Lumpics lumpics.ru

Настройка UFW в Ubuntu

Практически каждый продвинутый пользователь Ubuntu заинтересован в обеспечении безопасности для своей сети. К тому же многие используют определенные сетевые утилиты, которые будут корректно функционировать только после внесения конкретных правил в межсетевой экран. Сегодня мы хотим поговорить о настройке Firewall на примере UFW (Uncomplicated Firewall). Это самый простой инструмент реализации правил межсетевого экрана, поэтому он рекомендуется начинающим юзерам и тем, кого не устраивает слишком сложная функциональность iptables. Давайте пошагово рассмотрим всю процедуру настройки, разобрав каждый этап максимально подробно.

Настраиваем UFW в Ubuntu

Устанавливать UFW в операционную систему не нужно, поскольку он присутствует там по умолчанию. Однако в стандартном своем виде он неактивен и не имеет вообще никаких правил. Сначала займемся активацией, а потом рассмотрим основные действия. Однако первоочередно следует изучить синтаксис, и особенно это касается тех юзеров, кто планирует задействовать данный межсетевой экран на постоянной основе.

Шаг 1: Изучение синтаксиса

Как известно, UFW — консольная утилита, а это значит, что управление ею осуществляется через стандартный «Терминал» или любой другой пользовательский. Взаимодействие такого рода выполнимо с помощью специально установленных команд. Все они всегда имеются в документации, однако читать огромную кучу материалов не имеет смысла, особенно в случае с сегодняшним инструментом. Принцип ввода выглядит так: sudo ufw опции действие параметры. sudo отвечает за запуск от имени суперпользователя, ufw — стандартный аргумент, обозначающий вызываемую программу, а остальные фразы и определяют устанавливаемые правила. Именно на них мы и хотим остановиться более детально.

Команда Описание
enable Стандартный параметр, отвечающий за включение брандмауэра. При этом он будет автоматически добавлен в автозагрузку
disable Отключает UFW и убирает его из автозагрузки
reload Используется для перезагрузки Firewall. Особенно актуально после установки новых правил
default Обозначает, что следующая опция установится по умолчанию
logging Активирует создание лог-файлов, в которых будет храниться вся основная информация о действии межсетевого экрана
reset Сбрасывает все настройки до стандартных
status Используется для просмотра текущего состояния
show Быстрый просмотр отчетов о работе фаервола. К этому параметру применимы дополнительные опции, но о них мы поговорим в отдельном шаге
allow Задействован при добавлении разрешающих правил
deny Задействован при добавлении запрешающих правил
reject Добавляет отбрасывающее правило
limit Установка лимитирующих правил
delete Удаляет указанное правило
insert Вставляет правило

Как видите, команд не так уж и много. Их точно меньше, нежели в других доступных межсетевых экранах, а запомнить синтаксис можно уже через несколько попыток взаимодействия с UFW. Осталось только разобраться с примером конфигурации, чему и будут посвящены следующие этапы сегодняшнего материала.

Шаг 2: Включение/Отключение/Сброс настроек

Мы решили выделить несколько конфигурационных моментов в один этап, поскольку они частично связаны между собой и похожи по реализации. Как вы уже знаете, UFW изначально находится в отключенном состоянии, поэтому давайте активируем его, применив всего одну команду.

  1. Откройте панель с приложениями и запустите «Терминал». Вы можете открыть консоль и другим удобным для вас способом.
    2. Переход к терминалу для дальнейшей настройки межсетевого экрана UFW в Ubuntu
  2. Прежде чем выполнять активацию, проверьте, возможно, ранее вы или другое приложение уже активировало межсетевой экран. Осуществляется это путем ввода команды sudo ufw status.
    3. Команда для проверки текущего состояния межсетевого экрана UFW в Ubuntu
  3. Введите пароль для получения прав суперпользователя и нажмите Enter. Учтите, что при этом методе ввода символы не отображаются в строке в целях безопасности.
    4. Ввод пароля суперпользователя при взаимодействии с UFW в Ubuntu
  4. В новой строке вы получите информацию о текущем состоянии UFW.
    5. Просмотр информация о текущем состоянии межсетевого экрана UFW в Ubuntu
  5. Активация фаервола выполняется через уже упомянутый выше параметр, а вся команда выглядит так: sudo ufw enable.
    6. Ввод команды для активации межсетевого экрана UFW в Ubuntu
  6. Вас уведомит о том, что брандмауэр включен и будет запускаться вместе с операционной системой.
    7. Информация об успешной активации межсетевого экрана UFW в Ubuntu
  7. Для отключения используйте sudo ufw disable.
    8. Команда для отключения функционирования межсетевого экрана UFW в Ubuntu
  8. О деактивации уведомит практически такое же сообщение.
    9. Уведомление об успешном отключении межсетевого экрана UFW в Ubuntu
  9. В будущем, если потребуется сбросить правила или это нужно сделать уже сейчас, вставьте команду sudo ufw reset и нажмите на клавишу Enter.
    10. Команда для сброса текущих настроек межсетевого экрана UFW в Ubuntu
  10. Подтвердите сброс, выбрав подходящий вариант ответа.
    11. Подтверждение сброса правил при восстановлении стандартных параметров UFW в Ubuntu
  11. Вы увидите шесть различных строк с адресами резервных копий. Можете в любой момент переместиться к этому расположению, чтобы восстановить параметры.
    12. Информация о создании резервных копий UFW в Ubuntu

