Настройка firewall в Ubuntu с помощью утилиты UFW

Выделенный сервер

Физические серверы

Аренда серверов в Германии с полным техническим сопровождением

Посмотреть физические серверы

ufw – инструмент для настройки сетевой защиты Ubuntu. Он разработан для легкой настройки iptables и предоставляет дружественный способ создания сетевой защиты для IPv4 и IPv6.

Примеры использования ufw

  • Для начала требуется разрешить ufw. Наберите в терминале:

sudo ufw enable

Если его не оказалось на сервере (версия старая или по другим причинам), то для установки нужно выполнить команду:

sudo apt-get install ufw

  • Открыть порт (в данном примере SSH):

sudo ufw allow 22

  • Правила могут быть добавлены с использованием нумерованного формата:

sudo ufw insert 1 allow 80

  • Подобным образом можно закрыть открытый порт:

sudo ufw deny 22

  • Для удаления правила используйте delete:

sudo ufw delete deny 22

  • Также можно разрешить доступ к порту с определенных компьютеров или сетей. Следующий пример разрешает на этом компьютере доступ по SSH с адреса 192.168.0.2 на любой IP-адрес:

sudo ufw allow proto tcp from 192.168.0.2 to any port 22

Замените 192.168.0.2 на 192.168.0.0/24 чтобы разрешить доступ по SSH для всей подсети.

  • Добавление опции —dry-run команде ufw выведет список правил, но не применит их. Например, далее показано, что было бы применено, если открыть HTTP-порт:

sudo ufw --dry-run allow http

*filter

:ufw-user-input — [0:0]

:ufw-user-output — [0:0]

:ufw-user-forward — [0:0]

:ufw-user-limit — [0:0]

:ufw-user-limit-accept — [0:0]

### RULES ###

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0

-A ufw-user-input -p tcp —dport 80 -j ACCEPT

### END RULES ###

-A ufw-user-input -j RETURN

-A ufw-user-output -j RETURN

-A ufw-user-forward -j RETURN >

-A ufw-user-limit -m limit —limit 3/minute -j LOG —log-prefix «[UFW LIMIT]: »

-A ufw-user-limit -j REJECT

-A ufw-user-limit-accept -j ACCEPT

COMMIT

Rules updated
  • ufw можно выключить командой:

sudo ufw disable

Отключение firewall в Ubuntu можно выполнить этой командой (UFW — это Uncomplicated Firewall).

  • Чтобы посмотреть статус сетевой защиты:

sudo ufw status

Настройки firewall в Ubuntu

  • Для более полного отображения информации введите:

sudo ufw status verbose

Настройки firewall в Ubuntu

  • Для отображения в виде формата numbered:

sudo ufw status numbered

Настройки firewall в Ubuntu

  1. Для сброса правил воспользуйтесь командой sudo ufw reset, 2 пункт также можно использовать диапазон партов 2000:3000, пункт 13 Логирование, Для включения логов введите команду: sudo ufw logging on Ufw поддерживает несколько уровней логирования:

off –отключен. low – регистрирует все заблокированные пакеты, не соответствующие заданной политике (с ограничением скорости), а также пакеты, соответствующие зарегистрированным правилам. medium – все то же, что при значении low, плюс все разрешенные пакеты, не соответствующие заданной политике, все недопустимые пакеты, и все новые соединения. Все записи ведутся с ограничением скорости. high – работает так же, как и medium, плюс все пакеты с ограничением скорости. full – также как и high, но без ограничения скорости.

Чтобы задать уровень, укажите его как параметр: sudo ufw logging high По умолчанию используется уровень low.

Для просмотра файлов, относящихся к логам ufw, используйте команду: ls /var/log/ufw *

Выделенные Серверы

Выделенные серверы

Смотрите мощные готовые конфигурации серверов SIM-Networks

К выделенным серверам

Интеграция приложений в ufw

Приложения, которые открывают порты, можно включать в профили ufw, которые детализируют, какие порты необходимы этому приложению для корректной работы. Профили содержатся в /etc/ufw/applications.d и могут быть отредактированы, если порты по умолчанию были изменены.

  • Чтобы посмотреть, для каких приложений установлен профиль, введите следующую команду в терминале:

sudo ufw app list

  • Аналогично: разрешить трафик по порту, используя профиль приложения, можно следующей командой:

sudo ufw allow Samba

  • Также доступен расширенный синтаксис:

ufw allow from 192.168.0.0/24 to any app Samba

Замените Samba и 192.168.0.0/24 на используемый вами профиль приложения и IP-диапазон вашей сети.

Нет необходимости в определении протокола, поскольку эта информация детализирована в профиле. Также обратите внимание, что имя app заменило номер port.

  • Для просмотра деталей, какие порты, протоколы и пр. определены для приложения, введите:

sudo ufw app info Samba

Не для всех приложений, которые требуют открытие сетевого порта, поставляется профиль ufw, но, если у вас есть профиль для приложения и вы хотите, чтобы этот файл был включен в пакет приложения, зарегистрируйте ошибку о пакете на сайте Launchpad.

ubuntu-bug nameofpackage

Эта статья была полезной?

Понравилась статья?

Согласие на использование файлов cookie

Нажимая «Я согласен», вы даете согласие на использование cookie, чтобы предоставить вам релевантный опыт. Посетите «Управление cookie», чтобы дать ограниченное согласие. Подробнее

Настройки файлов cookie

Функциональные

Необходимые файлы cookie имеют решающее значение для основных функций веб-сайта, и без них веб-сайт не будет работать должным образом.

Аналитические

Аналитические файлы cookie используются для понимания того, как посетители взаимодействуют с веб-сайтом.

Рекламные

Рекламные файлы cookie используются для предоставления посетителям релевантной рекламы и маркетинговых кампаний.