Брандмауэр Gufw, как настроить

Обновлено: 21.11.2024

В предыдущей главе мы рассмотрели порты и службы в системе Ubuntu. Мы также кратко рассмотрели правила брандмауэра iptables в Ubuntu, включая создание нескольких очень простых правил из командной строки. В этой главе мы рассмотрим более удобный для пользователя подход к настройке iptables с использованием двух инструментов с именами gufw и ufw. Как мы увидим, gufw и ufw обеспечивают высокий уровень контроля над входящим и исходящим сетевым трафиком и соединениями без необходимости понимать синтаксис iptables более низкого уровня.

1.1 Обзор gufw и ufw

В Ubuntu входит пакет под названием ufw, который является аббревиатурой от Uncomplicated Firewall. Этот пакет предоставляет интерфейс командной строки для управления и настройки правил для межсетевого экрана Netfilter на основе iptables. Инструмент gufw предоставляет удобный графический интерфейс для ufw, разработанный для обеспечения возможности управления брандмауэром без необходимости вводить команды ufw в командной строке.

1.2 Установка gufw в Ubuntu

Несмотря на то, что ufw установлен в Ubuntu по умолчанию, пакет gufw не установлен. Поэтому, чтобы установить gufw, откройте окно терминала (Ctrl-Alt-T) и введите следующую команду в появившемся приглашении:

1.3 Запуск и включение gufw

После установки запустите gufw, нажав Alt-F2 на рабочем столе GNOME и введя gufw в текстовое поле «Выполнить команду». При первом запуске брандмауэр, скорее всего, будет отключен, как показано на рис. 16-1.

Чтобы включить брандмауэр, переместите переключатель состояния (A) во включенное положение. По умолчанию на главной панели (D) будет отображаться домашняя страница gufw, содержащая некоторую основную информацию об инструменте. Выбор параметров из ряда кнопок (C) изменит информацию, отображаемую на панели. Например, нажмите кнопку "Правила", чтобы добавить, удалить или просмотреть правила.

Инструмент gufw поставляется с небольшим набором предварительно настроенных профилей для работы, дома и общедоступных сред. Чтобы изменить профиль и просмотреть настройки, просто выберите профиль в меню (B). Чтобы изменить существующий профиль, выберите его в меню и используйте меню «Входящие» и «Исходящие», чтобы изменить выбор. Чтобы настроить конкретные правила, откройте экран «Правила» и добавьте, удалите и измените правила по мере необходимости. Затем они будут применены к текущему выбранному профилю.

Текущий выбранный профиль определяет, как брандмауэр обрабатывает трафик при отсутствии каких-либо определенных правил политики. Например, по умолчанию домашний профиль настроен на запрет всего входящего трафика и разрешение всего исходящего трафика. Эти параметры политики по умолчанию изменяются с помощью меню Входящие: и Исходящие: (E).

Исключения из политики по умолчанию определяются путем создания дополнительных правил. Например, если домашний профиль запрещает входящий трафик, необходимо добавить правила, разрешающие определенные допустимые типы входящих подключений. Такие правила называются в сообществе безопасности белым списком.

Если, с другой стороны, входящая политика была изменена на Разрешить весь трафик, тогда весь входящий трафик будет разрешен, если только не созданы правила для определенных типов подключений, которые должны быть заблокированы. Эти правила, что неудивительно, называются черным списком. Подход с использованием черного и белого списков в равной степени применим к входящим и исходящим подключениям.

1.4 Создание нового профиля

Несмотря на то, что предварительно определенные профили можно изменить, обычно имеет смысл создать один или несколько профилей для настройки брандмауэра в соответствии с вашими конкретными потребностями. Новые профили создаются путем выбора пункта меню Edit -> Preferences… для отображения диалогового окна, показанного на рис. 16-2:

Чтобы добавить новый профиль, нажмите кнопку «+», расположенную под списком профилей. В списке появится новый профиль с именем «Профиль 1». Чтобы дать профилю более описательное имя, дважды щелкните запись, чтобы войти в режим редактирования, и введите новое имя:

После того, как профиль будет создан и ему присвоено имя, нажмите кнопку "Закрыть", чтобы вернуться на главный экран, и выберите его в меню "Профиль":

С выбранным пользовательским профилем можно настроить некоторые пользовательские правила, которые переопределяют параметры входящего и исходящего трафика по умолчанию.

1.5 Добавление предварительно настроенных правил брандмауэра

Новые правила создаются нажатием кнопки «Правила», а затем кнопки «+», расположенной в нижней части панели правил, как показано на рис. 16-5:

После выбора появится диалоговое окно, показанное на рис. 16-6, с выбранной вкладкой Preconfigured.

Панель Preconfigured позволяет выбирать правила, соответствующие определенным приложениям и службам. Например, трафик от таких инструментов, как Skype и BitTorrent, можно включить, выбрав соответствующую запись в меню «Приложение» и в меню «Политика» и «Направление», чтобы ограничить или разрешить трафик.

Чтобы найти конкретное приложение или службу, используйте меню "Категория" и "Подкатегория" для фильтрации элементов, отображаемых в меню "Приложение". Либо просто введите имя приложения или службы в поле Фильтр приложений, чтобы отфильтровать элементы меню:

Меню «Политика» предоставляет следующие параметры для управления трафиком для выбранного приложения или службы:

  • Разрешить — трафик через порт разрешен.
  • Запретить — трафик через порт запрещен. Запрашивающая система не уведомляется об отказе. Пакет данных просто отбрасывается.
  • Отклонить — трафик через порт запрещен. Пакет данных отбрасывается, и запрашивающая система уведомляется об отклонении.
  • Ограничение — в соединениях будет отказано, если с одного и того же IP-адреса было предпринято 6 или более подключений в течение 30 секунд.

После определения правила нажатие кнопки «Добавить» применит правило, закроет диалоговое окно «Добавить правило», и новое правило будет отображено на главном экране инструмента gufw (с правилами для протоколов IPv4 и IPv6):

Чтобы удалить правило, выберите его в списке и нажмите кнопку «-», расположенную в нижней части диалогового окна. Аналогичным образом отредактируйте и существующее правило, выбрав его и нажав на кнопку с изображением шестеренки справа от кнопки «-».

1.6 Добавление простых правил брандмауэра

В то время как предварительно настроенные правила позволяют настраивать брандмауэр на основе известных служб и приложений, вкладка «Простой» диалогового окна «Добавить правило» позволяет определять входящие и исходящие правила, просто ссылаясь на соответствующий порт TCP/IP. Порты, используемые известными приложениями и службами, представляют собой лишь небольшое подмножество портов, доступных для использования приложениями, и для которых может потребоваться определить правила брандмауэра. Стороннее приложение может, например, использовать порт 5700 для связи с удаленным сервером. В этом случае может потребоваться разрешить трафик на этом конкретном порту с помощью простой панели:

1.7 Добавление расширенных правил

До сих пор мы рассматривали правила, контролирующие блокировку только типа трафика (например, входящего трафика через порт 22) независимо от источника или назначения трафика. Однако часто необходимо определить правила, разрешающие или запрещающие трафик на основе IP-адреса или диапазона IP-адресов.

Для примера предположим, что локальная система имеет IP-адрес 192.168.0.102. Брандмауэр может быть настроен на разрешение доступа только через порт 22 из системы с IP-адресом, например, 192.168.0.105. Для этого в поле «От:» на панели «Дополнительные настройки» должен быть указан IP-адрес системы, из которой исходит запрос на подключение (в данном случае 192.168.0.105).

Поля Кому: позволяют указать IP-адрес и порт системы, к которой осуществляется подключение. В этом примере это будет порт 22 в локальной системе (192.168.0.102). IP-адрес Кому: на самом деле является необязательным и может быть оставлен пустым:

Предполагая, что входящая политика по умолчанию по-прежнему настроена на Запретить или Отклонить на главном экране, приведенное выше правило разрешит доступ SSH через порт 22 к локальной системе только из удаленной системы с IP-адресом 192.168.0.105. Попытки доступа по SSH из систем с другими IP-адресами не увенчаются успехом. Обратите внимание, что если целевой системой является локальная система, поле Кому: IP-адрес можно оставить пустым. Поле «Вставить» в приведенном выше диалоговом окне позволяет вставить новое правило в указанную позицию в списке существующих правил, тем самым позволяя вам контролировать порядок, в котором правила применяются в брандмауэре.

Также можно указать диапазон адресов, используя битовую маску IP-адреса. Например, чтобы создать правило для диапазона IP-адресов от 192.168.0.1 до 192.168.0.255, IP-адрес следует ввести в поле From: как 192.168.0.0/24.

Аналогично, чтобы указать правило, охватывающее диапазон IP-адресов от 192.168.0.1 до 192.168.0.30, будет использоваться битовая маска 27, т. е. 192.168.0.0/27.

1.8 Настройка брандмауэра из командной строки с помощью ufw

Все параметры конфигурации брандмауэра, доступные через графический инструмент gufw, также доступны из базовой командной строки с помощью команды ufw. Чтобы включить или отключить брандмауэр:

Текущий статус брандмауэра можно узнать с помощью параметра status:

Чтобы получить более подробную информацию о состоянии, объедините приведенную выше команду с подробным параметром:

Выходные данные в приведенном выше примере показывают, что политика брандмауэра по умолчанию запрещает все входящие и маршрутизируемые подключения, но разрешает все исходящие подключения. Чтобы изменить любой из этих параметров по умолчанию, используйте команду ufw с параметром по умолчанию, используя следующий синтаксис:

Несколько дней назад мы показали вам, как установить, настроить и настроить брандмауэр с помощью UFW в различных дистрибутивах Linux. Как вы уже знаете, UFW — это приложение брандмауэра командной строки. Некоторым из вас может быть неудобен режим командной строки. К счастью, для UFW доступен графический интерфейс. В этом руководстве мы узнаем, что такое Gufw и как настроить брандмауэр с помощью Gufw в настольных операционных системах Linux.

1. Введение в Gufw

Gufw — это графическое интерфейсное приложение для управления несложным брандмауэром (UFW) в Linux. Gufw в основном разработан для установки и настройки брандмауэра для настольных компьютеров Linux.

Поверьте мне, Gufw — один из самых простых брандмауэров, которые я когда-либо пробовал. Включение и отключение правил брандмауэра осуществляется одним щелчком мыши!

Когда вы используете Gufw для добавления или удаления правила, он просто запускает соответствующие команды ufw на сервере и применяет заданное правило.

Gufw — это приложение с открытым исходным кодом, написанное на Python. Исходный код находится в свободном доступе на GitHub под лицензией GPL3.

2. Установите Gufw в Linux

Gufw предустановлен в некоторых дистрибутивах Linux. Чтобы проверить, установлен ли он, введите брандмауэр в тире:

Запустить Gufw в Linux

Вы также можете проверить, установлен ли gufw из терминала, выполнив следующую команду:

Если Gufw не установлен в вашей системе, вы можете установить его с помощью менеджера пакетов вашего дистрибутива. Gufw упакован для многих популярных систем Linux.

Установите Gufw на Arch Linux и его варианты, такие как EndeavourOS, Manjaro Linux:

Установите Gufw на Debian, Ubuntu, Linux Mint, Pop_OS!

Установите Gufw в Fedora:

Установите Gufw в openSUSE Tumbleweed:

Установите Gufw в openSUSE Leap:

3. Настройте брандмауэр с помощью Gufw в Linux

Gufw создан с целью сделать интуитивно понятное и простое удобное приложение. Любой может легко настроить полнофункциональный брандмауэр в пару щелчков мыши с помощью Gufw.

3.1. Включить и отключить брандмауэр

Чтобы включить или отключить брандмауэр UFW, просто включите или выключите переключатель состояния, как показано на изображении ниже.

Включить или отключить брандмауэр UFW

3.2. Профили по умолчанию

Чтобы упростить настройку брандмауэра, Gufw включает три предварительно настроенных профиля. В зависимости от выбранного профиля контролируются входящие и исходящие сетевые пакеты.

Если вам интересно, в чем разница между Deny и Reject , Deny просто отбрасывает пакеты, а Reject отбрасывает пакеты и отправляет сообщение обратно пользователю с сообщениями об ошибках.

Настроить профиль довольно просто. В главном окне UFW выберите профиль из раскрывающегося списка.

Выберите профиль брандмауэра в Gufw

В зависимости от типа сети выберите или настройте профили соответствующим образом. Допустим, если вы находитесь в аэропорту и хотите использовать общедоступную сеть аэропорта, вы можете просто выбрать ОБЩИЙ профиль в раскрывающемся списке Профиль.

3.3. Создать новый профиль

Также можно создавать собственные профили. Перейдите в EDIT -> PREFERENCES, откроется небольшое окно. Найдите раздел профилей и щелкните символ (+), который добавит новый профиль. Вы можете дважды щелкнуть профиль, чтобы переименовать его.

Создать новый профиль в Gufw

Входящий по умолчанию будет «Запретить», а исходящий — «Разрешить» для всех создаваемых вами настраиваемых профилей. Вы также можете изменить его.

Внимание: вы не можете назвать пользовательский профиль длиной более 15 символов.

3.4. Удалить профили

Чтобы удалить профиль, выберите его и нажмите кнопку (-). Убедитесь, что профиль деактивирован. Вы не можете удалить профиль, если этот профиль активен.

3.5. Добавить новые правила

Создавать собственные правила очень просто. В разделе «Правила» нажмите кнопку (+). Появится новое окно с
тремя разделами. Сначала мы рассмотрим раздел простых правил.

При создании правила введите имя политики, тип политики (разрешить или запретить или отклонить), направление (входящее или исходящее), выберите тип протокола, введите номер порта и нажмите «Добавить». По умолчанию профиль отклоняет все входящие подключения.

На следующем снимке экрана показано, как создать новое правило для приема входящих подключений для порта 22.

Создать новое правило брандмауэра в Gufw

Вы также можете создавать правила для набора портов вместо одного порта. Нажмите кнопку (+) еще раз, чтобы добавить новое правило. Заполните все данные, как обычно. В поле порта добавьте диапазон портов «FROM:TO».

Здесь я добавил правило для приема подключений с 22 по 24 порт.

Определить диапазон портов в Gufw

Вы также можете создать более подробные правила на вкладке "Дополнительно". Я создаю новое правило для приема входящих соединений для порта 3306 (MySQL).

Расширенные правила настройки в Gufw

Вот краткое описание каждого параметра в предыдущем разделе:

  1. Имя — любое описательное имя правила.
  2. Вставить. Он будет принимать целочисленные значения и добавлять ваше правило в эту позицию в таблице политик. Чем ниже значение, тем выше приоритет.
  3. Политика – разрешает, запрещает или отклоняет подключения.
  4. Интерфейсы: показывает список интерфейсов, к которым будут приниматься подключения.
  5. Журнал. Управляет параметром ведения журнала. Если вам нужно создать больше журналов, выберите "Записывать все".
  6. Протокол — поддерживает протокол TCP/UDP. Выбирайте соответственно.
  7. Источник и пункт назначения. Я могу контролировать, с какого IP-адреса и подсети следует принять или отклонить подключение. Например, если вы хотите подключиться к порту MySQL 3306 с любого компьютера, который находится под 192.168.1.1/24, вы можете добавить это на вкладке «От». Я создаю правило для MySQL, поэтому я могу добавить 3306 или mysql в раздел портов, как показано на изображении выше.

3.6. Посмотреть список правил

Вы можете просмотреть список созданных правил в главном окне на вкладке правил.

Просмотреть правила брандмауэра в Gufw

3.7. Удалить правила

Чтобы удалить правило, выберите его и нажмите кнопку (-) внизу вкладки правил.

По умолчанию при удалении правила не запрашивается подтверждение удаления правила. Чтобы включить удаление при подтверждении, перейдите в ПРАВКА -> НАСТРОЙКИ и установите флажок «Показать диалоговое окно подтверждения для удаления правил».

Включить удаление при подтверждении

3.8. Включить вход в Gufw

Чтобы включить или отключить ведение журнала, перейдите в раздел ПРАВКА -> ПАРАМЕТРЫ и найдите раздел ведения журнала вверху. Вы можете выбрать уровни ведения журнала (Низкий, Средний, Высокий, Полный).

Включить вход в Gufw

Все журналы можно найти в разделе журналов:

3.9. Экспорт и импорт профиля

Вы можете экспортировать созданные вами профили и импортировать их на любой компьютер, чтобы применить те же правила.