Теперь вы знаете о том, какие именно команды отвечают за управление общим поведением рассматриваемого сегодня Firewall. Все остальные этапы будут нацелены исключительно на конфигурацию, а сами параметры приведены в качестве примера, то есть вы должны изменять их, отталкиваясь от своих потребностей.

Шаг 3: Установка правил по умолчанию

В обязательном порядке следует применить правила по умолчанию, которые будут относиться ко всем входящим и исходящим соединениям, не упомянутых отдельно. Это означает, что все входящие подключения, не обозначенные вручную, будут заблокированы, а исходящие при этом проходят успешно. Вся схема реализуется следующим образом:

  1. Запустите новую сессию консоли и введите команду sudo ufw default deny incoming. Активируйте ее нажатием на клавишу Enter. Если вы уже ознакомились с указанными выше правилами синтаксиса, то знаете, что это означает блокировку всех входящих соединений.
    2. Ввод команды для установки стандартных правил по умолчанию для входящих соединений UFW в Ubuntu
  2. В обязательном порядке потребуется ввести пароль суперпользователя. Вы будете его указывать каждый раз при запуске нового сеанса консоли.
    3. Ввод пароля суперпользователя при внесении изменений UFW в Ubuntu
  3. После применения команды вы будете уведомлены о том, что правило по умолчанию вступило в силу.
    4. Уведомление об успешном внесении изменений стандартных параметров входящих соединений UFW в Ubuntu
  4. Соответственно, потребуется задать вторую команду, которая будет разрешать исходящие соединения. Выглядит она так: sudo ufw default allow outgoing.
    5. Ввод команды для установки правил по умолчанию для исходящих соединений в UFW в Ubuntu
  5. Еще раз появится сообщение о применении правила.
    6. Информация о применении правил по умолчанию для исходящих соединений в UFW в Ubuntu

Теперь вы можете не беспокоиться о том, что какие-либо неизвестные входящие попытки подключения пройдут успешно и кто-то сумеет получить доступ к вашей сети. Если же вы не собираетесь блокировать абсолютно все входящие попытки соединения, пропустите указанное выше правило и переходите к созданию собственных, детально изучив следующий этап.

Шаг 4: Добавление собственных правил межсетевого экрана

Правила брандмауэра — главная настраиваемая опция, ради которой пользователи и задействуют UFW. Мы на примере инструмента OpenSSH сейчас рассмотрим пример разрешения доступа, а также не забудем и про блокировку по портам. Для начала вам необходимо запомнить дополнительные команды синтаксиса, отвечающие за добавление правил:

  • ufw allow имя_службы
  • ufw allow порт
  • ufw allow порт/протокол

После этого можете смело приступать к созданию разрешающих или запрещающих правил. Давайте по порядку разберемся с каждым типом политик.

