Главная » Linux » Вы здесь

Настройка UFW в Ubuntu

Настройка UFW в Ubuntu

Практически каждый продвинутый пользователь Ubuntu заинтересован в обеспечении безопасности для своей сети. К тому же многие используют определенные сетевые утилиты, которые будут корректно функционировать только после внесения конкретных правил в межсетевой экран. Сегодня мы хотим поговорить о настройке Firewall на примере UFW (Uncomplicated Firewall). Это самый простой инструмент реализации правил межсетевого экрана, поэтому он рекомендуется начинающим юзерам и тем, кого не устраивает слишком сложная функциональность iptables. Давайте пошагово рассмотрим всю процедуру настройки, разобрав каждый этап максимально подробно.

Настраиваем UFW в Ubuntu

Устанавливать UFW в операционную систему не нужно, поскольку он присутствует там по умолчанию. Однако в стандартном своем виде он неактивен и не имеет вообще никаких правил. Сначала займемся активацией, а потом рассмотрим основные действия. Однако первоочередно следует изучить синтаксис, и особенно это касается тех юзеров, кто планирует задействовать данный межсетевой экран на постоянной основе.

Шаг 1: Изучение синтаксиса

Как известно, UFW — консольная утилита, а это значит, что управление ею осуществляется через стандартный «Терминал» или любой другой пользовательский. Взаимодействие такого рода выполнимо с помощью специально установленных команд. Все они всегда имеются в документации, однако читать огромную кучу материалов не имеет смысла, особенно в случае с сегодняшним инструментом. Принцип ввода выглядит так: sudo ufw опции действие параметры. sudo отвечает за запуск от имени суперпользователя, ufw — стандартный аргумент, обозначающий вызываемую программу, а остальные фразы и определяют устанавливаемые правила. Именно на них мы и хотим остановиться более детально.

  • enable — стандартный параметр, отвечающий за включение брандмауэра. При этом он будет автоматически добавлен в автозагрузку.
  • disable — отключает UFW и убирает его из автозагрузки.
  • reload — используется для перезагрузки Firewall. Особенно актуально после установки новых правил.
  • default — обозначает, что следующая опция установится по умолчанию.
  • logging — активирует создание лог-файлов, в которых будет храниться вся основная информация о действии межсетевого экрана.
  • reset — сбрасывает все настройки до стандартных.
  • status — используется для просмотра текущего состояния.
  • show — быстрый просмотр отчетов о работе фаервола. К этому параметру применимы дополнительные опции, но о них мы поговорим в отдельном шаге.
  • allow — задействован при добавлении разрешающих правил.
  • deny — то же самое, но применяется для запрещения.
  • reject — добавляет отбрасывающее правило.
  • limit — установка лимитирующих правил.
  • delete — удаляет указанное правило.
  • insert — вставляет правило.

Как видите, команд не так уж и много. Их точно меньше, нежели в других доступных межсетевых экранах, а запомнить синтаксис можно уже через несколько попыток взаимодействия с UFW. Осталось только разобраться с примером конфигурации, чему и будут посвящены следующие этапы сегодняшнего материала.

Шаг 2: Включение/Отключение/Сброс настроек

Мы решили выделить несколько конфигурационных моментов в один этап, поскольку они частично связаны между собой и похожи по реализации. Как вы уже знаете, UFW изначально находится в отключенном состоянии, поэтому давайте активируем его, применив всего одну команду.

  1. Откройте панель с приложениями и запустите «Терминал». Вы можете открыть консоль и другим удобным для вас способом.
  2. Переход к терминалу для дальнейшей настройки межсетевого экрана UFW в Ubuntu

  3. Прежде чем выполнять активацию, проверьте, возможно, ранее вы или другое приложение уже активировало межсетевой экран. Осуществляется это путем ввода команды sudo ufw status.
  4. Команда для проверки текущего состояния межсетевого экрана UFW в Ubuntu

  5. Введите пароль для получения прав суперпользователя и нажмите Enter. Учтите, что при этом методе ввода символы не отображаются в строке в целях безопасности.
  6. Ввод пароля суперпользователя при взаимодействии с UFW в Ubuntu

  7. В новой строке вы получите информацию о текущем состоянии UFW.
  8. Просмотр информация о текущем состоянии межсетевого экрана UFW в Ubuntu

  9. Активация фаервола выполняется через уже упомянутый выше параметр, а вся команда выглядит так: sudo ufw enable.
  10. Ввод команды для активации межсетевого экрана UFW в Ubuntu

  11. Вас уведомит о том, что брандмауэр включен и будет запускаться вместе с операционной системой.
  12. Информация об успешной активации межсетевого экрана UFW в Ubuntu

  13. Для отключения используйте sudo ufw disable.
  14. Команда для отключения функционирования межсетевого экрана UFW в Ubuntu

  15. О деактивации уведомит практически такое же сообщение.
  16. Уведомление об успешном отключении межсетевого экрана UFW в Ubuntu

  17. В будущем, если потребуется сбросить правила или это нужно сделать уже сейчас, вставьте команду sudo ufw reset и нажмите на клавишу Enter.
  18. Команда для сброса текущих настроек межсетевого экрана UFW в Ubuntu

  19. Подтвердите сброс, выбрав подходящий вариант ответа.
  20. Подтверждение сброса правил при восстановлении стандартных параметров UFW в Ubuntu

  21. Вы увидите шесть различных строк с адресами резервных копий. Можете в любой момент переместиться к этому расположению, чтобы восстановить параметры.
  22. Информация о создании резервных копий UFW в Ubuntu

Теперь вы знаете о том, какие именно команды отвечают за управление общим поведением рассматриваемого сегодня Firewall. Все остальные этапы будут нацелены исключительно на конфигурацию, а сами параметры приведены в качестве примера, то есть вы должны изменять их, отталкиваясь от своих потребностей.

Шаг 3: Установка правил по умолчанию

В обязательном порядке следует применить правила по умолчанию, которые будут относиться ко всем входящим и исходящим соединениям, не упомянутых отдельно. Это означает, что все входящие подключения, не обозначенные вручную, будут заблокированы, а исходящие при этом проходят успешно. Вся схема реализуется следующим образом:

  1. Запустите новую сессию консоли и введите команду sudo ufw default deny incoming. Активируйте ее нажатием на клавишу Enter. Если вы уже ознакомились с указанными выше правилами синтаксиса, то знаете, что это означает блокировку всех входящих соединений.
  2. Ввод команды для установки стандартных правил по умолчанию для входящих соединений UFW в Ubuntu

  3. В обязательном порядке потребуется ввести пароль суперпользователя. Вы будете его указывать каждый раз при запуске нового сеанса консоли.
  4. Ввод пароля суперпользователя при внесении изменений UFW в Ubuntu

  5. После применения команды вы будете уведомлены о том, что правило по умолчанию вступило в силу.
  6. Уведомление об успешном внесении изменений стандартных параметров входящих соединений UFW в Ubuntu

  7. Соответственно, потребуется задать вторую команду, которая будет разрешать исходящие соединения. Выглядит она так: sudo ufw default allow outgoing.
  8. Ввод команды для установки правил по умолчанию для исходящих соединений в UFW в Ubuntu

  9. Еще раз появится сообщение о применении правила.
  10. Информация о применении правил по умолчанию для исходящих соединений в UFW в Ubuntu

Теперь вы можете не беспокоиться о том, что какие-либо неизвестные входящие попытки подключения пройдут успешно и кто-то сумеет получить доступ к вашей сети. Если же вы не собираетесь блокировать абсолютно все входящие попытки соединения, пропустите указанное выше правило и переходите к созданию собственных, детально изучив следующий этап.

Шаг 4: Добавление собственных правил межсетевого экрана

Правила брандмауэра — главная настраиваемая опция, ради которой пользователи и задействуют UFW. Мы на примере инструмента OpenSSH сейчас рассмотрим пример разрешения доступа, а также не забудем и про блокировку по портам. Для начала вам необходимо запомнить дополнительные команды синтаксиса, отвечающие за добавление правил:

  • ufw allow имя_службы
  • ufw allow порт
  • ufw allow порт/протокол

После этого можете смело приступать к созданию разрешающих или запрещающих правил. Давайте по порядку разберемся с каждым типом политик.

  1. Используйте sudo ufw allow OpenSSH для открытия доступа к портам службы.
  2. Установка правила соединений для службы через ее название в UFW в Ubuntu

  3. Вы будете уведомлены о том, что правила были обновлены.
  4. Информация о применении введенных изменений в UFW в Ubuntu

  5. Открыть доступ можно и путем указания порта, а не имени службы, что выглядит так: sudo ufw allow 22.
  6. Ввод команды для внесения правил по номеру порта в UFW в Ubuntu

  7. Это же самое происходит и через порт/протокол — sudo ufw allow 22/tcp.
  8. Ввод команды для внесения правил по номеру порта и протоколу в UFW в Ubuntu

  9. После внесения правил проверьте список доступных приложений, введя sudo ufw app list. Если все было применено успешно, необходимая служба отобразится в одной из следующих строк.
  10. Просмотр списка добавленных служб в межсетевой экран UFW в Ubuntu

  11. Что касается разрешений и запрещения передачи трафика по портам, то это осуществляется путем ввода синтаксиса ufw allow направление порт. На скриншоте далее вы видите пример разрешения исходящего трафика по порту (sudo ufw allow out 80/tcp), а также запрещающую политику по этому же направлению во входящую сторону (sudo ufw deny in 80/tcp).
  12. Установка правил для направления трафика в UFW в Ubuntu

  13. Если вас интересует пример добавления политики путем ввода более широкого обозначения синтаксиса, используйте пример ufw allow proto протокол from ip_источника to ip_назначения port порт_назначения.
  14. Установка правил с расширенным синтаксисом в UFW в Ubuntu

Шаг 5: Установка правил limit

Мы вынесли тему установки правил limit в отдельный этап, поскольку об этом необходимо поговорит подробнее. Данное правило ограничивает количество подключенных IP-адресов к одному порту. Наиболее очевидное применение этого параметра — защита от атак, которые подразумевают перебор паролей. Осуществляется установка стандартной политики так:

  1. В консоли пропишите sudo ufw limit ssh/tcp и нажмите на Enter.
  2. Установка ограничений для порта при настройке межсетевого экрана UFW в Ubuntu

  3. Введите пароль от своей учетной записи суперпользователя.
  4. Ввод пароля для установки лимитов для подключения к порту UFW в Ubuntu

  5. Вы будете уведомлены о том, что обновление правил прошло успешно.
  6. Информация об обновлении правил для лимитов в UFW в Ubuntu

Точно таким же образом устанавливаются политики ограничений и на другие приложения. Используйте для этого название службы, порт или порт/протокол.

Шаг 6: Просмотр состояния UFW

Иногда юзеру требуется посмотреть текущее состояние брандмауэра не только в плане активности, но и установленных правил. Для этого существует отдельная команда, о которой мы говорили ранее, а сейчас рассмотрим ее более детально.

  1. Пропишите sudo ufw status, чтобы получить стандартные сведения.
  2. Команда для проверки текущего статуса работы экрана UFW в Ubuntu

  3. В новых строках будут отображены все установленные политики по адресам, протоколам и названиям служб. Справа показаны действия и направления.
  4. Отображение основных правил при просмотре состояния экрана UFW в Ubuntu

  5. Более детальные сведения отображаются при использовании дополнительного аргумента, а команда приобретает вид sudo ufw status verbose.
  6. Просмотр подробной информации о существующих правил в UFW в Ubuntu

  7. Список всех правил в непонятном для начинающих юзеров виде выводится через sudo ufw show raw.
  8. Просмотр всех правил в развернутом состоянии в UFW в Ubuntu

Есть и другие опции, отображающие определенные сведения о существующих правилах и состоянии межсетевого экрана. Давайте вкратце пробежимся по всем ним:

  • raw — показывает все активные правила, используя формат представления iptables.
  • builtins — включает только правила, добавленные в качестве по умолчанию.
  • before-rules — отображает политики, выполняемые перед принятием пакета из внешнего источника.
  • user-rules — соответственно, показывает добавленные пользователем политики.
  • after-rules — то же самое, что и before-rules, но включает только те правила, которые активируются уже после принятия пакетов.
  • logging-rules — показывает сведения о событиях, которые записываются в журнал.
  • listening — используется для просмотра активных (прослушиваемых) портов.
  • added — задействован при просмотре недавно добавленных правил.

В необходимый для вас момент вы можете использовать любую из этих опций, чтобы получить желаемую информацию и задействовать ее в своих целях.

Шаг 7: Удаление существующих правил

Некоторые пользователи, получив нужные сведения о существующих правилах, желают удалить некоторые из них, чтобы наладить соединение или задать новые политики. Рассматриваемый брандмауэр позволяет сделать это в любой доступный момент, что осуществляется так:

  1. Вставьте команду sudo ufw delete allow out 80/tcp. Она автоматически удалит правило, разрешающее исходящие соединения через порт/протокол 80/tcp.
  2. Удаление правила исходящего соединения в UFW в Ubuntu

  3. Вы будете уведомлены о том, что политика успешно удалена как для протокола IPv4, так и для IPv6.
  4. Информация об успешном удалении правила исходящего соединения UFW в Ubuntu

  5. Это же касается и запрещающих соединений, например, sudo ufw delete deny in 80/tcp.
  6. Удаление правила для блокировки входящих соединений по порту в UFW в Ubuntu

Используйте опции просмотра состояния, чтобы скопировать требуемые правила и удалить их так же, как это было продемонстрировано в примере.

Шаг 8: Включение логирования

Последний этап сегодняшней статьи подразумевает активацию опции, которая автоматически время от времени будет сохранять информацию о поведении UFW в отдельный файл. Необходима она далеко не всем пользователям, а применяется так:

  1. Напишите sudo ufw logging on и нажмите Enter.
  2. Команда для активации сохранения журнала событий UFW в Ubuntu

  3. Дождитесь появления уведомления о том, что журнал теперь будет сохраняться.
  4. Уведомление об успешной активации сохранения журнала событий UFW в Ubuntu

  5. Вы можете применить и другую опцию, например, sudo ufw logging medium. Существует еще low (сохраняет сведения только о заблокированных пакетах) и high (сохраняет всю информацию). Средний вариант записывает в журнал заблокированные и разрешенные пакеты.
  6. Выбор опции для включения журналирования в межсетевом экране UFW в Ubuntu

Выше вы изучили целых восемь этапов, которые используются для настройки брандмауэра UFW в операционной системе Ubuntu. Как видите, это очень простой межсетевой экран, который подойдет даже начинающим юзерам из-за легкости освоения синтаксиса. UFW еще можно смело назвать хорошей заменой стандартному iptables, если он вас не устраивает.

Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

ДА НЕТ


Еще статьи по данной теме:


Поделиться статьей в социальных сетях:

Задайте вопрос или оставьте свое мнение

Примечание: если отправленный комментарий не появился на странице, значит он ушел на проверку и скоро будет опубликован. Пожалуйста, не дублируйте вопрос. Мы ответим Вам в ближайшее время.