Чтобы экспортировать профиль, выберите «Файл -> Экспортировать этот профиль» и сохраните его в любом месте по вашему выбору. По умолчанию профиль будет сохранен в /etc/gufw/ с расширением .profile.

Профили представляют собой обычные текстовые файлы. Вы можете просматривать с помощью любых текстовых редакторов:

Просмотреть файл профиля

Чтобы импортировать профиль, перейдите в «Файл -> Импортировать профиль» и выберите файл профиля из сохраненного местоположения. После импорта профиля вы можете выбрать импортированный профиль в раскрывающемся списке «Профиль».

Вы также можете проверить, когда профиль был импортирован или изменен, на вкладке журнала.

3.10. Сбросить брандмауэр

Перейдите в меню «Редактировать -> Сбросить текущий профиль». Появится окно подтверждения. Нажмите Да, чтобы подтвердить сброс. Это приведет к удалению всех правил и отключению брандмауэра.

4. Заключение

В этом руководстве мы показали все шаги по настройке брандмауэра с помощью Gufw в Linux. Как видите, установить и настроить Firewall с помощью Gufw очень просто!

Если вы ищете простой брандмауэр для своих персональных настольных систем, Gufw может быть хорошим выбором.

Для настройки брандмауэра мы добавляем правила. Просто нажмите кнопку «Добавить», и появится новое окно. Подробнее об этой реализации см. на странице UFW. Правила можно настроить для портов TCP и UDP, а в UFW есть несколько предварительно настроенных программ/служб, упрощающих настройку правил для них.

Доступные параметры правил: Разрешить , Запретить , Отклонить и Ограничить :

Отклонить: система отклонит входящий трафик на порт и сообщит запрашивающей системе о подключении, что он был отклонен.

Ограничение: система будет отклонять подключения, если IP-адрес пытался инициировать 6 или более подключений за последние 30 секунд.

Предварительно настроенный

На вкладке «Предварительно настроенные» представлены некоторые параметры управления параметрами брандмауэра для общих программ и служб.

У вас есть несколько категорий и подкатегорий. Вы также можете фильтровать по имени/описанию/порту.

Простой

Не все конфигурации программ доступны в Gufw, но мы все же можем добавить для них правила с помощью вкладки Simple.

Опять же, мы будем использовать пример SSH — давайте просто представим на мгновение, что для него нет предварительно настроенного параметра. Чтобы включить его, во вкладке Simple выберите «Разрешить», «TCP», «22» и нажмите «Добавить».

Дополнительно

Иногда нам нужно настроить доступ на основе определенного IP-адреса, поэтому мы используем вкладку «Дополнительно», например, чтобы добавить Переадресация портов.

Включить IP-переадресацию

Gufw 14.10 или выше.

Как его использовать

Для политики и правил маршрутизации необходимо настроить IP-переадресацию в системе:

Откройте Gufw, вы увидите новую опцию «Routed» (со стрелкой вокруг щита), и вы сможете перенаправить любое правило из окна «Обновление» или вкладки «Дополнительно» в окне «Добавить».

Поделиться:

Вот так:

Автор: Карлос Родригес Итуррия

Я очень увлечен людьми, технологиями и наиболее эффективными способами их объединения, делясь своими знаниями и опытом. Совместная работа с клиентами и партнерами вдохновляет и воодушевляет меня, особенно когда результат заметно ценен для бизнеса и приводит к настоящим инновациям. Мне нравится учиться и преподавать, так как я понимаю, что это критически важный аспект, позволяющий оставаться в авангарде технологий в современную эпоху. За последние 10 с лишним лет я разрабатывал и определял надежные, безопасные и масштабируемые решения, работая в тесном сотрудничестве с широким кругом заинтересованных сторон. Мне нравится руководить проектами, и я очень активен в технических сообществах — как внутренних, так и внешних. Я выделился как заметный наставник, проводящий технологические мероприятия в крупных городах Австралии и Новой Зеландии, включая различные технологические области, такие как корпоративная интеграция, управление API, облачная интеграция, внедрение IaaS и PaaS, DevOps, непрерывная интеграция, непрерывная автоматизация и другие. . В последние годы я сформировал свою роль и направил свои способности на обучение и разработку преимуществ для клиентов, использующих облачные технологии Oracle и AWS.Меня особенно радует, когда я могу позиционировать и то, и другое, чтобы превзойти ожидания моих клиентов. У меня есть степень бакалавра компьютерных наук и сертификаты по архитектуре решений Oracle и AWS. Просмотреть все сообщения Карлоса Родригеса Итуррии

