Jinsi ya Kusanidi Firewall kwenye Seva ya Ubuntu

Iliyochapishwa: 15 Februari 2025, 21:35:28 UTC
Mara ya mwisho kusasishwa: 12 Januari 2026, 08:37:43 UTC

Makala haya yanaelezea na kutoa mifano kadhaa kuhusu jinsi ya kuanzisha ngome kwenye GNU/Linux kwa kutumia ufw, ambayo ni kifupi cha Uncomplicated FireWall - na jina hilo linafaa, kwa kweli ni njia rahisi sana ya kuhakikisha huna milango zaidi iliyo wazi kuliko unavyohitaji.

Ukurasa huu ulitafsiriwa kwa mashine kutoka kwa Kiingereza ili kuifanya iweze kupatikana kwa watu wengi iwezekanavyo. Kwa bahati mbaya, utafsiri wa mashine bado sio teknolojia iliyokamilishwa, kwa hivyo makosa yanaweza kutokea. Ukipenda, unaweza kutazama toleo asili la Kiingereza hapa:

How to Set Up a Firewall on Ubuntu Server

Taarifa katika chapisho hili inategemea Seva ya Ubuntu 14.04 x64. Huenda ikawa halali au isiwe halali kwa matoleo mengine. (Sasisho: Ninaweza kuthibitisha kwamba taarifa katika chapisho hili kimsingi bado ni halali na inafanya kazi kufikia Seva ya Ubuntu 24.04, hata hivyo katika kipindi cha kati cha miaka 10, ufw imekuwa "nadhifu" kwa kuwa na wasifu wa programu za kawaida za seva (kwa mfano, unaweza kuwezesha "Nginx kamili" badala ya milango 80 na 443 kando) na kuzima/kuwezesha ngome nzima ili kupata sheria mpya zinazotumika si lazima tena)

Nilipoanza na seva za GNU/Linux (Ubuntu), kusanidi ngome kulihusisha kuunda na kudumisha faili ya usanidi ambayo inaweza kuwa ngumu kwa iptables. Hata hivyo, hivi majuzi nimegundua ufw, ambayo ni kifupi cha Uncomplicated Firewall - na kwa kweli ni :-)

Usakinishaji wangu wa Ubuntu Server 14.04 tayari ulikuwa umesakinishwa ufw, lakini ikiwa haujasakinishwa, isakinishe tu kutoka kwenye hazina:

sudo apt-get install ufw

UFW kwa kweli ni zana tu inayorahisisha usanidi wa iptables - nyuma ya pazia, bado ni iptables na ngome ya Linux kernel ambayo hufanya uchujaji, kwa hivyo ufw si mdogo wala salama zaidi kuliko hizi. Hata hivyo, kwa sababu ufw hurahisisha sana kusanidi ngome kwa usahihi, inaweza kupunguza hatari ya makosa ya kibinadamu na kwa hivyo labda ni salama zaidi kwa wasimamizi wasio na uzoefu.

Ikiwa seva yako imeundwa na IPv6 pamoja na IPv4, hakikisha kwamba hii imewezeshwa kwa UFW pia. Hariri faili /etc/default/ufw na utafute mstari unaosema IPV6=yes. Kwenye usakinishaji wangu ilikuwa tayari ipo, lakini ikiwa haipo au ikiwa inasema hapana, unapaswa kuihariri.

Kisha tumia tu kidokezo cha amri ili kuwezesha milango unayotaka ifunguliwe. Ikiwa umeunganishwa na seva yako kupitia ssh, hakikisha unaruhusu hilo pia au linaweza kuvuruga muunganisho wako na pengine kukufungia nje ya seva yako unapoiwasha - kulingana na kama una ufikiaji halisi wa seva au la, hii inaweza kuwa ngumu kidogo ;-)

Kwa mfano, ukitumia ssh kwenye lango la kawaida 22 na unasanidi seva ya wavuti inayounga mkono miunganisho isiyosimbwa kwa njia fiche (HTTP kwenye lango 80) na iliyosimbwa kwa njia fiche (HTTPS kwenye lango 443), utatoa amri zifuatazo ili kusanidi ufw:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Ikiwa unahitaji sheria zaidi, ziongeze tu kama ilivyo hapo juu.

Ikiwa una anwani ya IP tuli na unahitaji tu kuweza kuungana kupitia ssh kutoka eneo moja, unaweza pia kuzuia miunganisho ya ssh kwa anwani moja asili kama hii:

sudo ufw allow from 192.168.0.1 to any port 22

Bila shaka, ingiza anwani yako ya IP badala yake.

Ukimaliza, wezesha ufw kwa kuingiza:

sudo ufw enable

Na umemaliza! Ngome inaendeshwa na itaanza kiotomatiki utakapowasha upya seva yako :-)

Ukifanya mabadiliko kwenye usanidi wa ufw, huenda ukahitaji kuizima na kuiwasha tena ili kuyafanya yafanye kazi, kama hii:

sudo ufw disable
sudo ufw enable

Ili kuangalia usanidi wa sasa, ingiza tu:

sudo ufw status

Ikiwa ufw haijawezeshwa, hii itaonyesha tu ujumbe "usiotumika", vinginevyo itaorodhesha sheria zilizoainishwa kwa sasa.