ആപ്ലിക്കേഷനുകൾക്കും പുറത്തുള്ള നെറ്റ്uവർക്ക് ആക്uസസ് ചെയ്യാൻ കഴിയും.

സ്ഥിരസ്ഥിതി UFW ഫയർവാൾ പോളിസികൾ /etc/default/ufw ഫയലിൽ സ്ഥാപിച്ചിരിക്കുന്നു, താഴെ പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് ഇത് മാറ്റാവുന്നതാണ്.

$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing

APT പാക്കേജ് മാനേജർ ഉപയോഗിച്ച് ഒരു സോഫ്uറ്റ്uവെയർ പാക്കേജ് ഇൻസ്uറ്റാൾ ചെയ്യുമ്പോൾ, അത് /etc/ufw/applications.d ഡയറക്uടറിയിലെ ഒരു ആപ്ലിക്കേഷൻ പ്രൊഫൈൽ ഉൾപ്പെടുത്തും, അത് സേവനത്തെ നിർവചിക്കുകയും UFW ക്രമീകരണങ്ങൾ ഹോൾഡ് ചെയ്യുകയും ചെയ്യും.

ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങളുടെ സെർവറിൽ ലഭ്യമായ എല്ലാ ആപ്ലിക്കേഷൻ പ്രൊഫൈലുകളും നിങ്ങൾക്ക് ലിസ്റ്റ് ചെയ്യാം.

$ sudo ufw app list

നിങ്ങളുടെ സിസ്റ്റത്തിലെ സോഫ്uറ്റ്uവെയർ പാക്കേജ് ഇൻസ്റ്റാളേഷനുകളെ ആശ്രയിച്ച് ഔട്ട്uപുട്ട് ഇനിപ്പറയുന്നതിന് സമാനമായി കാണപ്പെടും:

Available applications:
  APACHE
  APACHE Full
  APACHE SECURE
  CUPS
  OpenSSH
  Postfix
  Postfix SMTPS
  Postfix Submission

ഒരു പ്രത്യേക പ്രൊഫൈലിനെക്കുറിച്ചും നിർവചിക്കപ്പെട്ട നിയമങ്ങളെക്കുറിച്ചും കൂടുതൽ വിവരങ്ങൾ ലഭിക്കണമെങ്കിൽ നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കാം.

$ sudo ufw app info 'Apache'

Profile: Apache
Title: Web Server 
Description: Apache V2 is the next generation f the omnipresent Apache web server.

Ports:
  80/tcp

നിങ്ങളുടെ സെർവർ IPv6 ഉപയോഗിച്ചാണ് ക്രമീകരിച്ചിരിക്കുന്നതെങ്കിൽ, IPv6, IPv4 പിന്തുണയോടെയാണ് നിങ്ങളുടെ UFW കോൺഫിഗർ ചെയ്തിരിക്കുന്നതെന്ന് ഉറപ്പാക്കുക. ഇത് സ്ഥിരീകരിക്കുന്നതിന്, നിങ്ങളുടെ പ്രിയപ്പെട്ട എഡിറ്റർ ഉപയോഗിച്ച് UFW കോൺഫിഗറേഷൻ ഫയൽ തുറക്കുക.

$ sudo vi /etc/default/ufw

തുടർന്ന് കാണിച്ചിരിക്കുന്നതുപോലെ കോൺഫിഗറേഷൻ ഫയലിൽ IPV6 \yes\ ആയി സജ്ജീകരിച്ചിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക.

IPV6=yes

സംരക്ഷിച്ച് ഉപേക്ഷിക്കുക. തുടർന്ന് ഇനിപ്പറയുന്ന കമാൻഡുകൾ ഉപയോഗിച്ച് നിങ്ങളുടെ ഫയർവാൾ പുനരാരംഭിക്കുക:

$ sudo ufw disable
$ sudo ufw enable

നിങ്ങൾ ഇപ്പോൾ UFW ഫയർവാൾ പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടെങ്കിൽ, അത് എല്ലാ ഇൻകമിംഗ് കണക്ഷനുകളെയും തടയും കൂടാതെ നിങ്ങൾ ഒരു വിദൂര ലൊക്കേഷനിൽ നിന്ന് SSH വഴി നിങ്ങളുടെ സെർവറിലേക്ക് കണക്റ്റുചെയ്uതിട്ടുണ്ടെങ്കിൽ, നിങ്ങൾക്ക് അത് വീണ്ടും കണക്റ്റുചെയ്യാൻ കഴിയില്ല.

ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് അത് സംഭവിക്കുന്നത് തടയാൻ നമുക്ക് ഞങ്ങളുടെ സെർവറിലേക്ക് SSH കണക്ഷനുകൾ പ്രവർത്തനക്ഷമമാക്കാം:

$ sudo ufw allow ssh

നിങ്ങൾ ഇഷ്uടാനുസൃത എസ്എസ്എച്ച് പോർട്ട് ഉപയോഗിക്കുകയാണെങ്കിൽ (ഉദാഹരണത്തിന് പോർട്ട് 2222), ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾ ആ പോർട്ട് UFW ഫയർവാളിൽ തുറക്കേണ്ടതുണ്ട്.

$ sudo ufw allow 2222/tcp

എല്ലാ SSH കണക്ഷനുകളും തടയുന്നതിന് ഇനിപ്പറയുന്ന കമാൻഡ് ടൈപ്പ് ചെയ്യുക.

$ sudo ufw deny ssh/tcp
$ sudo ufw deny 2222/tcp  [If using custom SSH port]

ഒരു നിശ്ചിത സേവനത്തിലേക്കുള്ള കണക്ഷനുകൾ അനുവദിക്കുന്നതിന് നിങ്ങൾക്ക് ഫയർവാളിൽ ഒരു നിർദ്ദിഷ്ട പോർട്ട് തുറക്കാനും കഴിയും. ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് സ്ഥിരസ്ഥിതിയായി പോർട്ട് 80 (HTTP), 443 (HTTPS) എന്നിവയിൽ കേൾക്കുന്ന ഒരു വെബ് സെർവർ സജ്ജീകരിക്കണമെങ്കിൽ.

അപ്പാച്ചെ സേവനങ്ങളിലേക്ക് ഇൻകമിംഗ് കണക്ഷനുകൾ എങ്ങനെ അനുവദിക്കാം എന്നതിന്റെ കുറച്ച് ഉദാഹരണങ്ങൾ ചുവടെയുണ്ട്.

$ sudo ufw allow http     [By service name]
$ sudo ufw allow 80/tcp   [By port number]
$ sudo ufw allow 'Apache' [By application profile]

$ sudo ufw allow https
$ sudo ufw allow 443/tcp
$ sudo ufw allow 'Apache Secure'

നിങ്ങൾക്ക് നിരവധി പോർട്ടുകളിൽ (5000-5003) പ്രവർത്തിപ്പിക്കാൻ ആഗ്രഹിക്കുന്ന ചില ആപ്ലിക്കേഷനുകൾ ഉണ്ടെന്ന് കരുതുക, ഇനിപ്പറയുന്ന കമാൻഡുകൾ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഈ പോർട്ടുകളെല്ലാം ചേർക്കാവുന്നതാണ്.

sudo ufw allow 5000:5003/tcp
sudo ufw allow 5000:5003/udp

നിർദ്ദിഷ്ട IP വിലാസം 192.168.56.1-ൽ നിന്ന് എല്ലാ പോർട്ടുകളിലും കണക്ഷനുകൾ അനുവദിക്കണമെങ്കിൽ, IP വിലാസത്തിന് മുമ്പായി നിങ്ങൾ വ്യക്തമാക്കേണ്ടതുണ്ട്.