UFW, или Uncomplicated Firewall, — это интерфейс для iptables, предназначенный для упрощения процесса настройки брандмауэра. Хотя iptables является надежным и гибким инструментом, новичкам может быть сложно научиться использовать его для правильной настройки брандмауэра. Если вы хотите приступить к защите своей сети и не знаете, какой инструмент использовать, UFW может быть для вас правильным выбором.

В этом руководстве показано, как настроить брандмауэр с помощью UFW в Ubuntu 18.04.

Предпосылки

Чтобы следовать этому руководству, вам потребуется:

  • Один сервер Ubuntu 18.04 с пользователем без полномочий root, который можно настроить, выполнив шаги 1–3 в руководстве по начальной настройке сервера с Ubuntu 18.04.

UFW устанавливается по умолчанию в Ubuntu. Если он был удален по какой-либо причине, вы можете установить его с помощью sudo apt install ufw .

Шаг 1. Убедитесь, что IPv6 включен

В последних версиях Ubuntu IPv6 включен по умолчанию. На практике это означает, что большинство правил брандмауэра, добавленных на сервер, будут включать как версию IPv4, так и версию IPv6, причем последняя идентифицируется как v6 в выводе команды состояния UFW. Чтобы убедиться, что IPv6 включен, вы можете проверить файл конфигурации UFW в /etc/default/ufw. Откройте этот файл с помощью nano или вашего любимого редактора командной строки:

Затем убедитесь, что для параметра IPV6 установлено значение yes . Это должно выглядеть так:

Сохраните и закройте файл. Если вы используете nano , вы можете сделать это, нажав CTRL+X , затем Y и ENTER для подтверждения.

Когда UFW будет включен на следующем этапе этого руководства, он будет настроен на запись правил брандмауэра IPv4 и IPv6.

Шаг 2 — Настройка политик по умолчанию

Если вы только начинаете работать с UFW, в первую очередь рекомендуется проверить политики брандмауэра по умолчанию. Эти правила определяют, как обрабатывать трафик, который явно не соответствует другим правилам.

По умолчанию UFW запрещает все входящие подключения и разрешает все исходящие. Это означает, что любой, кто пытается получить доступ к вашему серверу, не сможет подключиться, в то время как любое приложение на сервере сможет получить доступ к внешнему миру. Дополнительные правила, разрешающие определенные службы и порты, включены в качестве исключений из этой общей политики.

Чтобы убедиться, что вы сможете следовать оставшейся части этого руководства, вы сейчас настроите политики UFW по умолчанию для входящего и исходящего трафика.

Чтобы установить политику входящих сообщений UFW по умолчанию для отказа , выполните:

Чтобы разрешить исходящую политику UFW по умолчанию, запустите:

Эти команды по умолчанию запрещают входящие и разрешают исходящие соединения. Одних только этих настроек брандмауэра по умолчанию может быть достаточно для персонального компьютера, но серверам обычно необходимо отвечать на входящие запросы от внешних пользователей. Мы рассмотрим это позже.

Шаг 3. Разрешение SSH-соединений

Разрешение профиля приложения OpenSSH UFW

После установки большинство приложений, использующих сетевые подключения, регистрируют профиль приложения в UFW, что позволяет пользователям быстро разрешать или запрещать внешний доступ к службе. Вы можете проверить, какие профили в настоящее время зарегистрированы в UFW, с помощью:

Чтобы включить профиль приложения OpenSSH, выполните:

Это создаст правила брандмауэра, разрешающие все подключения к порту 22 , который по умолчанию прослушивается демоном SSH.

Разрешение SSH по имени службы

Еще один способ настроить UFW для разрешения входящих SSH-подключений — указать имя службы: ssh .

UFW знает, какие порты и протоколы использует служба, на основе файла /etc/services.