  1. Используйте sudo ufw allow OpenSSH для открытия доступа к портам службы.
    2. Установка правила соединений для службы через ее название в UFW в Ubuntu
  2. Вы будете уведомлены о том, что правила были обновлены.
    3. Информация о применении введенных изменений в UFW в Ubuntu
  3. Открыть доступ можно и путем указания порта, а не имени службы, что выглядит так: sudo ufw allow 22.
    4. Ввод команды для внесения правил по номеру порта в UFW в Ubuntu
  4. Это же самое происходит и через порт/протокол — sudo ufw allow 22/tcp.
    5. Ввод команды для внесения правил по номеру порта и протоколу в UFW в Ubuntu
  5. После внесения правил проверьте список доступных приложений, введя sudo ufw app list. Если все было применено успешно, необходимая служба отобразится в одной из следующих строк.
    6. Просмотр списка добавленных служб в межсетевой экран UFW в Ubuntu
  6. Что касается разрешений и запрещения передачи трафика по портам, то это осуществляется путем ввода синтаксиса ufw allow направление порт. На скриншоте далее вы видите пример разрешения исходящего трафика по порту (sudo ufw allow out 80/tcp), а также запрещающую политику по этому же направлению во входящую сторону (sudo ufw deny in 80/tcp).
    7. Установка правил для направления трафика в UFW в Ubuntu
  7. Если вас интересует пример добавления политики путем ввода более широкого обозначения синтаксиса, используйте пример ufw allow proto протокол from ip_источника to ip_назначения port порт_назначения.
    8. Установка правил с расширенным синтаксисом в UFW в Ubuntu

Шаг 5: Установка правил limit

Мы вынесли тему установки правил limit в отдельный этап, поскольку об этом необходимо поговорит подробнее. Данное правило ограничивает количество подключенных IP-адресов к одному порту. Наиболее очевидное применение этого параметра — защита от атак, которые подразумевают перебор паролей. Осуществляется установка стандартной политики так:

  1. В консоли пропишите sudo ufw limit ssh/tcp и нажмите на Enter.
    2. Установка ограничений для порта при настройке межсетевого экрана UFW в Ubuntu
  2. Введите пароль от своей учетной записи суперпользователя.
    3. Ввод пароля для установки лимитов для подключения к порту UFW в Ubuntu
  3. Вы будете уведомлены о том, что обновление правил прошло успешно.
    4. Информация об обновлении правил для лимитов в UFW в Ubuntu

Точно таким же образом устанавливаются политики ограничений и на другие приложения. Используйте для этого название службы, порт или порт/протокол.

Шаг 6: Просмотр состояния UFW

Иногда юзеру требуется посмотреть текущее состояние брандмауэра не только в плане активности, но и установленных правил. Для этого существует отдельная команда, о которой мы говорили ранее, а сейчас рассмотрим ее более детально.

  1. Пропишите sudo ufw status, чтобы получить стандартные сведения.
    2. Команда для проверки текущего статуса работы экрана UFW в Ubuntu
  2. В новых строках будут отображены все установленные политики по адресам, протоколам и названиям служб. Справа показаны действия и направления.
    3. Отображение основных правил при просмотре состояния экрана UFW в Ubuntu
  3. Более детальные сведения отображаются при использовании дополнительного аргумента, а команда приобретает вид sudo ufw status verbose.
    4. Просмотр подробной информации о существующих правил в UFW в Ubuntu
  4. Список всех правил в непонятном для начинающих юзеров виде выводится через sudo ufw show raw.
    5. Просмотр всех правил в развернутом состоянии в UFW в Ubuntu

Есть и другие опции, отображающие определенные сведения о существующих правилах и состоянии межсетевого экрана. Давайте вкратце пробежимся по всем ним:

Команда Описание
raw Показывает все активные правила, используя формат представления iptables
builtins Включает только правила, добавленные в качестве по умолчанию
before-rules Отображает политики, выполняемые перед принятием пакета из внешнего источника
user-rules Соответственно, показывает добавленные пользователем политики
after-rules То же самое, что и before-rules, но включает только те правила, которые активируются уже после принятия пакетов
logging-rules Показывает сведения о событиях, которые записываются в журнал
listening Используется для просмотра активных (прослушиваемых) портов
added Задействован при просмотре недавно добавленных правил

В необходимый для вас момент вы можете использовать любую из этих опций, чтобы получить желаемую информацию и задействовать ее в своих целях.

Шаг 7: Удаление существующих правил

Некоторые пользователи, получив нужные сведения о существующих правилах, желают удалить некоторые из них, чтобы наладить соединение или задать новые политики. Рассматриваемый брандмауэр позволяет сделать это в любой доступный момент, что осуществляется так:

  1. Вставьте команду sudo ufw delete allow out 80/tcp. Она автоматически удалит правило, разрешающее исходящие соединения через порт/протокол 80/tcp.
    2. Удаление правила исходящего соединения в UFW в Ubuntu
  2. Вы будете уведомлены о том, что политика успешно удалена как для протокола IPv4, так и для IPv6.
    3. Информация об успешном удалении правила исходящего соединения UFW в Ubuntu
  3. Это же касается и запрещающих соединений, например, sudo ufw delete deny in 80/tcp.
    4. Удаление правила для блокировки входящих соединений по порту в UFW в Ubuntu

Используйте опции просмотра состояния, чтобы скопировать требуемые правила и удалить их так же, как это было продемонстрировано в примере.

Шаг 8: Включение логирования

Последний этап сегодняшней статьи подразумевает активацию опции, которая автоматически время от времени будет сохранять информацию о поведении UFW в отдельный файл. Необходима она далеко не всем пользователям, а применяется так:

  1. Напишите sudo ufw logging on и нажмите Enter.
    2. Команда для активации сохранения журнала событий UFW в Ubuntu
  2. Дождитесь появления уведомления о том, что журнал теперь будет сохраняться.
    3. Уведомление об успешной активации сохранения журнала событий UFW в Ubuntu
  3. Вы можете применить и другую опцию, например, sudo ufw logging medium. Существует еще low (сохраняет сведения только о заблокированных пакетах) и high (сохраняет всю информацию). Средний вариант записывает в журнал заблокированные и разрешенные пакеты.
    4. Выбор опции для включения журналирования в межсетевом экране UFW в Ubuntu

Выше вы изучили целых восемь этапов, которые используются для настройки брандмауэра UFW в операционной системе Ubuntu. Как видите, это очень простой межсетевой экран, который подойдет даже начинающим юзерам из-за легкости освоения синтаксиса. UFW еще можно смело назвать хорошей заменой стандартному iptables, если он вас не устраивает.

Обсудить в TelegramНаш Telegram каналТолько полезная информация

Похожие инструкции:

Настройка SSH в UbuntuНастройка SSH в Ubuntu Возвращение unity в ubuntu 17 10Возвращение Unity в Ubuntu 17.10 Установка LAMP в UbuntuУстановка набора программ LAMP в Ubuntu Установка PostgreSQL в UbuntuУстановка PostgreSQL в Ubuntu Список установленных пакетов в UbuntuПросмотр списка установленных пакетов в Ubuntu Установка VMware Tools в UbuntuУстановка VMware Tools в Ubuntu Как обновить ядро в UbuntuОбновление ядра в Ubuntu как обновить убунтуСпособы обновления Ubuntu до последней версии
Как установить линукс рядом с Windows 10Установка Linux рядом с Windows 10 Команда выключения LinuxКонсольные команды для выключения Linux Настройка SSH в DebianНастройка SSH в Debian Установка Astra LinuxУстановка Astra Linux Команда df в LinuxИспользование команды df в Linux Настройка UFW в UbuntuНастройка UFW в Ubuntu Установка Linux на AndroidУстановка дистрибутивов Linux рядом с Android Графические оболочки для рабочего стола LinuxГрафические оболочки для рабочего стола Linux Как узнать версию DebianОпределение версии Debian Как восстановить удаленные файлы в UbuntuВосстановление удаленных файлов в Ubuntu Установка SSH-Server в UbuntuУстановка SSH-server в Ubuntu Файловые менеджеры для UbuntuФайловые менеджеры для Ubuntu Открытые порты в UbuntuПросмотр открытых портов в Ubuntu Установка Java JRE / JDK в Linux Как установить Wine на UbuntuУстановка Wine в Ubuntu примеры tcpdump в linuxПримеры tcpdump в Linux установка kali linuxРуководство по установке Kali Linux настройка сети на ubuntu serverРуководство по настройке интернет-соединения в Ubuntu Server как узнать размер папки в linuxУзнаем размер папки в Linux как переименовать файл в linuxПереименовываем файлы в Linux
Автор статьи Вы на сайте:
Lumpics.ru в Уроки по Linux
 Статья обновлена: . Автор: Виктор Бухтеев

Вам помогли мои советы?

Получить ответ на Email
Уведомить о

1 Ответ
По рейтингу
Новые Старые
Межтекстовые Отзывы
Посмотреть все комментарии
Аноним
18 октября 2023 14:28

Прекрасный сайт. Он мне здорово помог:) Спасибо вам — люди добрые)

0
Ответить
Задать вопрос