Настройка gufw в Ubuntu
Фаервол — это один из самых важных инструментов для управления безопасностью вашей системы Linux. Если ваш компьютер подключен к сети, вы не можете считать его безопасным, несмотря на то, что Linux — это более безопасная система, не стоит игнорировать правила безопасности.
Операционная система Linux известна своим мощнейшим фаерволом — iptables. Но несмотря на свою мощность, этот фаервол очень сложный, им нужно управлять с помощью длинных и сложных консольных команд. Просматривать информацию о соединениях здесь тоже нужно в консоли. Поэтому он недоступен для большинства новых пользователей.
В Ubuntu, ситуация еще хуже, потому что здесь фаервол отключен по умолчанию и нет простого способа запустить его. Для управления фаерволом необходимо будет настроить несколько скриптов, а это непростая задача для начинающего пользователя. Вы можете вручную искать и создавать правила iptables, или же найти инструмент, с помощью которого будет облегчена настройка firewall ubuntu.
Чтобы обеспечить более легкую настройку firewall в linux был создан Uncomplicated Firewall или простой firewall, ufw. Затем была создана графическая утилита — gufw, чтобы настройка ufw была еще легче.
В этой инструкции мы рассмотрим как выполняется настройка фаервола ubuntu. Мы рассмотрим запуск и остановку службы, создание правил и просмотр сетевых журналов и все это без использования терминала. Gufw сделает iptables более простым, как и любой фаервол в операционной системе Windows. Все что вам понадобится — это базовое понимание принципов работы сетей.
Установка Gufw в Ubuntu
По умолчанию в Ubuntu не поставляется со встроенным фаерволом Gufw, но вы можете его очень просто установить из официальных репозиториев. Установка gufw ubuntu выполняется командой:
Когда установка gufw ubuntu будет завершена, вы можете найти и запустить программу из главного меню Dash или с помощью настроек системы.
Для запуска программы необходимо ввести пароль:
Чтобы настройка firewall ubuntu применялась и после перезагрузки необходимо добавить его в автозагрузку, для этого выполните:
Настройка фаервола Ubuntu
Главное окно программы выглядит вот так, здесь, кроме главных инструментов есть небольшая справка пр работе с программой:
Здесь есть все необходимые функции, чтобы настройка gufw ubuntu была удобной, но в то же время очень простой. Для начала нужно включить работу фаервола переключив переключатель статус в положение включен. Окно программы сразу изменится и станут доступными все функции:
Здесь вы можете менять общие режимы работы для дома, общественного места и офиса. С различными параметрами для трафика и правилами. Режим для дома блокирует входящий трафик и разрешает исходящий. Профили отличаются только параметрами входящего и исходящего трафика.
Открыв меню Правка, Параметры, вы можете настроить общую работу Gufw linux, здесь вы также можете создавать свои профили. Для каждого профиля вы можете добавлять свои правила.
Настройка правил gufw
Запрет и разрешение трафика для входящих и исходящих подключений ничего бы не значило, если бы не было возможности настройки правил для определенных приложений и сервисов. Настройка правил программы выполняется в главном окне.
В самом низу есть три кнопки, добавить правило +, удалить правило — и кнопка в виде бутерброда для редактирования правила.
Давайте сначала запретим весь входящий и исходящий трафик:
Затем попытайтесь выполнить в терминале ping запрос к какому либо сайту. Ничего не получится. Это так называемая строгая блокировка, когда мы разрешаем только нужные процессы, все остальное запрещено:
Gufw ubuntu блокирует весь трафик, теперь разрешим dns с помощью правила. Для этого нажмите +. В открывшимся окне вы можете выбрать политику разрешить или запретить, в нашем случае нужно разрешать.
Во второй строчке можно указать направление трафика — входящий или исходящий, а также можно выбрать оба направления.
Дальше мы должны выбрать приложение или службу, для которой нужно мы будем разрешать трафик. Вы можете выбрать категорию и под категорию чтобы облегчить поиск или же воспользоваться фильтром приложений, нас сейчас интересует DNS.