Разрешение SSH по номеру порта

В качестве альтернативы вы можете написать эквивалентное правило, указав порт вместо профиля приложения или имени службы. Например, эта команда работает так же, как и предыдущие примеры:

Если вы настроили демон SSH для использования другого порта, вам нужно будет указать соответствующий порт. Например, если ваш SSH-сервер прослушивает порт 2222 , вы можете использовать эту команду, чтобы разрешить подключения на этом порту:

Теперь, когда ваш брандмауэр настроен на разрешение входящих SSH-подключений, вы можете включить его.

Шаг 4. Включение UFW

Теперь ваш брандмауэр должен быть настроен на разрешение подключений SSH. Чтобы проверить, какие правила были добавлены на данный момент, даже когда брандмауэр все еще отключен, вы можете использовать:

Подтвердив, что у вас есть правило, разрешающее входящие SSH-соединения, вы можете включить брандмауэр с помощью:

Вы получите предупреждение о том, что команда может прервать существующие SSH-соединения. Вы уже настроили правило брандмауэра, разрешающее SSH-подключения, поэтому можно продолжить.Ответьте на приглашение с помощью y и нажмите ENTER .

Теперь брандмауэр активен. Запустите команду sudo ufw status verbose, чтобы просмотреть установленные правила. В оставшейся части этого руководства более подробно рассказывается, как использовать UFW, например разрешать или запрещать различные типы подключений.

Шаг 5. Разрешение других подключений

На этом этапе вы должны разрешить все другие подключения, на которые должен отвечать ваш сервер. Соединения, которые вы должны разрешить, зависят от ваших конкретных потребностей. Вы уже знаете, как писать правила, разрешающие соединения на основе профиля приложения, имени службы или порта; вы уже сделали это для SSH на порту 22. Вы также можете сделать это для:

Не забудьте проверить, какие профили приложений доступны для вашего сервера, с помощью sudo ufw app list.

Есть несколько других способов разрешить подключения, помимо указания порта или известного имени службы. Мы увидим некоторые из них далее.

Определенные диапазоны портов

Вы можете указать диапазоны портов с помощью UFW. Некоторые приложения используют несколько портов вместо одного порта.

Например, чтобы разрешить подключения X11, использующие порты 6000–6007, используйте следующие команды:

При указании диапазонов портов с помощью UFW необходимо указать протокол ( tcp или udp ), к которому должны применяться правила. Мы не упоминали об этом раньше, потому что не указание протокола автоматически разрешает использование обоих протоколов, что в большинстве случаев допустимо.

Конкретные IP-адреса

При работе с UFW вы также можете указать IP-адреса в своих правилах. Например, если вы хотите разрешить подключения с определенного IP-адреса, такого как рабочий или домашний IP-адрес 203.0.113.4, вам нужно использовать параметр from, указав затем IP-адрес, который вы хотите разрешить:

Вы также можете указать порт, к которому разрешено подключение IP-адреса, добавив к любому порту номер порта. Например, если вы хотите разрешить 203.0.113.4 подключаться к порту 22 (SSH), используйте следующую команду:

Подсети

Если вы хотите разрешить подсеть IP-адресов, вы можете сделать это, используя нотацию CIDR для указания сетевой маски. Например, если вы хотите разрешить все IP-адреса в диапазоне от 203.0.113.1 до 203.0.113.254, вы можете использовать эту команду:

Аналогичным образом вы также можете указать порт назначения, к которому разрешено подключение подсети 203.0.113.0/24. Опять же, в качестве примера мы будем использовать порт 22 (SSH):

Подключения к определенному сетевому интерфейсу

Если вы хотите создать правило брандмауэра, которое применяется только к определенному сетевому интерфейсу, вы можете сделать это, указав «разрешить вход», а затем имя сетевого интерфейса.

Возможно, вы захотите просмотреть свои сетевые интерфейсы, прежде чем продолжить. Для этого используйте эту команду:

Выделенный вывод указывает имена сетевых интерфейсов. Обычно они называются eth0 или enp3s2 .

Или, если вы хотите, чтобы ваш сервер базы данных MySQL (порт 3306) прослушивал соединения, например, через частный сетевой интерфейс eth1, вы можете использовать следующую команду:

Это позволит другим серверам в вашей частной сети подключаться к вашей базе данных MySQL.

