Налаштування firewall в Ubuntu за допомогою утиліти UFW

ufw – інструмент налаштування мережевого захисту Ubuntu. Він розроблений для легкого налаштування iptables та надає дружній спосіб створення мережевого захисту для IPv4 та IPv6.

Приклади використання ufw

  • Для початку потрібно дозволити ufw. Наберіть у терміналі:

sudo ufw enable

Якщо його не виявилося на сервері (стара або з інших причин), то для установки потрібно виконати команду:

sudo apt-get install ufw

  • Відкрити порт (у цьому прикладі SSH):

sudo ufw allow 22

  • Правила можуть бути додані за допомогою нумерованого формату:

sudo ufw insert 1 allow 80

  • Подібним чином можна закрити відкритий порт:

sudo ufw deny 22

  • Для видалення правила використовуйте delete:

sudo ufw delete deny 22

  • Можна також дозволити доступ до порту з певних комп'ютерів або мереж. Наступний приклад дозволяє на цьому комп'ютері доступ по SSH з адреси 192.168.0.2 на будь-яку IP-адресу:

sudo ufw allow proto tcp from 192.168.0.2 to any port 22

Замініть 192.168.0.2 на 192.168.0.0/24, щоб дозволити доступ до SSH для всієї підмережі.

  • Додавання опції -dry-run команді ufw виведе список правил, але не застосує їх. Наприклад, далі показано, що було б застосовано, якщо відкрити порт HTTP:

sudo ufw --dry-run allow http

*filter

:ufw-user-input — [0:0]

:ufw-user-output - [0:0]

:ufw-user-forward - [0:0]

:ufw-user-limit — [0:0]

:ufw-user-limit-accept — [0:0]

### RULES ###

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0

-A ufw-user-input -p tcp-dport 80 -j ACCEPT

### END RULES ###

-A ufw-user-input -j RETURN

-A ufw-user-output -j RETURN

-A ufw-user-forward -j RETURN

-A ufw-user-limit -m limit-limit 3/minute -j LOG-log-prefix «[UFW LIMIT]: »

-A ufw-user-limit -j REJECT

-A ufw-user-limit-accept -j ACCEPT

COMMIT

Rules updated
  • ufw можна вимкнути командою:

sudo ufw disable

Вимкнення firewall в Ubuntu можна виконати цією командою (UFW – це Uncomplicated Firewall).

  • Щоб переглянути статус мережевого захисту:

sudo ufw status

Настройки firewall в Ubuntu

  • Для повного відображення інформації введіть:

sudo ufw status verbose

Настройки firewall в Ubuntu

  • Для відображення у вигляді формату numbered:

sudo ufw status numbered

Настройки firewall в Ubuntu

  1. Для скидання правил скористайтесь командою sudo ufw reset, 2 пункт також можна використовувати діапазон партів 2000:3000, пункт 13 Логування, Для включення логів введіть команду: sudo ufw logging on Ufw підтримує кілька рівнів логування:

off – відключено. low – реєструє всі заблоковані пакети, що не відповідають заданій політиці (з обмеженням швидкості), а також пакети, що відповідають зареєстрованим правилам. medium – все те саме, що при значенні low, плюс усі дозволені пакети, що не відповідають заданій політиці, усі неприпустимі пакети та нові з'єднання. Усі записи ведуться з обмеженням швидкості. high – працює так само, як і medium, плюс усі пакети з обмеженням швидкості. full – так само як і high, але без обмеження швидкості.

Щоб встановити рівень, вкажіть його як параметр: sudo ufw logging high

За промовчанням використовується рівень low.

Для перегляду файлів, що належать до логів ufw, використовуйте команду: ls /var/log/ufw *

Виділені Сервери

Виділені сервери

Готові конфігурації потужних серверів SIM-Networks

Дивитись пакети

Інтеграція додатків до ufw

Програми, які відкривають порти, можна включати в профілі ufw, які деталізують, які порти необхідні для коректної роботи. Профілі містяться в /etc/ufw/applications.d і можуть бути відредаговані, якщо стандартні порти були змінені.

  • Щоб переглянути, для яких програм встановлено профіль, введіть наступну команду в терміналі:

sudo ufw app list

  • Аналогічно: дозволити трафік по порту, використовуючи профіль програми можна наступною командою:

sudo ufw allow Samba

  • Також доступний розширений синтаксис:

ufw allow from 192.168.0.0/24 to any app Samba

Замініть Samba та 192.168.0.0/24 на профіль програми та IP-діапазон вашої мережі.

Немає необхідності у визначенні протоколу, оскільки ця інформація деталізована у профілі. Також зверніть увагу, що ім'я app замінило номер port.

  • Щоб переглянути деталі, які порти, протоколи та ін. визначені для програми, введіть:

sudo ufw app info Samba

Не для всіх програм, які вимагають відкриття мережного порту, поставляється профіль ufw, але якщо у вас є профіль для програми і ви хочете, щоб цей файл був включений в пакет програми, зареєструйте помилку про пакет на сайті Launchpad.

ubuntu-bug nameofpackage

Сподобалася стаття?

Згода на використання файлів cookie

Натискаючи "Я згоден", ви даєте згоду на використання файлів cookie на нашому веб-сайті, щоб надати вам найбільш релевантний досвід, запам'ятовуючи ваші уподобання та повторні відвідування. Однак ви можете відвідати "Керування файлами cookie", щоб надати контрольовану згоду. Детальніше

Налаштування файлів cookie

Функціональні

Необхідні файли cookie мають важливе значення для основних функцій веб-сайту, і без них веб-сайт не буде працювати належним чином.

Аналітичні

Аналітичні файли cookie використовуються для розуміння того, як відвідувачі взаємодіють із веб-сайтом.

Рекламні

Рекламні файли cookie використовуються для надання відвідувачам релевантної реклами та маркетингових кампаній.