Zabezpečení VPS: Průvodce firewallem UFW

Základní pravidlo každého serveru zní: Co není výslovně povoleno, musí být zakázáno. Firewall je váš první obranný val. Bez něj vystavujete svůj server (a data hráčů) riziku útoků, které mohou způsobit lagy nebo úplný pád serveru. Pomocí nástroje UFW (Uncomplicated Firewall) si ukážeme, jak svůj VPS jednoduše a efektivně zamknout před nezvanými hosty a povolit přístup jen tam, kam opravdu potřebujete (například na váš Minecraft server nebo web).

💡

Síťový port je virtuální číslo, které slouží pro rozlišení aplikace v rámci síťové komunikace. Přirovnat ho můžeme k fyzickému portu na routeru - třeba víme, že k ETH4 máme připojenou televizi. Stejně tak, díky síťovému portu, můžeme vědět, že mail server máme na portu 993.

1. Kontrola stavu a základní nastavení

Nejprve se připojte na svůj VPS přes SSH a přihlaste se jako uživatel s právy root.

Jako první zjistíme, v jakém stavu se náš firewall momentálně nachází:

ufw status

Pokud vidíte odpověď Status: inactive, firewall je zatím vypnutý. To je v pořádku, zapneme ho až na samém konci.

Nejlepší praxe je nastavit firewall tak, aby automaticky blokoval veškerou příchozí komunikaci (nikdo se k vám nedostane) a povoloval veškerou odchozí (váš server může stahovat aktualizace). Uděláte to tímto složeným příkazem:

ufw default deny incoming && ufw default allow outgoing

2. Povolení důležitých portů

Nyní musíme povolit porty, které budete opravdu na VPS využívat.

❗

Povolení portu 22 v následujícím kroku je povinné. V opačném případě ztratíte přístup k serveru.

Povolení SSH portu (NUTNOST) Abychom se na server mohli i nadále připojit přes terminál, musíme povolit port 22:

ufw allow 22/tcp

Povolení webového serveru (volitelné) Pokud vám na VPS běží web nebo administrace (např. Pterodactyl panel), budete potřebovat porty pro HTTP a HTTPS:

ufw allow 80/tcp && ufw allow 443/tcp

Povolení herních serverů (volitelné) Zde záleží, jakou hru na VPS hostujete. U firewallu můžete specifikovat i protokol (TCP nebo UDP). Pokud hostujete základní Minecraft server, povolte jeho výchozí port 25565:

ufw allow 25565/tcp

💡

Pokud máte serverů více, stačí změnit číslo portu a příkaz zopakovat pro každý z nich.

3. Zapnutí firewallu

Když máme povolené SSH a porty pro naše služby (web, hry), můžeme firewall s klidným svědomím aktivovat:

ufw enable

Terminál se vás pravděpodobně zeptá, zda chcete operaci potvrdit (vypíše varování o možném přerušení SSH spojení). Napište y (jako yes) a potvrďte klávesou Enter.

Pokud si nyní znovu zadáte příkaz ufw status, uvidíte krásný a přehledný seznam všech pravidel, která chrání váš VPS.

4. Jak pravidlo smazat?

Když se třeba rozhodnete zrušit jeden z Minecraft serverů a chcete jeho port ve firewallu zase uzavřít, stačí si nejprve vypsat pravidla jako očíslovaný seznam:

ufw status numbered

A následně smazat konkrétní pravidlo podle jeho čísla (například pravidlo číslo 3):

ufw delete 3