$ sudo ufw allow from 192.168.56.1

192.168.56.1 എന്ന IP വിലാസമുള്ള നിങ്ങളുടെ ഹോം മെഷീനിൽ നിന്ന് ഒരു നിർദ്ദിഷ്uട പോർട്ടിൽ (ഉദാഹരണത്തിന് പോർട്ട് 22) കണക്ഷൻ അനുവദിക്കുന്നതിന്, കാണിച്ചിരിക്കുന്നതുപോലെ IP വിലാസത്തിന് ശേഷം നിങ്ങൾ ഏതെങ്കിലും പോർട്ടും പോർട്ട് നമ്പറും ചേർക്കേണ്ടതുണ്ട്.

$ sudo ufw allow from 192.168.56.1 to any port 22

192.168.1.1 മുതൽ 192.168.1.254 മുതൽ പോർട്ട് 22 (എസ്എസ്എച്ച്) വരെയുള്ള പ്രത്യേക ഐപി വിലാസങ്ങൾക്കായി കണക്ഷനുകൾ അനുവദിക്കുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

$ sudo ufw allow from 192.168.1.0/24 to any port 22

ഒരു പ്രത്യേക പോർട്ട് 22 (എസ്uഎസ്uഎച്ച്) നുള്ള നിർദ്ദിഷ്ട നെറ്റ്uവർക്ക് ഇന്റർഫേസ് eth2-ലേക്കുള്ള കണക്ഷനുകൾ അനുവദിക്കുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

$ sudo ufw allow in on eth2 to any port 22

ഡിഫോൾട്ടായി, നിങ്ങൾ UFW-ൽ പ്രത്യേകമായി കണക്ഷൻ തുറന്നിട്ടില്ലെങ്കിൽ, എല്ലാ ഇൻകമിംഗ് കണക്ഷനുകളും ബ്ലോക്ക് ചെയ്യപ്പെടും. ഉദാഹരണത്തിന്, നിങ്ങൾ 80, 443 എന്നീ പോർട്ടുകൾ തുറന്നിരിക്കുന്നു, നിങ്ങളുടെ വെബ് സെർവർ 11.12.13.0/24 എന്ന അജ്ഞാത നെറ്റ്uവർക്കിൽ നിന്നുള്ള ആക്രമണത്തിലാണ്.

ഈ പ്രത്യേക 11.12.13.0/24 നെറ്റ്uവർക്ക് ശ്രേണിയിൽ നിന്നുള്ള എല്ലാ കണക്ഷനുകളും തടയുന്നതിന്, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കാം.

$ sudo ufw deny from 11.12.13.0/24

80, 443 എന്നീ പോർട്ടുകളിലെ കണക്ഷനുകൾ മാത്രം തടയാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന കമാൻഡുകൾ ഉപയോഗിക്കാം.

$ sudo ufw deny from 11.12.13.0/24 to any port 80
$ sudo ufw deny from 11.12.13.0/24 to any port 443

UFW റൂളുകൾ ഇല്ലാതാക്കാൻ 2 വഴികളുണ്ട്, റൂൾ നമ്പറും യഥാർത്ഥ റൂളും.

റൂൾ നമ്പർ ഉപയോഗിച്ച് ഒരു UFW റൂളുകൾ ഇല്ലാതാക്കാൻ, നിങ്ങൾ ആദ്യം താഴെ പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നമ്പറുകൾ പ്രകാരം നിയമങ്ങൾ ലിസ്റ്റ് ചെയ്യേണ്ടതുണ്ട്.

$ sudo ufw status numbered

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 80/tcp                     ALLOW IN    Anywhere

റൂൾ നമ്പർ 1 ഇല്ലാതാക്കാൻ, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക.

$ sudo ufw delete 1

രണ്ടാമത്തെ രീതി യഥാർത്ഥ റൂൾ ഉപയോഗിച്ച് ഒരു നിയമം ഇല്ലാതാക്കുക എന്നതാണ്, ഉദാഹരണത്തിന് ഒരു റൂൾ ഇല്ലാതാക്കാൻ, കാണിച്ചിരിക്കുന്നതുപോലെ പ്രോട്ടോക്കോൾ ഉപയോഗിച്ച് പോർട്ട് നമ്പർ വ്യക്തമാക്കുക.

$ sudo ufw delete allow 22/tcp

--dry-run ഫ്ലാഗ് ഉപയോഗിച്ച് സിസ്റ്റം ഫയർവാളിൽ മാറ്റങ്ങളൊന്നും വരുത്താതെ തന്നെ നിങ്ങൾക്ക് ഏതെങ്കിലും ufw കമാൻഡുകൾ പ്രവർത്തിപ്പിക്കാൻ കഴിയും, ഇത് സംഭവിക്കേണ്ട മാറ്റങ്ങൾ കാണിക്കുന്നു.

$ sudo ufw --dry-run enable

ഒരു കാരണത്താലോ മറ്റെന്തെങ്കിലുമോ, എല്ലാ ഫയർവാൾ നിയമങ്ങളും ഇല്ലാതാക്കാനോ പുനഃസജ്ജമാക്കാനോ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, ഇനിപ്പറയുന്ന കമാൻഡുകൾ ടൈപ്പ് ചെയ്യുക, അത് നിങ്ങളുടെ എല്ലാ മാറ്റങ്ങളും പഴയപടിയാക്കുകയും പുതിയതായി ആരംഭിക്കുകയും ചെയ്യും.

$ sudo ufw reset
$ sudo ufw status

iptables ചെയ്യുന്ന എന്തും ചെയ്യാൻ UFW ഫയർവാളിന് കഴിയും. വ്യത്യസ്uത സെറ്റ് റൂൾസ് ഫയലുകൾ ഉപയോഗിച്ച് ഇത് ചെയ്യാൻ കഴിയും, അവ ഒന്നുമല്ല, എന്നാൽ ലളിതമായ iptables-restore text files.

UFW ഫയർവാളിന്റെ ട്യൂണിംഗ് അല്ലെങ്കിൽ അധിക iptables കമാൻഡുകൾ ചേർക്കുന്നത് ufw കമാൻഡ് വഴി അനുവദനീയമല്ല, ഇത് ഇനിപ്പറയുന്ന ടെക്സ്റ്റ് ഫയലുകൾ മാറ്റുന്നതിനുള്ള ഒരു കാര്യമാണ്.

• /etc/default/ufw: മുൻകൂട്ടി നിശ്ചയിച്ച നിയമങ്ങളുള്ള പ്രധാന കോൺഫിഗറേഷൻ ഫയൽ.
• /etc/ufw/before[6].rules: ഈ ഫയലിൽ ufw കമാൻഡ് വഴി ചേർക്കുന്നതിന് മുമ്പ് നിയമങ്ങൾ കണക്കാക്കുന്നു.
• /etc/ufw/after[6].rules: ഈ ഫയലിൽ നിയമങ്ങൾ കണക്കാക്കുന്നത് ufw കമാൻഡ് വഴി ചേർത്തതിന് ശേഷമാണ്.
• /etc/ufw/sysctl.conf: ഈ ഫയൽ കേർണൽ നെറ്റ്uവർക്ക് ട്യൂൺ ചെയ്യാൻ ഉപയോഗിക്കുന്നു.
• /etc/ufw/ufw.conf: ഈ ഫയൽ ബൂട്ടിലെ ufw പ്രവർത്തനക്ഷമമാക്കുന്നു.

അത്രയേയുള്ളൂ! ഒരൊറ്റ ufw കമാൻഡ് ഉപയോഗിച്ച് സങ്കീർണ്ണമായ നിയമങ്ങൾ നിർവചിക്കുന്നതിന് ഉപയോക്തൃ സൗഹൃദ ഇന്റർഫേസുള്ള iptables-ന്റെ മികച്ച മുൻനിരയാണ് UFW.

ഈ യുuഎഫ്uഡബ്ല്യു ലേഖനത്തെക്കുറിച്ച് പങ്കിടാൻ നിങ്ങൾക്ക് എന്തെങ്കിലും ചോദ്യങ്ങളോ ചിന്തകളോ ഉണ്ടെങ്കിൽ, ഞങ്ങളെ ബന്ധപ്പെടുന്നതിന് ചുവടെയുള്ള അഭിപ്രായ ഫോം ഉപയോഗിക്കുക.