Осталось нажать кнопку Добавить, чтобы правило было добавлено:
После завершения добавления правила окно не закроется и настройка gufw ubuntu может быть продолжена. Вы можете добавлять другие правила. Но перед тем, давайте проверим действительно ли работает DNS:
DNS работает IP адрес был получен, но ICMP все еще не разрешен. Подобно тому как мы это сделали, можно настроить правило для любого из доступных приложений.
Но правила созданные таким способом не могут контролировать все программы и порты. Поэтому существуют расширенные способы создания правил.
В окне создать правило, кроме вкладки Предустановленные, вы можете выбрать Обычные или Расширенные. На вкладке Обычные нет выбора приложения, здесь вы можете выбрать только порт и протокол:
А на вкладке расширенные есть также настройка входящего и исходящего IP адреса:
Теперь давайте разрешим работу браузеров Chromium, Firefox и т д. Для этого нам понадобится разрешить работу исходящий трафик на порт 80 и из порта 80, а также 443, или же мы можем воспользоваться предустановленным набором правил для сервисов HTTP и HTTPS:
После добавления этих правил браузеры будут работать. Таким образом, может быть выполнена настройка gufw ubuntu, для всех необходимых вам приложений. Кроме разрешающих правил, вы можете создавать запрещающие, просто установив главное поведение программы все разрешить, а потом создавайте правила для запрета тех или иных служб.
Но здесь есть еще одно но, чтобы знать как и что разрешать и запрещать возможно вам понадобятся журналы программы.
Посмотрев какие программы пытаются проникнуть в сеть вы сможете понять что нужно разрешить и нет.
Посмотреть какие программы работают с сетью вы можете на вкладке отчет в главном окне:
А на вкладке журнал вы найдете информацию по работе программы, переключению режимов и удалению правил.
С этой информацией настройка фаервола Ubuntu будет более эффективной и вы сможете решить возникшие проблемы.
Выводы
Вот и все. Настройка фаервола gufw в Ubuntu завершена, теперь вы сможете правильно выполнить настройку программы и сделать свою систему более безопасной. Если остались вопросы — пишите в комментариях.
Обнаружили ошибку в тексте? Сообщите мне об этом. Выделите текст с ошибкой и нажмите Ctrl+Enter.
Soft Gufw – графический интерфейс для настройки файервола (сетевого экрана) в Linux
Т.е. на целевой машине имеется 998 закрытых порта. Закрытые — значит нет приложений, которые бы их прослушивали, использовали. Два порта открытые. И впечатляет время сканирование — полсекунды.
Ну и ещё парочка портов открыта:
139/tcp open netbios-ssn 445/tcp open microsoft-ds
Использование Gufw
По умолчанию брандмауэр отключен. Чтобы запустить Gufw, введите в терминале:
Для начала разблокируем окно. Чтобы включить брандмауэр, просто нажмите кнопку Состояние и правила по умолчанию будут установлены. Deny (Запретить) для входящего трафика и Allow (Разрешить) для исходящего трафика.
Давайте ещё раз просканируем нашу систему:
Во-первых, сканирование длилось значительно дольше. А во-вторых, у нас опять две интересные строчки:
All 1000 scanned ports on 192.168.1.33 are filtered Nmap done: 1 IP address (1 host up) scanned in 21.62 seconds
Было опять просканировано 1000 портов и все они теперь фильтруются. Само сканирование заняло почти 22 секунды.
Вывод: файервол уже работает!
Добавление правил в файервол
Чтобы настроить брандмауэр, добавим правила. Просто щелкните кнопку Add (+), и появится новое окно. Для получения подробной информации посетите домашнюю страницу UFW. Правила могут формироваться для TCP и UDP портов. UFW имеет несколько предустановленных правил для конкретных программ/услуг, они убыстряют типичную настройку сетевого экрана.
- Разрешить: система позволит вход трафика для порта.
- Запретить: система запретит вход трафика для порта.
- Отклонить: система запретит вход трафика для порта и будет информировать систему связи, что он было отклонено.
- Ограничение: система запретит соединения, если IP-адрес пытался инициировать 6 или более соединений за последние 30 секунд.
Использование предустановленных правил дает несколько вариантов для управления параметрами брандмауэра для распространённых программ и услуг.
Предустановленные правила не охватывают все возможные программы и услуги, дополнительные правила можно добавить во вкладке Простые.
Возьмём в качестве примера службу SSH – давайте просто представим на минуту, что отсутствует предустановленное правило для неё. Откроем для неё порт: вкладка Простые, выберем “Allow”, “In” “TCP”, “22” и нажмём кнопку Добавить.
Чтобы настроить доступ на основе определенного IP, используем вкладку Расширенные.
Есть несколько настроек, доступных для установки в Gufw. Можно настроить в Изменить->Preferences
Здесь вы можете управлять ведением журнала для UFW и Gufw, создавать профили и установить общие предпочтения интерфейса. По умолчанию включено ведение журнала для UFW и отключено для Gufw.
ANDREY
31.07.2015 в 13:57
Довольно познавательно, но зачем файервол в Linux?
WEBWARE TEAM
31.07.2015 в 14:30
Почему-то ваш комментарий попал в спам…
- Позволяет сводить на нет некоторые виды флуда (установкой надлежащих правил файервола) и другие виды DoS-атак (с помощью дополнительных программ и скриптов, которые сами добавляют правила в файервол) (актуально для защиты серверов)
- Уведомляет о подозрительной деятельности, попытках зондирования
- Можно контролировать доступ к различным службам: например, закрыть доступ к веб-серверу, SSH и прочему без остановки самих служб. Т.е. сервером на локалхосте можно пользоваться, а другие к нему подключиться не могут.
- Фильтрация доступа к заведомо незащищенным службам.
ИВАН
19.02.2016 в 14:00
А как настроить белый список: запретить все входящие и исходящие подключения и разрешить выход в интернет только для Firefox, Центра приложений Ubuntu и как разрешить доступ для Samba в диапазоне IP-адресов с 192.168.0.1 по 192.168.0.254?
ИВАН
23.02.2016 в 19:27
И как разрешить входящие и исходящие подключения для qbittorrent только для определенного порта?
Неужели для Linux не существует хороших графических программ для настройки файервола?
XYZ
01.11.2016 в 12:26
Приветствую.
Настроил GUFW – все замечательно. Только при рестарте системы ufw – inactive. При запуске GUFW галочка выключена. Посоветуйте что делать? Спасибо!
Pirnazar
zxzmrxzxz
alfabuster
В целом неплохая статья. Познавательно. Но если вы арендуете сервер, то как правило в базовом администрировании уже входит панелька, таже бесплатная vesta, и файрвол уже предустановлен и можно порты закрывать через GUI. Поэтому это подойдет если полностью сам систему админишь либо для домашнего ПК.
Pushy
В начале статьи должно красоваться написанное большими красными буквами предупреждение.
ИСПОЛЬЗОВАНИЕ нижеописанной программы противоречит философии Linux .
Только задумайтесь.
Ядро Linux имеет подсистему Netfilter, управляемую фаерволлом iptables.
Но из-за сложности управления прАгрАмистЫ написали более простую программу Ufw, задача которой сводится к управлению фаерволлом iptables — по-сути, это фаерволл для управления фаерволлом.
Gufw фвляется графической оболочкой фаерволла Ufw, который управляет фаерволлом iptables, который в свою очередь управляет подсистемой Netfilter ядра Linux.
Поистине, программа Gufw являет собою большую красную кнопку » ВКЛЮЧИТЬ фаерволл «.
И после использования вот таких программок кто-то имеет совесть причислять себя к миру Linux и что-то пытаться судить о Windows ?
Ведь такого мышления даже в Винде редко встретишь.
Стыдно должно быть за использование таких программ.
Ах-ах-ах .
IPtables и ничего кроме IPtables !