Шаг 6. Отказ в подключении

Если вы не изменили политику по умолчанию для входящих подключений, UFW настроен на запрет всех входящих подключений. Как правило, это упрощает процесс создания политики безопасного брандмауэра, требуя от вас создания правил, которые явно разрешают определенные порты и IP-адреса.

Однако иногда вам может понадобиться запретить определенные подключения на основе исходного IP-адреса или подсети, возможно, потому что вы знаете, что ваш сервер атакуется оттуда. Кроме того, если вы хотите изменить политику входящего трафика по умолчанию на разрешающую (что не рекомендуется), вам потребуется создать запрещающие правила для любых служб или IP-адресов, для которых вы не хотите разрешать соединения.

Чтобы написать запрещающие правила, вы можете использовать ранее описанные команды, заменив allow на deny.

Или, если вы хотите запретить все соединения с 203.0.113.4, вы можете использовать эту команду:

В некоторых случаях вы также можете заблокировать исходящие соединения с сервера. Чтобы запретить всем пользователям использовать порт на сервере, например порт 25 для SMTP-трафика, вы можете использовать команду deny out, за которой следует номер порта:

Это заблокирует весь исходящий SMTP-трафик на сервере.

Шаг 7 — Удаление правил

Умение удалять правила брандмауэра так же важно, как и умение их создавать. Существует два разных способа указать, какие правила следует удалить: по номеру правила или по его удобочитаемому названию (аналогично тому, как правила указывались при их создании).

Удаление правила UFW по номеру

Удаление правила UFW по имени

Вместо использования номеров правил вы также можете ссылаться на правило по его удобочитаемому наименованию, которое зависит от типа правила (обычно разрешает или запрещает) и имени службы или номера порта, которые были целью для этого правила. , или имя профиля приложения, если оно использовалось. Например, если вы хотите удалить разрешающее правило для профиля приложения под названием Apache Full, которое ранее было включено, вы можете использовать:

При удалении правил UFW по имени удаляются как правила IPv4, так и правила IPv6, если они существуют.

Шаг 8. Проверка статуса и правил UFW

В любое время вы можете проверить статус UFW с помощью этой команды:

Если функция UFW отключена по умолчанию, вы увидите что-то вроде этого:

Если UFW активен, что должно быть, если вы выполнили шаг 3, в выводе будет указано, что он активен, и будут перечислены все установленные правила. Например, если брандмауэр разрешает подключения SSH (порт 22) из ​​любого места, вывод может выглядеть примерно так:

Используйте команду status, если хотите проверить, как UFW настроил брандмауэр.

Шаг 9. Отключение или сброс UFW (необязательно)

Если вы решите, что не хотите использовать UFW, вы можете отключить его с помощью этой команды:

Все правила, созданные с помощью UFW, больше не будут активны. Вы всегда можете запустить sudo ufw enable, если вам понадобится активировать его позже.

Если у вас уже настроены правила UFW, но вы решили начать заново, вы можете использовать команду сброса:

Это отключит UFW и удалит все ранее определенные правила. Это должно дать вам новый старт с UFW. Имейте в виду, что исходные настройки политик по умолчанию не изменятся, если вы их когда-либо изменяли.

Заключение

Теперь ваш брандмауэр настроен на разрешение (по крайней мере) SSH-соединений. Обязательно разрешите любые другие входящие подключения, которые требуются вашему серверу, и ограничьте любые ненужные подключения, чтобы ваш сервер был функциональным и безопасным.

Чтобы узнать о более распространенных конфигурациях UFW, ознакомьтесь с руководством UFW Essentials: Common Firewall Rules and Commands.

Хотите узнать больше? Присоединяйтесь к сообществу DigitalOcean!

Присоединяйтесь к нашему сообществу DigitalOcean, насчитывающему более миллиона разработчиков, бесплатно! Получайте помощь и делитесь знаниями в нашем разделе "Вопросы и ответы", находите руководства и инструменты, которые помогут вам расти как разработчику и масштабировать свой проект или бизнес, а также подписывайтесь на интересующие вас темы.

Читайте также: