Как заблокировать исходящий трафик в частные сети с помощью UFW на вашем сервере
Введение: В этом руководстве мы рассмотрим, как защитить ваш сервер, блокируя исходящий трафик в частные сети с помощью Uncomplicated Firewall (UFW). Этот метод особенно полезен в средах, где необходимо гарантировать, что ваш сервер не будет случайно или злонамеренно взаимодействовать с указанными внутренними сетями, что является распространенным требованием во многих защищенных развертываниях. Мы пройдем через установку UFW, настройку базовых правил и установку конкретных запретов для диапазонов частных IP-адресов.
Требования
- Сервер под управлением Ubuntu или любого другого дистрибутива Linux на основе Debian.
- Административный доступ к серверу.
Шаг 1 - Установка и включение UFW
Установите UFW:
UFW, или Uncomplicated Firewall, — это удобный интерфейс для управления правилами брандмауэра iptables. Его простота делает управление брандмауэром Linux понятным и менее подверженным ошибкам. Начните с установки UFW на ваш сервер, если он еще не установлен:
sudo apt install ufw
Включите UFW:
Прежде чем настраивать какие-либо конкретные правила, включите UFW, чтобы убедиться, что он активно управляет сетевым трафиком:
sudo ufw enable
Шаг 2 - Настройка базовых параметров безопасности UFW
Установите политики по умолчанию:
Сначала установите политики по умолчанию на запрет всех входящих и исходящих подключений, что создает безопасную базовую конфигурацию:
sudo ufw default deny incoming
sudo ufw default deny outgoing
Разрешите необходимые службы:
Затем настройте необходимые порты для ваших служб, таких как SSH, HTTP и HTTPS, чтобы ваш сервер оставался доступным по мере необходимости:
sudo ufw allow (add your port here)
sudo ufw allow 22 # Allow SSH
Перезагрузите UFW:
sudo ufw reload
Подтвердите статус UFW:
После настройки правил подтвердите, что UFW работает и правила применены правильно:
sudo ufw status verbose
Шаг 3 - Блокировка связи с частными сетями
Понимание диапазонов частных IP-адресов:
Частные IP-адреса зарезервированы для использования в частных сетях. Они обычно используются для локальной связи внутри сети и не маршрутизируются в интернете. Блоки, которые мы запретим:
- 10.0.0.0/8
- 172.0.0.0/8
- 192.0.0.0/8
- 100.0.0.0/8
- 198.0.0.0/8
- 169.0.0.0/8
- 102.0.0.0/8
- 185.234.0.0/14
Заблокируйте исходящую связь:
Чтобы заблокировать исходящую связь с этими сетями, используйте следующие команды UFW:
sudo ufw deny out from any to 10.0.0.0/8
sudo ufw deny out from any to 172.0.0.0/8
sudo ufw deny out from any to 192.0.0.0/8
sudo ufw deny out from any to 100.0.0.0/8
sudo ufw deny out from any to 198.0.0.0/8
sudo ufw deny out from any to 169.0.0.0/8
sudo ufw deny out from any to 102.0.0.0/8
sudo ufw deny out from any to 185.234.0.0/14Проверьте и подтвердите:
После установки этих правил проверьте конфигурацию вашего брандмауэра:
sudo ufw status verbose
Вы также можете проверить правила с помощью:
sudo iptables-save
Тестирование конфигурации:
Протестируйте настройки брандмауэра, попытавшись пропинговать устройство в заблокированных диапазонах, например:
ping 172.16.5.204Заключение: Реализация правил брандмауэра для блокировки исходящего трафика в частные сети является критически важной мерой безопасности, особенно когда у вас нет полного контроля над программным обеспечением, установленным на вашем сервере. Использование UFW упрощает этот процесс и гарантирует, что ваш сервер соблюдает политики доступа к сети, защищая ваши системы от потенциальных внутренних угроз.
Поиск
Популярные записи