Ubuntu, как отключить брандмауэр

Обновлено: 21.11.2024

Когда вам мешает брандмауэр, вы все еще можете контролировать ситуацию

  • Университет Индианаполиса
  • Университет Пердью
  • Университет Луисвилля

Независимо от того, используете ли вы Ubuntu Linux в качестве рабочего стола или сервера, вы должны использовать преимущества брандмауэра. Почему? Потому что брандмауэр защищает вашу машину от взлома. Это не стопроцентное решение, но оно, безусловно, значительно повышает безопасность вашей машины.

Однако бывают случаи, когда этот брандмауэр мешает. Скажем, например, вы обнаруживаете, что ваш компьютер не может подключиться к сети (или другие машины не могут связаться с вами). Вы перезагрузили модем, но ваш компьютер по-прежнему не может подключиться к Интернету или через SSH. Что дает? Проблема может заключаться в сетевой подсистеме вашего компьютера или в брандмауэре. В любом случае вам нужно выяснить, что не так.

Это только один из сценариев, когда полезно иметь возможность отключить брандмауэр в Ubuntu Linux.

Версия Ubuntu

В этой статье в качестве примера используется Ubuntu 18.04, но процесс одинаков для любой версии Ubuntu, которая все еще поддерживается (например, 16.04, 16.10, 18.04 и 18.10), а также для любой производной версии Ubuntu, использующей Uncomplicated Firewall.

Почему вы не хотите отключать брандмауэр

Из всех причин, по которым вы можете отключить брандмауэр, есть одна причина, которая не позволяет вам это сделать, — безопасность вашего компьютера. Как только ваш брандмауэр отключен, ваша машина открыта для атаки. Это не означает, что в ту же секунду, когда вы отключите брандмауэр, вас взломают. Однако вероятность того, что это может произойти, значительно возрастает.

С этой целью, если вы окажетесь в ситуации, когда вам нужно отключить брандмауэр на вашем компьютере с Ubuntu Linux, убедитесь, что это делается только на временной основе. Что это значит? Если вам необходимо отключить брандмауэр по определенной причине, не забудьте снова включить его, когда завершите поставленную задачу.

Как отключить брандмауэр

Инструментом брандмауэра по умолчанию в Ubuntu Linux является Uncomplicated Firewall (UFW).

Чтобы узнать текущее состояние брандмауэра, введите команду:

Брандмауэр должен быть указан как активный, а также перечислены все добавленные вами правила.
Чтобы отключить UFW, введите команду:

Введите команду:

и брандмауэр указан как неактивный.

На этом этапе запустите устранение неполадок (или что-то еще, о чем вам нужно позаботиться). Например, попробуйте установить Secure Shell на машину с отключенным брандмауэром. Если вы можете войти (а раньше не могли), проблема может заключаться в том, что вы не разрешили SSH-соединения. Чтобы исправить это, введите команду:

Подробный вывод включает уровень ведения журнала, политики по умолчанию и любые добавленные вами правила.

Сброс правил

Если вы чувствуете, что вам нужно полностью начать работу с UFW, и вы не хотите удалять все свои правила, вы всегда можете выполнить сброс. Для этого введите команду:

Вам будет предложено подтвердить операцию, прежде чем она продолжит удаление ваших правил. Это также имеет дополнительный эффект отключения UFW. Из-за этого вам нужно снова включить UFW после выполнения сброса. Конечным результатом сброса является чистый лист, с которого можно начать.

Ubuntu поставляется с предустановленным инструментом настройки брандмауэра UFW (Uncomplicated Firewall). UFW легко использовать для управления настройками брандмауэра сервера.

В этом руководстве показано, как отключить и включить брандмауэр Ubuntu UFW с помощью командной строки.

  • Командная строка/окно терминала
  • Пользователь с правами root или sudo

Проверка состояния брандмауэра Ubuntu

Перед отключением брандмауэра UFW рекомендуется сначала проверить его состояние. В Ubuntu брандмауэр по умолчанию отключен. Как узнать, включен ли ваш брандмауэр?

Чтобы проверить текущий статус брандмауэра, выполните команду в командном терминале:

В приведенном ниже примере выходные данные показывают, что брандмауэр активен.

Поскольку мы определили текущее состояние, теперь мы можем приступить к отключению брандмауэра UFW.

Отключить брандмауэр Ubuntu

Брандмауэр — жизненно важный элемент безопасности сети и сервера. Однако при тестировании или устранении неполадок может потребоваться выключение или остановка брандмауэра.

Чтобы отключить брандмауэр в Ubuntu, введите:

Терминал информирует вас о том, что услуга больше не активна.

Если вы отключите брандмауэр, помните, что ваши правила брандмауэра остаются в силе. После повторного включения брандмауэра будут применяться те же правила, которые были установлены до отключения.

Включить брандмауэр

Научиться включать брандмауэр в Ubuntu очень важно.

Чтобы включить брандмауэр в Ubuntu, используйте команду:

Как и в случае с командой «отключить», выходные данные подтверждают, что брандмауэр снова активен.

Использование UFW для установки правил брандмауэра

UFW не обеспечивает полную функциональность брандмауэра через интерфейс командной строки. Однако он предлагает простой способ добавления или удаления простых правил.

Хорошим примером является открытие порта SSH.

После того, как терминал подтвердит, что правило действует, проверьте состояние брандмауэра с помощью команды «status»:

Вывод будет отражать тот факт, что порт SSH теперь открыт.

Сброс правил брандмауэра UFW

Если вам нужно сбросить все правила до значений по умолчанию, используйте команду сброса:

После подтверждения действия путем ввода y настройки брандмауэра возвращаются к значениям по умолчанию.

В этом руководстве вы узнали, как отключить и остановить брандмауэр в Ubuntu. Мы также показали вам, как включить брандмауэр и сбросить настройки.

Теперь вы знаете, какие параметры доступны в инструменте UFW. Эти команды служат отличной основой для изучения функций и настроек брандмауэра.

Ubuntu — это популярная операционная система Linux, имеющая собственный брандмауэр, известный как ufw (простой брандмауэр). В Ubuntu мы можем включить или отключить этот брандмауэр в соответствии с нашими требованиями. Настоятельно рекомендуется держать брандмауэр включенным, но в некоторых ситуациях, таких как устранение неполадок или тестирование, может потребоваться отключить брандмауэр.

Брандмауэр – это система сетевой безопасности операционной системы, которая отслеживает и поддерживает сетевой трафик на основе определенных правил. Брандмауэр также помогает в мониторинге сетей, независимо от того, являются ли они доверенными или нет. Кроме того, они защищают ваш компьютер от хакеров, отделяя вредоносный сетевой трафик. Брандмауэр Ubuntu ufw — это удобный интерфейс для поддержки правил брандмауэра iptables. Его основная цель — сделать управление правилами брандмауэра намного проще или несложнее, как следует из названия.

В этой статье основное внимание уделяется отключению/отключению брандмауэра Ubuntu. Используйте любой из способов, упомянутых ниже, чтобы успешно отключить брандмауэр ufw в системе Ubuntu.

Способ 1: отключить брандмауэр в Ubuntu с помощью командной строки

Чтобы отключить брандмауэр с помощью терминала, выполните следующие действия:

Шаг 1: Проверка состояния брандмауэра
Сначала проверьте, включен ли ваш брандмауэр ufw, чтобы отключить его, поскольку брандмауэр Ubuntu отключен по умолчанию, выполните указанную ниже команду, чтобы проверить его состояние:

Поэтому статус «активен», это означает, что ufw включен в вашей системе Ubuntu, и теперь вам нужно его отключить.

Шаг 2. Отключение брандмауэра
Теперь, если вы столкнулись с некоторыми серьезными проблемами из-за брандмауэра и хотите отключить его, запустите указанную ниже команду в своей системе Ubuntu:

Теперь брандмауэр отключен, как показано выше, и теперь вы можете выполнить задачу, которую вы не смогли выполнить, поскольку брандмауэр был включен.

Шаг 3: Проверка состояния брандмауэра
Теперь еще раз проверьте состояние брандмауэра ufw, чтобы убедиться, что брандмауэр отключен с помощью указанной ниже команды:

Теперь состояние брандмауэра отключено.

Способ 2: отключить брандмауэр с помощью gufw

Утилита gufw представляет собой удобный графический интерфейс к ufw, который позволяет управлять брандмауэром без ввода инструкций ufw в командной строке. Итак, если вы хотите отключить ufw с помощью графического интерфейса, выполните следующую процедуру:

Шаг 1: Установка gufw
Откройте терминал и выполните указанную ниже команду для установки gufw:

Шаг 2. Запуск приложения gufw
Откройте «Действия», напишите «gufw» в строке поиска и щелкните значок gufw, показанный ниже:

Появится диалоговое окно аутентификации, введите пароль и нажмите «Аутентификация:

Откроется окно «Брандмауэр»:

Шаг 3. Отключение брандмауэра
Проверьте его состояние:

Он включен прямо сейчас, выключите его, переместив ползунок влево, и брандмауэр будет отключен:

Заключение

UFW или Uncomplicated FireWall — это предустановленный инструмент настройки брандмауэра Ubuntu. UFW имеет удобный интерфейс для поддержки правил брандмауэра iptables. Его основная цель — упростить управление правилами брандмауэра, как следует из названия. Иногда вам нужно отключить этот брандмауэр в целях тестирования, в этой статье мы описали два метода отключения/отключения брандмауэра через интерфейс командной строки и через gufw (графический интерфейс). Вы можете следовать любому методу, который покажется вам простым.

Об авторе

Алишба Ифтихар

В настоящее время я учусь на первом курсе бакалавриата. Я интернированный автор в Linuxhint, и мне нравилось учиться искусству написания технического контента у старших авторов. После выпуска я с нетерпением жду возможности стать полноценным писателем по Linux.

Ядро Linux включает подсистему Netfilter, которая используется для манипулирования или определения судьбы сетевого трафика, поступающего на ваш сервер или проходящего через него. Все современные брандмауэры Linux используют эту систему для фильтрации пакетов.

Система фильтрации пакетов ядра будет бесполезна для администраторов без пользовательского интерфейса для управления ею. Это цель iptables: когда пакет достигает вашего сервера, он будет передан подсистеме Netfilter для принятия, обработки или отклонения на основе правил, предоставленных ему из пользовательского пространства через iptables. Таким образом, iptables — это все, что вам нужно для управления брандмауэром, если вы с ним знакомы, но для упрощения задачи доступно множество внешних интерфейсов.

ufw — простой брандмауэр

Инструментом настройки брандмауэра по умолчанию для Ubuntu является ufw. Разработанный для упрощения настройки брандмауэра iptables, ufw предоставляет удобный способ создания брандмауэра на базе хоста IPv4 или IPv6.

ufw по умолчанию изначально отключен. Со страницы руководства ufw:

«ufw не предназначен для предоставления полной функциональности брандмауэра через командный интерфейс, но вместо этого предоставляет простой способ добавления или удаления простых правил. В настоящее время он в основном используется для межсетевых экранов на основе хоста».

