Linux articles

Після встановлення чистого сервера Debian 13 одним із перших кроків має бути налаштування мережевої безпеки. Якщо доступ до сервера здійснюється виключно через SSH з використанням ключів, доцільно повністю закрити всі вхідні порти та залишити відкритим лише порт 22 для SSH.

У Debian 13 стандартним інструментом для фільтрації мережевого трафіку є nftables. Він входить до складу сучасних версій Linux і дозволяє гнучко налаштовувати правила фаєрвола.

Встановлення nftables

Оновіть список пакетів та встановіть nftables:

apt update
apt install nftables -y

Створення конфігурації фаєрвола

Відкрийте файл конфігурації:

nano /etc/nftables.conf

Вставте наступний вміст:

#!/usr/sbin/nft -f

flush ruleset

table inet filter {

    chain input {
        type filter hook input priority 0;
        policy drop;

        # localhost
        iif lo accept

        # вже встановлені з'єднання
        ct state established,related accept

        # SSH
        tcp dport 22 accept

        # ping (необов'язково)
        ip protocol icmp accept
        ip6 nexthdr icmpv6 accept
    }

    chain forward {
        type filter hook forward priority 0;
        policy drop;
    }

    chain output {
        type filter hook output priority 0;
        policy accept;
    }
}

Перевірка конфігурації

Перед застосуванням правил необхідно переконатися, що конфігурація не містить помилок:

nft -c -f /etc/nftables.conf

Якщо помилок не виявлено, можна активувати фаєрвол.

Запуск та автозавантаження

systemctl enable nftables
systemctl restart nftables

Перевірити завантажені правила можна командою:

nft list ruleset

Що роблять ці правила

• Блокують усі вхідні підключення за замовчуванням.
• Дозволяють локальний трафік через інтерфейс localhost.
• Дозволяють вже встановлені та пов’язані з’єднання.
• Відкривають лише порт 22 для SSH.
• Дозволяють вихідні з’єднання сервера.
• Блокують пересилання пакетів (forward).

Перевірка відкритих портів

Після налаштування фаєрвола рекомендується перевірити сервер з іншого пристрою:

nmap -Pn IP_СЕРВЕРА

У результаті повинен залишитися доступним лише SSH-порт:

22/tcp open ssh

Додатковий захист SSH

Якщо ви підключаєтесь до сервера лише з однієї статичної IP-адреси, можна дозволити доступ до SSH тільки з неї.

Замість правила:

tcp dport 22 accept

використовуйте:

ip saddr 203.0.113.55 tcp dport 22 accept

де 203.0.113.55 необхідно замінити на власну IP-адресу.

У такому випадку SSH буде доступний виключно з вказаної адреси, а всі інші спроби підключення будуть автоматично блокуватися.

Важливе застереження

Перед застосуванням нових правил рекомендується відкрити другу SSH-сесію та не закривати її до завершення перевірки. Це дозволить уникнути втрати доступу до сервера у випадку помилки в конфігурації фаєрвола.

Wireguard is a modern, fast, and secure VPN solution.
This guide explains how to create a new WireGuard client on a Linux server
(Debian or Ubuntu) and connect it from a mobile device or desktop.

Prerequisites

• A Linux server with WireGuard already installed
• Root or sudo access
• An existing WireGuard interface (e.g. wg0)

Example network used in this guide:

• VPN subnet: 10.0.0.0/24
• Server IP: 10.0.0.1
• New client IP: 10.0.0.2

Step 1: Generate Client Keys

Navigate to the WireGuard configuration directory and set a secure file creation mask:

cd /etc/wireguard
umask 077

Generate the client private and public keys:

wg genkey | tee client1.key | wg pubkey > client1.pub

This creates:

• client1.key — private key (keep secret)
• client1.pub — public key

Step 2: Add the Client to the Server Configuration

Edit the server configuration file:

nano /etc/wireguard/wg0.conf

Add a new [Peer] section:

[Peer]
PublicKey = CLIENT1_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32

Important: Each client must have a unique IP address.

Step 3: Apply the Configuration

Reload WireGuard without disconnecting active clients:

wg syncconf wg0 <(wg-quick strip wg0)

Or restart the interface:

systemctl restart wg-quick@wg0

Step 4: Create the Client Configuration File

Create a client configuration file:

nano client1.conf

Insert the following configuration:

[Interface]
PrivateKey = CLIENT1_PRIVATE_KEY
Address = 10.0.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = SERVER_IP:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Step 5: Generate a QR Code (Optional)

For mobile devices, you can generate a QR code:

apt install qrencode
qrencode -t ansiutf8 < client1.conf

Scan the QR code using the WireGuard mobile app to import the tunnel instantly.

Step 6: Verify the Connection

On the server, check the tunnel status:

wg show

If the client is connected, you will see:

• Latest handshake timestamp
• Data transfer statistics

Common Configuration Variants

Split Tunnel (VPN only for internal network)

AllowedIPs = 10.0.0.0/24

Full Tunnel (all traffic via VPN)

AllowedIPs = 0.0.0.0/0, ::/0

Security Notes

• Never reuse client IP addresses
• Protect private keys with file permissions (600)
• Use PersistentKeepalive = 25 for mobile clients behind NAT

Conclusion

WireGuard makes VPN client management simple and secure.
By following this guide, you can safely add new clients,
generate configuration files, and connect from any modern device.

This setup works equally well for Android, iOS, Linux, Windows, and macOS clients.

Source: AIBlockLab.com

Huawei E173 — популярний USB 3G-модем, який добре підтримується Linux, але на сучасних версіях Linux Mint часто виникає ситуація, коли ModemManager не бачить модем, навіть якщо драйвери завантажені правильно.

У цій статті показано реальний робочий спосіб підключення Huawei E173 до Linux Mint, включно з діагностикою та стабільним рішенням через wvdial.

1. Перевірка визначення модема системою

Після підключення модема до USB перевіримо, чи бачить його система:

lsusb

Очікуваний результат:

Bus 001 Device 010: ID 12d1:1506 Huawei Technologies Co., Ltd. Modem/Networkcard

Важливо: ID 12d1:1506 означає, що модем уже в режимі модема (не CD-ROM), і usb_modeswitch не потрібен.

2. Перевірка портів ttyUSB

Модем Huawei E173 працює через послідовні порти. Перевіримо їх наявність:

ls /dev/ttyUSB*

Нормальний результат:

/dev/ttyUSB0
/dev/ttyUSB1
/dev/ttyUSB2

3. Перевірка драйверів ядра

Переконаємося, що драйвер option завантажений:

lsmod | grep option

Очікувано:

option      69632  1
usb_wwan    24576  1 option
usbserial   57344  4 usb_wwan,option

Це означає, що ядро Linux повністю готове до роботи з модемом.

4. Чому ModemManager не бачить Huawei E173

Команда:

mmcli -L

може повертати:

No modems were found

Це типова проблема на нових версіях Linux Mint. ModemManager орієнтований на LTE / QMI / MBIM і часто ігнорує старі 3G-модеми Huawei.

Рішення — використати перевірений класичний метод через wvdial.

5. Встановлення wvdial

sudo apt update
sudo apt install wvdial

6. Налаштування wvdial

Відкрий конфігураційний файл:

sudo nano /etc/wvdial.conf

Встав наступний конфіг:

[Dialer Defaults]
Init1 = ATZ
Init2 = ATQ0 V1 E1 S0=0 &C1 &D2
Init3 = AT+CGDCONT=1,"IP","internet"
Modem Type = Analog Modem
Phone = *99#
Username = user
Password = pass
Modem = /dev/ttyUSB0
Baud = 460800
Stupid Mode = 1
Auto DNS = 1
Carrier Check = no

APN для українських операторів

• Kyivstar — www.kyivstar.net
• Vodafone UA — internet
• Lifecell — internet

APN змінюється в рядку Init3.

7. Підключення до інтернету

sudo wvdial

Успішне підключення виглядає так:

--> Dialing *99#
--> Starting pppd
--> local  IP address 10.x.x.x
--> remote IP address 10.x.x.x
--> primary   DNS address

Це означає, що з’єднання встановлено і інтернет працює.

Для відключення використовуйте Ctrl + C.

8. Якщо не підключається

Спробуйте змінити порт модема:

Modem = /dev/ttyUSB1

або

Modem = /dev/ttyUSB2

І повторіть команду sudo wvdial.

9. Перевірка мережевого інтерфейсу

Після підключення перевірте:

ip a

Має з’явитися інтерфейс ppp0.