terminal:u:how-to-configure-a-firewall-with-ufw
تفاوتها
تفاوت دو نسخهٔ متفاوت از صفحه را مشاهده میکنید.
نگارش قبل در دو طرفنگارش قبلنگارش بعد | نگارش قبل | ||
terminal:u:how-to-configure-a-firewall-with-ufw [2019/09/30 20:11] – phoenix | terminal:u:how-to-configure-a-firewall-with-ufw [2020/01/20 19:36] (فعلی) – [طریقه کانفیگ فایروال با ufw] phoenix | ||
---|---|---|---|
خط 1: | خط 1: | ||
====== طریقه کانفیگ فایروال با ufw ====== | ====== طریقه کانفیگ فایروال با ufw ====== | ||
[[software: | [[software: | ||
+ | |||
+ | <WRAP center round tip 60%> | ||
+ | در صورت هرگونه سوال یا مشکل حتما در [[https:// | ||
+ | [[https:// | ||
+ | </ | ||
===== مرحله 1 - استفاده از IPv6 با UFW (اختیاری) ===== | ===== مرحله 1 - استفاده از IPv6 با UFW (اختیاری) ===== | ||
خط 26: | خط 31: | ||
- | اگر اکنون دیوار آتش [[software: | + | اگر اکنون دیوار آتش [[software: |
- | برای پیکربندی سرور خود برای | + | برای پیکربندی سرور خود برای |
< | < | ||
sudo ufw allow ssh | sudo ufw allow ssh | ||
</ | </ | ||
- | این قوانین | + | این قوانین به کلیه اتصالات در پورت **22** اجازه وصل شدن را میدهد. [[software: |
با این وجود ، ما در واقع می توانیم با مشخص کردن پورت به جای نام سرویس ، قانون معادل آن را بنویسیم. به عنوان مثال ، این دستور مانند دستور فوق کار می کند: | با این وجود ، ما در واقع می توانیم با مشخص کردن پورت به جای نام سرویس ، قانون معادل آن را بنویسیم. به عنوان مثال ، این دستور مانند دستور فوق کار می کند: | ||
خط 38: | خط 43: | ||
sudo ufw allow 22 | sudo ufw allow 22 | ||
</ | </ | ||
- | اگر **Daemon | + | اگر **SSH** خود را برای استفاده از درگاه دیگری پیکربندی کرده اید ، باید پورت مناسب را مشخص کنید. به عنوان مثال ، اگر سرور **SSH** شما درگاه **2222** را گوش می دهد ، می توانید از این دستور برای اتصال به آن درگاه استفاده کنید: |
< | < | ||
sudo ufw allow 2222 | sudo ufw allow 2222 | ||
</ | </ | ||
- | اکنون | + | اکنون فایروال شما پیکربندی شده است تا بتواند اتصالات **SSH** ورودی داشته باشد. |
===== مرحله 4 - فعال کردن UFW ===== | ===== مرحله 4 - فعال کردن UFW ===== | ||
خط 49: | خط 54: | ||
sudo ufw enable | sudo ufw enable | ||
</ | </ | ||
- | شما یک اخطار دریافت خواهید کرد که می گوید این فرمان ممکن است اتصالات **SSH** موجود را مختل کند. ما قبلاً یک قانون فایروال تنظیم کرده ایم که اتصالات **SSH** را امکان پذیر می سازد ، بنابراین باید ادامه یابد.پس با < | + | شما یک اخطار دریافت خواهید کرد که می گوید این فرمان ممکن است اتصالات **SSH** موجود را مختل کند. ما قبلاً یک قانون فایروال تنظیم کرده ایم که اتصالات **SSH** را امکان پذیر می سازد ،پس با < |
فایروال اکنون فعال است. برای دیدن دستورالعمل های تنظیم شده ، می توانید دستور زیر را استفاده کنید: | فایروال اکنون فعال است. برای دیدن دستورالعمل های تنظیم شده ، می توانید دستور زیر را استفاده کنید: | ||
خط 71: | خط 76: | ||
sudo ufw allow 443 | sudo ufw allow 443 | ||
</ | </ | ||
- | * FTP در پورت 21 ، که برای انتقال پرونده های رمز نشده استفاده می شود (که احتمالاً شما | + | * FTP در پورت 21 ، که برای انتقال پرونده های رمز نشده استفاده می شود (که بهتر است از آن استفاده |
< | < | ||
sudo ufw allow ftp | sudo ufw allow ftp | ||
خط 81: | خط 86: | ||
- | شما می توانید محدوده پورت را با [[software: | + | شما می توانید محدوده پورت را برای [[software: |
به عنوان مثال ، برای اجازه دادن به اتصالات **X11** ، که از پورت های '' | به عنوان مثال ، برای اجازه دادن به اتصالات **X11** ، که از پورت های '' | ||
خط 88: | خط 93: | ||
sudo ufw allow 6000: | sudo ufw allow 6000: | ||
</ | </ | ||
- | هنگام مشخص کردن محدوده پورت با [[software: | + | هنگام مشخص کردن محدوده پورت برای [[software: |
==== آدرس های IP خاص ==== | ==== آدرس های IP خاص ==== | ||
- | هنگام کار با [[software: | + | هنگام کار با [[software: |
< | < | ||
sudo ufw allow from 15.15.15.51 | sudo ufw allow from 15.15.15.51 | ||
خط 101: | خط 106: | ||
</ | </ | ||
==== زیرمجموعه ها(Subnets) ==== | ==== زیرمجموعه ها(Subnets) ==== | ||
- | اگر می خواهید به یک زیر شبکه از آدرس های IP اجازه دهید ، می توانید با استفاده از نماد **CIDR** برای مشخص کردن یک **netmask** این کار را انجام دهید. به عنوان مثال ، اگر می خواهید تمام آدرس های IP از '' | + | اگر می خواهید به یک زیر شبکه از آدرس های IP اجازه دهید ، می توانید با استفاده از نماد **/** برای مشخص کردن یک **netmask** این کار را انجام دهید. به عنوان مثال ، اگر می خواهید تمام آدرس های IP از '' |
< | < | ||
sudo ufw allow from 15.15.15.0/ | sudo ufw allow from 15.15.15.0/ | ||
</ | </ | ||
- | به همین ترتیب ، شما همچنین می توانید پورت مقصد را تعیین کنید که زیر شبکه **15.15.15.0/ | + | به همین ترتیب ، شما همچنین می توانید پورت مقصد را نیز |
< | < | ||
sudo ufw allow from 15.15.15.0/ | sudo ufw allow from 15.15.15.0/ | ||
خط 118: | خط 123: | ||
- | اگر می خواهید یک قانون فایروال ایجاد کنید که فقط مربوط به یک کارت شبکه خاص باشد ، می توانید با مشخص کردن "allow in on" و نام کارت شبکه این کار را انجام دهید. | + | اگر می خواهید یک قانون فایروال ایجاد کنید که فقط مربوط به یک کارت شبکه خاص |
ممکن است بخواهید قبل از ادامه کار ، رابط های شبکه خود را جستجو کنید. برای انجام این کار ، از این دستور استفاده کنید: | ممکن است بخواهید قبل از ادامه کار ، رابط های شبکه خود را جستجو کنید. برای انجام این کار ، از این دستور استفاده کنید: | ||
خط 132: | خط 137: | ||
... | ... | ||
</ | </ | ||
- | خروجی بالا نشانگر نام های کارت شبکه است. به طور معمول چیزی شبیه زیر نامیده میشه '' | + | خروجی بالا نشانگر نام های کارت شبکه است. به طور معمول چیزی شبیه زیر نامیده میشود '' |
- | بنابراین ، اگر سیستم شما یک کارت شبکه عمومی به نام **eth0** دارد ، می توانید با این دستور ترافیک **HTTP (پورت 80)** را به آن اجازه دهید: | + | بنابراین ، اگر سیستم شما یک کارت شبکه عمومی به نام **eth0** دارد ، می توانید با این دستور ترافیک **HTTP (پورت 80)** را به آن متصل کنید: |
< | < | ||
sudo ufw allow in on eth0 to any port 80 | sudo ufw allow in on eth0 to any port 80 | ||
</ | </ | ||
- | با انجام این کار به سیستم شما امکان می دهد درخواستهای **HTTP** را از طریق | + | با انجام این کار به سیستم شما امکان می دهد درخواستهای **HTTP** را از طریق |
یا اگر می خواهید سرور پایگاه داده **MySQL (پورت 3306)** شما را به عنوان مثال در کارت شبکه خصوصی **eth1** گوش دهد ، می توانید از این دستور استفاده کنید: | یا اگر می خواهید سرور پایگاه داده **MySQL (پورت 3306)** شما را به عنوان مثال در کارت شبکه خصوصی **eth1** گوش دهد ، می توانید از این دستور استفاده کنید: | ||
خط 145: | خط 150: | ||
این به سرورهای دیگر در شبکه خصوصی شما اجازه می دهد تا به پایگاه داده **MySQL** شما متصل شوند. | این به سرورهای دیگر در شبکه خصوصی شما اجازه می دهد تا به پایگاه داده **MySQL** شما متصل شوند. | ||
===== مرحله 6 - انکار اتصالات ===== | ===== مرحله 6 - انکار اتصالات ===== | ||
- | اگر خط مشی پیش فرض اتصال های ورودی را تغییر نداده اید ، [[software: | + | اگر خط مشی پیش فرض اتصال های ورودی را تغییر نداده اید ، [[software: |
- | + | با این وجود ، گاهی اوقات شما می خواهید ارتباطات خاص را بر اساس آدرس IP منکر کنید ، شاید به این دلیل که می دانید سرور شما از آنجا مورد حمله قرار می گیرد. همچنین ، اگر می خواهید خط مشی ورودی پیش فرض خود را تغییر دهید< | |
- | با این وجود ، گاهی اوقات شما می خواهید ارتباطات خاص را بر اساس آدرس IP منبع یا زیر شبکه | + | |
برای نوشتن قوانین انکار ، می توانید از دستورات گفته شده در بالا استفاده کنید. | برای نوشتن قوانین انکار ، می توانید از دستورات گفته شده در بالا استفاده کنید. | ||
خط 161: | خط 165: | ||
===== مرحله 7 - حذف قوانین ===== | ===== مرحله 7 - حذف قوانین ===== | ||
- | دانستن چگونگی حذف قوانین فایروال به همان اندازه مهم است که بدانید چگونه می توانید آنها را ایجاد کنید. دو روش مختلف وجود دارد که کدام قاعده را حذف می کند: بر اساس شماره قانون | + | دانستن چگونگی حذف قوانین فایروال به همان اندازه مهم است که بدانید چگونه می توانید آنها را ایجاد کنید. دو روش مختلف وجود دارد: |
+ | - بر اساس شماره قانون | ||
+ | - قانون واقعی (شبیه به نحوه تعیین قوانین هنگام ایجاد) | ||
+ | اگر با [[software: | ||
==== توسط شماره قانون ==== | ==== توسط شماره قانون ==== | ||
خط 192: | خط 199: | ||
sudo ufw delete allow 80 | sudo ufw delete allow 80 | ||
</ | </ | ||
- | در صورت استفاده از **IPv4** و **IPv6** قانون | + | در صورت استفاده از **IPv4** و **IPv6** قانون برای هر دو حذف می شود. |
===== مرحله 8 - بررسی وضعیت و قوانین UFW ===== | ===== مرحله 8 - بررسی وضعیت و قوانین UFW ===== | ||
خط 205: | خط 212: | ||
</ | </ | ||
اگر [[software: | اگر [[software: | ||
+ | < | ||
+ | Output | ||
+ | Status: active | ||
+ | Logging: on (low) | ||
+ | Default: deny (incoming), allow (outgoing), disabled (routed) | ||
+ | New profiles: skip | ||
+ | |||
+ | To | ||
+ | -- | ||
+ | 22/ | ||
+ | </ | ||
+ | ===== مرحله 9 - غیرفعال کردن یا تنظیم مجدد UFW (اختیاری) ===== | ||
+ | |||
+ | اگر تصمیم دارید یا نمی خواهید از [[software: | ||
+ | < | ||
+ | sudo ufw disable | ||
+ | </ | ||
+ | هر قانونی که با [[software: | ||
+ | |||
+ | اگر قبلاً قوانین [[software: | ||
+ | < | ||
+ | sudo ufw reset | ||
+ | </ | ||
+ | با این کار [[software: | ||
+ | --- // |
terminal/u/how-to-configure-a-firewall-with-ufw.1569861678.txt.gz · آخرین ویرایش: 2019/09/30 20:11 توسط phoenix