Ниже приведены примеры использования ufw:

Во-первых, необходимо включить ufw. В командной строке терминала введите:

Чтобы открыть порт (в данном примере SSH):

Правила также можно добавлять в формате нумерованные:

Аналогично, чтобы закрыть открытый порт:

Чтобы удалить правило, используйте команду удаления, а затем правило:

Также можно разрешить доступ к порту с определенных хостов или сетей. В следующем примере разрешается доступ по SSH с хоста 192.168.0.2 к любому IP-адресу на этом хосте:

Замените 192.168.0.2 на 192.168.0.0/24, чтобы разрешить доступ по SSH из всей подсети.

ufw можно отключить:

Чтобы увидеть состояние брандмауэра, введите:

Чтобы получить более подробную информацию о статусе, используйте:

Чтобы просмотреть формат нумерованный:

Примечание

Если порт, который вы хотите открыть или закрыть, определен в /etc/services , вы можете использовать имя порта вместо номера. В приведенных выше примерах замените 22 на ssh.

Это краткое введение в использование ufw. Пожалуйста, обратитесь к справочной странице ufw для получения дополнительной информации.

Интеграция приложений ufw

Приложения, которые открывают порты, могут включать профиль ufw, в котором указаны порты, необходимые для правильной работы приложения. Профили хранятся в /etc/ufw/applications.d и могут быть отредактированы, если порты по умолчанию были изменены.

Чтобы просмотреть, какие приложения установили профиль, введите в терминале следующее:

Подобно разрешению трафика на порт, использование профиля приложения выполняется путем ввода:

Также доступен расширенный синтаксис:

Замените Samba и 192.168.0.0/24 профилем используемого приложения и диапазоном IP-адресов вашей сети.

Примечание

Нет необходимости указывать протокол для приложения, поскольку эта информация подробно описана в профиле. Также обратите внимание, что имя приложения заменяет номер порта.

Чтобы просмотреть сведения о том, какие порты, протоколы и т. д. определены для приложения, введите:

Не все приложения, требующие открытия сетевого порта, поставляются с профилями ufw, но если вы профилировали приложение и хотите, чтобы файл был включен в пакет, отправьте сообщение об ошибке пакета в Launchpad.

Маскарад IP

Цель маскировки IP-адресов — разрешить компьютерам с частными немаршрутизируемыми IP-адресами в вашей сети получать доступ к Интернету через машину, выполняющую маскировку. Трафик из вашей частной сети, предназначенный для Интернета, должен обрабатываться, чтобы ответы можно было направить обратно на машину, которая сделала запрос. Для этого ядро ​​должно изменить исходный IP-адрес каждого пакета, чтобы ответы направлялись обратно на него, а не на частный IP-адрес, с которого был отправлен запрос, что невозможно в Интернете. . Linux использует отслеживание соединений (conntrack), чтобы отслеживать, какие соединения принадлежат каким машинам, и соответствующим образом перенаправлять каждый возвращаемый пакет. Таким образом, трафик, покидающий вашу частную сеть, «маскируется» под исходящий от вашего шлюза Ubuntu. Этот процесс упоминается в документации Microsoft как общий доступ к подключению к Интернету.

Маскарад ufw

Правила разделены на два разных файла: правила, которые должны выполняться перед правилами командной строки ufw, и правила, которые выполняются после правил командной строки ufw.

Во-первых, в ufw должна быть включена пересылка пакетов. Необходимо будет изменить два файла конфигурации, в /etc/default/ufw измените DEFAULT_FORWARD_POLICY на «ACCEPT»:

Затем отредактируйте /etc/ufw/sysctl.conf и раскомментируйте:

Аналогично раскомментируйте для переадресации IPv6:

Комментарии не являются строго обязательными, но рекомендуется документировать вашу конфигурацию. Кроме того, при изменении любых файлов rules в /etc/ufw убедитесь, что эти строки являются последними строками для каждой измененной таблицы:

Для каждой Table требуется соответствующий оператор COMMIT. В этих примерах показаны только таблицы nat и filter, но вы также можете добавить правила для raw и mangle таблицы.

Примечание

В приведенном выше примере замените eth0, eth1 и 192.168.0.0/24. с соответствующими интерфейсами и диапазоном IP-адресов для вашей сети.

Наконец, отключите и снова включите ufw, чтобы изменения вступили в силу:

Маскарад iptables

iptables также можно использовать для включения маскарадинга.

Как и в случае с ufw, первым делом включите пересылку пакетов IPv4, отредактировав файл /etc/sysctl.conf и раскомментировав следующую строку:

Если вы хотите включить переадресацию IPv6, также раскомментируйте:

Затем выполните команду sysctl, чтобы активировать новые настройки в файле конфигурации:

Маскарад IP-адресов теперь можно выполнить с помощью одного правила iptables, которое может немного отличаться в зависимости от конфигурации вашей сети:

Приведенная выше команда предполагает, что ваше личное адресное пространство — 192.168.0.0/16, а ваше устройство с выходом в Интернет — ppp0. Синтаксис разбит следующим образом:

-t nat — правило заходит в таблицу nat

-A POSTROUTING – правило добавляется (-A) в цепочку POSTROUTING

-s 192.168.0.0/16 — правило применяется к трафику, исходящему из указанного адресного пространства

-o ppp0 — правило применяется к трафику, который планируется направить через указанное сетевое устройство

-j MASQUERADE — трафик, соответствующий этому правилу, должен «перейти» (-j) к цели MASQUERADE, чтобы ею можно было манипулировать, как описано выше

Кроме того, каждая цепочка в таблице фильтров (таблица по умолчанию, где происходит большая или вся фильтрация пакетов) имеет политику по умолчанию ACCEPT, но если вы создаете брандмауэр в дополнение к устройства шлюза, возможно, вы установили политики DROP или REJECT, и в этом случае ваш замаскированный трафик должен быть разрешен через цепочку FORWARD, чтобы приведенное выше правило работало:

Приведенные выше команды разрешат всем подключениям из вашей локальной сети к Интернету и всему трафику, связанному с этими подключениями, возвращаться на машину, которая их инициировала.

Если вы хотите, чтобы маскировка включалась при перезагрузке, что вы, вероятно, и делаете, отредактируйте файл /etc/rc.local и добавьте любые команды, использованные выше. Например, добавьте первую команду без фильтрации:

Журналы брандмауэра необходимы для распознавания атак, устранения неполадок в правилах брандмауэра и обнаружения необычной активности в вашей сети. Тем не менее, вы должны включить правила ведения журнала в свой брандмауэр, чтобы они были сгенерированы, и правила ведения журнала должны предшествовать любому применимому правилу завершения (правило с целью, которая решает судьбу пакета, например ACCEPT, DROP или REJECT).

Если вы используете ufw, вы можете включить ведение журнала, введя в терминале следующее:

Чтобы отключить вход в ufw, просто замените on на off в приведенной выше команде.

Если вы используете iptables вместо ufw, введите:

Тогда запрос на порт 80 с локального компьютера создаст журнал в dmesg, который выглядит следующим образом (одна строка разделена на 3, чтобы соответствовать этому документу):

Вышеприведенный журнал также появится в /var/log/messages , /var/log/syslog и /var/log/kern.log . Это поведение можно изменить, соответствующим образом отредактировав /etc/syslog.conf или установив и настроив ulogd и используя цель ULOG вместо LOG. Демон ulogd — это сервер пользовательского пространства, который прослушивает инструкции по регистрации от ядра специально для брандмауэров и может записывать в любой файл, который вам нравится, или даже в базу данных PostgreSQL или MySQL. Анализ журналов брандмауэра можно упростить с помощью инструментов анализа журналов, таких как logwatch, fwanalog, fwlogwatch или lire.

Другие инструменты

Существует множество инструментов, которые помогут вам создать полноценный брандмауэр, даже не зная iptables. Инструмент командной строки с текстовыми файлами конфигурации:

  • Shorewall — это очень мощное решение, которое поможет вам настроить расширенный брандмауэр для любой сети.

Ссылки

Вики-страница Ubuntu Firewall содержит информацию о разработке ufw.

Кроме того, справочная страница ufw содержит очень полезную информацию: man ufw .

Когда дело доходит до защиты вашей системы с помощью брандмауэра, программа Ubuntu UFW по умолчанию является отличным вариантом. Это сокращение от «несложный брандмауэр». Это позволяет пользователям с небольшими знаниями о том, как Linux IPTABLES, таким образом, вы можете защитить свою домашнюю сеть или сервер без необходимости изучения сложных команд с длинным хвостом, которые больше подходят для системного администратора.

Учебное пособие больше предназначено для новых пользователей настольных компьютеров Ubuntu, но серверы также могут использовать те же команды. Вы узнаете, как проверять, включать и отключать брандмауэр UFW, а для пользователей настольных компьютеров — устанавливать графический интерфейс брандмауэра, чтобы лучше контролировать UFW для пользователей, которые не хотят использовать терминал в будущем.

Оглавление

Проверить состояние брандмауэра UFW

Для пользователей, плохо знакомых с Ubuntu, вы можете открыть командный терминал, который можно открыть, выбрав Действия > Показать приложения > Терминал в правом верхнем углу.

Далее узнайте состояние своего брандмауэра UFW с помощью команды.

Как и выше, брандмауэр в настоящее время неактивен, поскольку Ubuntu не включает его по умолчанию для новых установок.

Включить брандмауэр UFW

Следующий шаг — включение брандмауэра, который по умолчанию будет блокировать все входящие подключения и разрешать все исходящие. Это немедленно поможет защитить вашу систему.

Для пользователей сервера или любого другого пользователя, использующего сеанс удаленного подключения SSH, вы можете заблокировать себя. К счастью, вы можете добавлять правила UFW, когда служба не активна, поэтому разрешите службу SSH следующим образом.

Пользователям компьютеров, которые не используют или не знают, что такое SSH, пропустите указанную выше команду.

С помощью следующей команды включите брандмауэр.

Затем повторно проверьте брандмауэр Ubuntu, повторно используя команду ufw status.

Как и выше, брандмауэр включен, и для пользователей, которым нужно было разрешить SSH, вы можете видеть, что это теперь разрешено.

Кроме того, вы можете запустить команду ufw status с подробным описанием для еще более подробного просмотра.

Помимо разрешенных и запрещенных действий (правил), вы можете увидеть настройки брандмауэра по умолчанию, как объяснялось ранее, которые должны запрещать все входящие и разрешать все исходящие.

Отключить брандмауэр UFW

Далее вы можете использовать следующую команду для пользователей, желающих отключить свой брандмауэр.

Установить графический интерфейс брандмауэра UFW

Для пользователей, плохо знакомых с Linux, находясь в терминале, если вы не хотите использовать терминал, вы можете установить программный пакет, который будет управлять UFW с помощью графического интерфейса, с помощью следующей команды.

Затем перейдите в левый верхний угол и выберите AДействия > Показать приложения > Firewвсе , чтобы открыть графический интерфейс.

Далее вы можете включить или отключить брандмауэр UFW и другие гораздо более управляемые настройки.

Как и выше, теперь вы можете настраивать входящие и исходящие соединения по умолчанию, проверять состояние, создавать правила, просматривать журналы и отчеты и многое другое, что делает использование брандмауэра гораздо более приятной задачей для нетерминальных пользователей.

Комментарии и заключение

В этом руководстве вы узнали, как включить/отключить брандмауэр в Ubuntu 20.04 LTS и установить графический интерфейс для лучшей защиты.

В целом, графический интерфейс является предпочтительным вариантом для пользователей настольных компьютеров, поскольку даже люди, использующие командный терминал, могут не всегда захотеть постоянно выполнять команды для включения и выключения защиты, но убедитесь, что вы защищаете свою систему, даже если Linux более безопасен, чем Windows, но его все равно могут взломать.

Читайте также: