Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Убунту

Требования к файерволу для Ubuntu Desktop

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. 1. Разрешить исходящий HTTP (порт 80) и HTTPS (порт 443)
  3. 2. Разрешить DNS (порт 53)
  4. 3. Разрешить NTP (порт 123) – опционально, но рекомендовано
  5. 4. Разрешить ICMP (ping) – опционально, но полезно
  6. 5. Ограничить входящий трафик
  7. Примеры правил firewall
  8. Правила для исходящего трафика:
  9. Правила для входящего трафика:
  10. Проверка подключения
  11. Ответ или решение
  12. Теория (Theory)
  13. Пример (Example)
  14. Выходящие соединения:
  15. Входящие соединения:
  16. Применение (Application)

Вопрос или проблема

Мы собираемся запустить виртуальную машину с Ubuntu, которая будет находиться за firewall. Можете ли вы сказать мне, какие настройки firewall необходимо произвести, чтобы мы могли выходить в интернет и обновлять программное обеспечение Ubuntu?

Спасибо, Даррен

Чтобы ваша виртуальная машина с Ubuntu могла выходить в интернет и обновлять своё программное обеспечение, находясь за firewall, вам нужно настроить firewall для разрешения исходящего трафика к определённым назначениям и портам. Вот основные требования:

1. Разрешить исходящий HTTP (порт 80) и HTTPS (порт 443)

  • Ubuntu использует HTTP (порт 80) и HTTPS (порт 443) для подключения к своим пакетным репозиториям (например, archive.ubuntu.com, security.ubuntu.com) для обновлений программного обеспечения.
  • Правило firewall: Разрешить исходящий трафик от вашей виртуальной машины в любые назначения на порты 80 (HTTP) и 443 (HTTPS).

2. Разрешить DNS (порт 53)

  • DNS необходим для разрешения доменных имён (например, archive.ubuntu.com) в IP-адреса.
  • Правило firewall: Разрешить исходящий трафик от вашей виртуальной машины к DNS-серверам (типично UDP порт 53, и опционально TCP порт 53 для больших запросов).

3. Разрешить NTP (порт 123) – опционально, но рекомендовано

  • Протокол сетевого времени (NTP) обеспечивает синхронизацию часов вашей виртуальной машины, что важно для безопасности и ведения логов.
  • Правило firewall: Разрешить исходящий трафик к NTP-серверам на UDP порт 123.

4. Разрешить ICMP (ping) – опционально, но полезно

  • ICMP (ping) полезен для устранения проблем с сетевой связью.
  • Правило firewall: Разрешить исходящий ICMP-трафик (эхо-запросы) от вашей виртуальной машины.

5. Ограничить входящий трафик

  • Если на виртуальной машине не работают конкретные сервисы, которые должны быть доступны извне, заблокируйте весь входящий трафик на виртуальную машину, кроме SSH (порт 22) или других необходимых портов для управления.

Примеры правил firewall

Вот пример того, как вы можете настроить правила firewall (например, с использованием iptables, ufw или firewall от облачных провайдеров):

Правила для исходящего трафика:

  • Разрешить исходящий трафик на порт 80 (HTTP): 
    sudo ufw allow out 80/tcp
  • Разрешить исходящий трафик на порт 443 (HTTPS): 
    sudo ufw allow out 443/tcp
  • Разрешить исходящий DNS-трафик (UDP порт 53): 
    sudo ufw allow out 53/udp
  • Разрешить исходящий NTP-трафик (UDP порт 123): 
    sudo ufw allow out 123/udp
  • Разрешить исходящий ICMP (ping): 
    sudo ufw allow out proto icmp

Правила для входящего трафика:

  • Разрешить входящий SSH (порт 22): 
    sudo ufw allow in 22/tcp
  • Запретить весь остальной входящий трафик: 
    sudo ufw default deny incoming

Проверка подключения

После настройки firewall проверьте подключение:

  1. Обновите список пакетов: 
    sudo apt update
  2. Обновите установленные пакеты: 
    sudo apt upgrade

Ответ или решение

Для обеспечения функциональности вашей виртуальной машины (VM) на Ubuntu, которая находится за файрволом, необходимо правильно настроить параметры файрвола. Это необходимо для того, чтобы гарантировать соединение с интернетом и возможность обновления программного обеспечения. Рассмотрим это подробнее, используя модель TEA (Theory, Example, Application).

Теория (Theory)

Виртуальная машина на Ubuntu нуждается в доступе к интернету для загрузки обновлений и получения исправлений безопасности с официальных репозиториев операционной системы. Это обеспечивает стабильность, безопасность и актуальность программных пакетов. Для этого вашей VM необходимо выйти в интернет через определенные порты и протоколы.

Пример (Example)

Выходящие соединения:

  1. HTTP и HTTPS (Порты 80 и 443): Обновления Ubuntu и доступ к пакетным репозиториям осуществляются через HTTP и HTTPS.

    • Разрешите выходящие соединения на порты 80 (HTTP) и 443 (HTTPS) к любому адресу назначения.

    Пример команды (используя ufw):

    sudo ufw allow out 80/tcp
sudo ufw allow out 443/tcp

  2. DNS (Порт 53): Для разрешения доменных имен (например, archive.ubuntu.com) необходим доступ к DNS-серверам.

    • Разрешите выходящие соединения на UDP порт 53, а также на TCP порт 53 для больших запросов.

    Пример команды:

    sudo ufw allow out 53/udp

  3. NTP (Порт 123) – опционально, но рекомендуется: Протокол NTP позволяет синхронизировать системное время, что важно для безопасности и ведения журналов.

    • Разрешите выходящие соединения на UDP порт 123.

    Пример команды:

    sudo ufw allow out 123/udp

  4. ICMP (Ping) – опционально: Протокол ICMP полезен для диагностики сетевых проблем.

    • Разрешите выходящие ICMP-запросы.

    Пример команды:

    sudo ufw allow out proto icmp

Входящие соединения:

  1. SSH (Порт 22): Если вам нужно удаленно управлять вашей VM, разрешите входящие соединения по SSH.

    • Разрешите входящие соединения на порт 22.

    Пример команды:

    sudo ufw allow in 22/tcp

  2. Ограничение других входящих соединений: Если нет необходимости в других входящих соединениях, заблокируйте их для повышения безопасности.

    • Установите блокировку для всех остальных входящих соединений.

    Пример команды:

    sudo ufw default deny incoming

Применение (Application)

Теперь, когда правила файрвола настроены, необходимо проверить корректность их работы. Для этого выполните следующие действия:

  1. Обновление списка пакетов:
    Выполните команду:

    sudo apt update

    Это позволит убедиться, что ваша VM может обращаться к репозиториям и загружать список обновлений.

  2. Обновление установленных пакетов:
    Выполните команду:

    sudo apt upgrade

    Это подтвердит, что ваша VM имеет доступ для загрузки и установки обновлений.

Таким образом, обеспечивая корректную настройку выходящих и входящих соединений на файрволе, вы гарантируете стабильный и защищенный доступ вашей Ubuntu VM к интернету и возможность регулярных обновлений, что крайне важно для поддержания безопасности и бесперебойной работы системы.

Настройка файрвола – важный шаг в защите и обеспечении бесперебойной работы вашей инфраструктуры. Регулярные проверки и обновления правил файрвола помогут поддерживать актуальность и безопасность вашей виртуальной машины и всей IT-инфраструктуры в целом.

command-line firewall internet software-installation updates
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности