Обратно към блога
Януари 13, 2026Ръководства

Как да конфигурирате защитна стена на Linux сървър

Пълно ръководство за конфигуриране на защитни стени UFW (Ubuntu) и Firewalld (CentOS) за защита на вашия сървър.

Как да конфигурирате защитна стена на Linux сървър

Защитната стена е от съществено значение за сигурността на сървъра, като контролира входящия и изходящия мрежов трафик. Това ръководство обхваща конфигурирането на UFW в Ubuntu/Debian и Firewalld в системи CentOS/RHEL.

Инсталиране на UFW

bash
sudo apt update
sudo apt install ufw -y

Основни команди на UFW

bash
# Проверка на състоянието
sudo ufw status

# Активиране на защитната стена
sudo ufw enable

# Разрешаване на SSH (важно!)
sudo ufw allow 22/tcp

# Разрешаване на HTTP и HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Отказ на порт
sudo ufw deny 3306/tcp

# Изтриване на правило
sudo ufw delete allow 80/tcp

Използване на профили на приложения

bash
# Списък с наличните приложения
sudo ufw app list

# Разрешаване на Nginx
sudo ufw allow 'Nginx Full'

# Разрешаване на OpenSSH
sudo ufw allow 'OpenSSH'

Инсталиране на Firewalld

bash
sudo yum install firewalld -y
sudo systemctl start firewalld
sudo systemctl enable firewalld

Основни команди на Firewalld

bash
# Проверка на състоянието
sudo firewall-cmd --state

# Списък на всички правила
sudo firewall-cmd --list-all

# Разрешаване на услуга
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

# Разрешаване на порт
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reload

Работа със зони

Firewalld използва зони за управление на мрежовата сигурност. Общи зони:

bash
# Списък на зоните
sudo firewall-cmd --get-zones

# Задаване на зона по подразбиране
sudo firewall-cmd --set-default-zone=public

# Добавяне на услуга към зона
sudo firewall-cmd --zone=public --add-service=ssh --permanent
sudo firewall-cmd --reload

Най-добри практики за сигурност

  • Винаги разрешавайте SSH преди активиране на защитната стена, за да избегнете блокиране
  • Използвайте конкретни IP адреси, когато е възможно: sudo ufw allow from 192.168.1.100
  • Редовно преглеждайте правилата на защитната стена и премахвайте неизползваните
  • Активирайте логването, за да наблюдавате активността на защитната стена
  • Тествайте правилата на защитната стена преди прилагането им в производство