Gerencie firewalls com o módulo Ansible UFW
Um firewall é responsável por monitorar o tráfego de entrada e saída por meio de uma rede. O processo de monitoramento é parametrizado pelos requisitos de segurança do sistema que o firewall deve defender.
Ansible tem um módulo chamado Módulo UFW, que permite aos usuários gerenciar os firewalls em hosts remotos. Vamos descobrir o que é este módulo e como funciona!
Qual é o módulo UFW?
Antes de chegarmos ao módulo UFW, devemos primeiro verificar o que é o UFW. UFW significa firewall não complicado-um aplicativo fácil de usar projetado para facilitar o gerenciamento de firewall em sistemas Linux. Ele vem pré -instalado em todas as versões do Ubuntu após 8.04 LTS.
A coisa boa da UFW é que ele fornece um front -end intuitivo que qualquer um pode aprender a usar rapidamente. É um programa baseado em CLI (interface da linha de comando), no entanto, existem versões da GUI disponíveis também. O UFW funciona particularmente bem com os firewalls hospedeiros, o que provavelmente é por isso que há suporte para isso em Ansible.
Ansible tem um módulo UFW pertencente ao comunidade.Coleção geral, o que significa que não está incluído em Ansible-Core. No entanto, se você instalou o pacote Ansible, provavelmente já o possui. Caso não, consulte a próxima seção para obter instruções de instalação.
Instalando o módulo UFW
Você pode verificar se o módulo UFW está ou não incluído em sua instalação Ansible, executando o comando abaixo.
$ Ansible -Doc -lVerifique a saída. Se você não tiver o módulo UFW, execute o comando abaixo para instalá -lo.
$ ANSIBLIBLE-GALAXY COLECTE Comunidade.em geralCom isso feito, estamos todos na mesma página sobre a instalação do módulo UFW. Vamos entrar em como você pode usá -lo!
Usando o módulo UFW
Dados abaixo, estão alguns parâmetros importantes que todo usuário deve saber antes de usar o módulo UFW.
- Padrão ou política - leva ou negar ou rejeitar e altera a política de segurança atual para o tráfego de rede.
- Excluir - leva não (padrão) ou sim. Exclui uma regra.
- direção - define a direção de uma regra i.e., em, entrada, saída, extrovertida ou roteada.
- from_ip, from_port - retorna o endereço IP de origem e a porta, respectivamente.
- inserir - adiciona uma regra identificada por seu número de regra ou num. (Os números começam de 1 na UFW)
- Interface - Especifica a interface (acionada pelo parâmetro de direção) para a regra do sujeito.
- log - leva não (padrão) ou sim. Vira o login e desligamento para novas conexões feitas para a regra.
- Registro - Altera as configurações de registro de pacotes de acordo com o ON, OFF, baixo, médio, alto ou completo.
- Rota - não leva (padrão) ou sim. Aplica a regra especificada aos pacotes encaminhados/roteados.
- regra - adicione uma nova regra de firewall. Leva os mesmos argumentos que o parâmetro padrão.
- Estado - Tomar -se ativado a recarregar e executar o firewall após a inicialização, desativado para descarregar e desligar o firewall após a inicialização, redefinir para desativar o firewall e aplica configurações padrão, recarregadas para recarregar o firewall.
- TO_IP, TO_PORT - Retorna o endereço IP de destino e a porta, respectivamente.
Depois de dominar os meandros desses parâmetros, você está no caminho de se tornar um especialista em UFW. Se você quiser saber mais, visite a documentação do módulo Ansible UFW. Dito isto, vamos para alguns exemplos que demonstram o uso deste módulo.
Exemplo 1: Ativar UFW
Neste primeiro exemplo, você aprenderá como habilitar o UFW enquanto permite todo o tráfego. Isso pode ser feito com a seguinte parte do código.
- Nome: ativando UFW, permitindo todo o tráfegocomunidade.em geral.ufw:
estado: ativado
Política: permitir
- Nome: Defina o log
comunidade.em geral.ufw:
registro: 'on'
Agora, execute este manual com a ajuda do seguinte comando no terminal Linux:
Livro de teste Ansible-PlayBook.ymlComo você pode ver, usamos o estado parâmetro e defina -o para habilitado - Ligando o firewall. Em seguida, nossa política ou parâmetro padrão permite tudo. Finalmente, ligamos a log.
Exemplo 2: Rejeitando o tráfego
As conexões de um remetente podem ser rejeitadas de várias maneiras, usando negar e rejeitar. No entanto, o uso de nega não informa o remetente que eles foram negados. Em muitos casos, você pode querer notificar os usuários de que suas conexões estão sendo negadas. Nesse caso, use o argumento de rejeição.
- comunidade.em geral.ufw:Regra: rejeitar
Porta: Auth
LOG: Sim
Também registramos as conexões rejeitadas definindo o log para sim.
Exemplo 3: Negar e permitir o acesso a uma porta específica
Neste exemplo, examinaremos como você pode negar o acesso a uma determinada porta. Isso pode ser alcançado simplesmente definindo a regra como negar e passar o número da porta que você deseja.
- Nome: negando o acesso à porta 35comunidade.em geral.ufw:
Regra: negar
PORT: '35'
Também podemos mudar um pouco as coisas, permitindo todo o acesso a uma porta TCP também. Aqui está como isso seria feito.
- Nome: permitindo todo o acesso à porta 53comunidade.em geral.ufw:
Regra: permitir
PORT: '53'
Proto: TCP
Aqui, o parâmetro proto passou o TCP, simplesmente definindo o protocolo. Outros possíveis valores de argumento incluem UDP, IPv6, esp, Ah, qualquer, e mais.
Essas técnicas também são aplicáveis a uma variedade de portas. Digamos que você deseja permitir ou negar acesso a uma ampla gama de portas, mas você teria que especificar uma regra para cada porta um por um. Não necessariamente. De fato, você pode passar por toda uma gama de portas que precisam da mesma regra. Aqui está um exemplo de como funcionaria.
- Nome: Permitir intervalo de porta 60000-61000comunidade.em geral.ufw:
Regra: permitir
Porta: 60000: 61000
Proto: TCP
Todas as portas entre 60000 e 61000 terão acesso completo.
Conclusão
Neste guia, exploramos o módulo Ansible UFW. Ele nos permite gerenciar firewalls em hosts remotos com eficiência. Também analisamos alguns exemplos em que demonstramos como permitir ou negar acesso, gerenciar portas e mais. Felizmente, tem sido uma leitura informativa para você!