Без взаємодії з приватними мережами

Можуть виникнути проблеми, коли раптом надходять скарги від дата-центру про сканування приватних мереж, хоча ви не робили це навмисно. Ми можемо заблокувати всі приватні мережі, щоб вирішити цю проблему.

Установка ufw

Спочатку перевірте наявність ufw на вашому сервері:

sudo apt install ufw

Далі, перед увімкненням, слід вказати важливі налаштування, щоб не втратити доступ до сервісів. Дозвольте порти SSH, HTTP, HTTPS:

sudo ufw allow 22
sudo ufw allow 80
sudo ufw allow 443

Увімкнемо наш фаєрвол:

sudo ufw enable

Далі ми можемо перевірити стан фаєрволу:

sudo ufw status

Блокування приватних мереж

Все добре! Тепер перейдемо до блокування приватних мереж. До них належать:

These include:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

  • 100.64.0.0/10

Блокуємо їх за допомогою команд:

sudo ufw deny out from any to 10.0.0.0/8
sudo ufw deny out from any to 172.16.0.0/12
sudo ufw deny out from any to 192.168.0.0/16
sudo ufw deny out from any to 100.64.0.0/10
sudo ufw deny out from any to 198.18.0.0/15
sudo ufw deny out from any to 169.254.0.0/16

Після додавання можемо знову перевірити стан правил:

sudo ufw status

# Або за допомогою iptables:
iptables-save

Тепер, якщо ми спробуємо отримати доступ до адреси приватної мережі, отримаємо помилку. Наприклад, за допомогою команди ping:

ping 198.18.22.62

Готово!

Розблокування мереж (за необхідності)

Перевірте список поточних правил ufw разом з їх нумерацією:

sudo ufw status numbered

Тепер можемо видалити необхідне правило за допомогою команди:

sudo ufw delete <номер правила>

Наприклад, видалимо правило 7:

sudo ufw delete 7

Тепер немає обмежень при спробі повторного доступу до 198.18.22.62.

Дякуємо за ознайомлення! Тепер ви знаєте, як закрити (і відкрити) доступ до вашого сервера для приватних мереж за допомогою ufw.

Last updated