Наш новый VPN сервер находится в интернете, а значит защита должна присутствовать, пусть пока и в базовом исполнении. В Ubuntu есть не плохой инструмент UFW (Ubuntu FireWall).
По умолчанию файрволл выключен, для его активации используется команда ufw enable, но при ее выполнении все Ваши соединения которые смотрят в интернет "отвалятся". Для того, что бы этого не произошло, мы сначала сделаем некоторые настройки, а потом его активируем!
Для начала запретим все входящие соединения командой
- sudo ufw default deny incoming
А теперь
- Откроем порт для ssh командой sudo ufw allow 22
Из предыдущий статьи мы знаем, что у нас работатет L2TP/IPsec сервер, а значит нам надо добавить его порт в разрешения
- Открываем порт L2TP командой sudo ufw allow 1701
Допустим, что нам этого хватит, тогда на этом мы можем завершить настройку и вернуться к ней в любой момент.
НО! Это еще не всё, правила добавлены, но файрволл у нас не активен. Проверить это можно командой sudo ufw status
Добавьте описание
Для его активации используем команду
- sudo ufw enable
Сервер нас извещает о том, что ткущее ssh соединение может быть сброшено, продолжить? Жмем Y мы же добавили порт 22 в разрешения
Теперь проверим как работает наш файролл командой:
- sudo ufw status
И тут мы видим, что все порты кроме разрешенных, запрещены. Что бы в этом убедиться мы можем запустить nmap и просканировать сервер, но это, как говорится, совсем другая история)
На данном этапе базовая настройка файрвола завершена. Этого вполне достаточно на начальном этапе защиты нашего VPN сервера.
В следующих статьях я опишу более углубленные способы защиты.
* все команды выполняю из под пользователя root хоть это и неправильно, а как создать пользователя с правами root я расскажу в следующей статье! Подписываемся!