הגדרה מהירה של Firewall בשרת Ububtu

WWW

אני רוצה לחסום את כל התעבורה, חוץ משרתי אינטרנט (80,443).
ו DNS, לא יודע אם צריך?
וכן 2 כתובות IP שיהיה פתוח לגמרי.

איך אני עושה את זה בקלות בכמה שורות פקודה....

בינתיים מצאתי את זה:

$ sudo ufw allow in "Apache Full"
$ sudo ufw allow in "Nginx Full"

מה לגבי השאר?
תודה רבה!

dovid

@WWW
א. מה שעשית זה טוב
ב. תוודא שהufw פעיל בכלל ע"י ufw status ואם הוא לא תפעיל ע"י sudo ufw enable, לא לפני שתגדיר גם את הssh ע"י sudo ufw allow ssh
ג. לאפשר IP מסויים גם מעבר לזה (למה לך?) תעשה sudo ufw allow from x.x.x.x

בהצלחה

WWW

@dovid אמר בהגדרה מהירה של Firewall בשרת Ububtu:

@WWW
א. מה שעשית זה טוב

תודה.

ב. תוודא שהufw פעיל בכלל ע"י ufw status ואם הוא לא תפעיל ע"י sudo ufw enable, לא לפני שתגדיר גם את הssh ע"י sudo ufw allow ssh

כמובן!
בגלל זה עדיין לא הפעלתי, שלא אמצא את עצמי מחוץ לדלת הנעולה... ואז הפורץ...

ד"א, לפי איך שאני רואה אצלי, אין פרופיל SSH, אלא: OpenSSH.
ייתכן שזה קשור להתקנה ספציפית אצלי.

ג. לאפשר IP מסויים גם מעבר לזה (למה לך?) תעשה sudo ufw allow from x.x.x.x

אני לא רוצה לפתוח SSH לכל העולם...
ואני צריך גם MSSQL, ואולי בהמשך יש עוד דברים כמו webmin נטדאטה וכדו'

בהצלחה

אמן!
תודה רבה!

WWW

@dovid אמר בהגדרה מהירה של Firewall בשרת Ububtu:

א. מה שעשית זה טוב

לא צריך לפתוח DNS? ככה ראיתי ברשת

dovid

@WWW לא ידוע לי. DNS יוצא פתוח בברירת מחדל כמו כל התקשורת היוצאת. DNS נכנס? למה לך.
כמו"כ לא עקבתי אם כעת נשאר/יש בעיה כל שהיא? אם כן כתוב.

WWW

@dovid למה זה כותב לי:

Command may disrupt existing ssh connections. Proceed with operation (y|n)?

כשאני מפעיל, אפילו שהכנסתי את הכתובת IP הנוכחית כמותר לגמרי?

הוא לא מספיק חכם?

WWW

@WWW אמר בהגדרה מהירה של Firewall בשרת Ububtu:

@dovid למה זה כותב לי:

Command may disrupt existing ssh connections. Proceed with operation (y|n)?

כשאני מפעיל, אפילו שהכנסתי את הכתובת IP הנוכחית כמותר לגמרי?

הוא לא מספיק חכם?

@dovid טוב, המרתי, הפעלתי, ונראה שעובד.

יש דרך לראות בזמן אמת איזה בקשות נדחות?

WWW

@dovid אמר בהגדרה מהירה של Firewall בשרת Ububtu:

כמו"כ לא עקבתי אם כעת נשאר/יש בעיה כל שהיא? אם כן כתוב.

כן, יש בעיה!
יש לי יישום דוטנט על השרת שמנותב ע"י Nginx.
וכעת אני מקבל 504 Gateway Time-out

WWW

@dovid מה זה אמור:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

מה זה ה routed?

dovid

@WWW לא יודע מה זה routed אבל זה כנראה בסדר כי ככה זה אצל כולם (כמעט).
השגיאה של הדוטנט, תנסה שניה sudo ufw disable ותראה אם זה קשור אני לא רואה איך זה ייתכן אם זה דרך nginx.

WWW

@dovid אמר בהגדרה מהירה של Firewall בשרת Ububtu:

@WWW לא יודע מה זה routed אבל זה כנראה בסדר כי ככה זה אצל כולם (כמעט).
השגיאה של הדוטנט, תנסה שניה sudo ufw disable ותראה אם זה קשור אני לא רואה איך זה ייתכן אם זה דרך nginx.

נראה שזה קשור ל גישה ל MSSQL.

WWW

@dovid אמר בהגדרה מהירה של Firewall בשרת Ububtu:

השגיאה של הדוטנט, תנסה שניה sudo ufw disable ותראה אם זה קשור

כן, ביטלתי ועובד.
יכול להיות שקשור לזה שבתצורה של דוטנט מוגדר הגישה לMSSQL עם IP חיצוני, אפילו שזה על אותו שרת?

dovid

@WWW הופה מעניין. אפשרת בMSSQL חיבורים מרוחקים?
שנה את הקונקשיין סטרינג שיכיל 127.0.0.1 במקום שם הדומיין או האייפי המרוחקים.

WWW

@dovid אמר בהגדרה מהירה של Firewall בשרת Ububtu:

אפשרת בMSSQL חיבורים מרוחקים?

כן.
נראה לי שזה היה מוגדר ככה בברירת מחדל.
בכל אופן עד עכשיו זה עבד...

WWW

@dovid אמר בהגדרה מהירה של Firewall בשרת Ububtu:

שנה את הקונקשיין סטרינג שיכיל 127.0.0.1 במקום שם הדומיין או האייפי המרוחקים.

בינתיים חיפשתי קצת אקשן... ואיפשרתי בפיירוול את הכתובת IP של השרת עצמו...
וזה עובד...

yossiz

@WWW בברירת מחדל UFW כותב לוג על כל פקטה שלא מתאים לכלל מפורש ונחסמה בגלל ה-default deny. הלוגים הולכים בעיקר ל-SYSLOG.
אצלי יש הגדרה (של rsyslog) בברירת מחדל לנתב את הלוגים של UFW גם ל: ‎/var/log/ufw.log וגם ל-‎/var/log/kern.log

routed הכוונה לפקטות שמנותבים דרך המכונה שלך למכונה אחרת. זה נוגע רק כאשר המכונה משתמשת כנתב. בד"כ זה מושבת בקרנל. וכנראה כך זה אצלך. אפשר להגדיר כללים מיוחדים לתעבורה זו.

(בהזדמנות זו אמליץ על הכלי lnav לניטור לוגים)

WWW

@yossiz אמר בהגדרה מהירה של Firewall בשרת Ububtu:

(בהזדמנות זו אמליץ על הכלי lnav לניטור לוגים)

אפשר להתקין את זה מחבילה?

yossiz

@WWW

sudo apt install lnav