- Настройка UFW Ubuntu
- Команда UFW Ubuntu
- 1. Синтаксис ufw
- 2. Команды UFW
- Настройка UFW Ubuntu
- 1. Как включить UFW
- 2. Политика по умолчанию
- 3. Добавление правил UFW
- 4. Правила limit ufw
- 5. Просмотр состояния UFW
- 6. Удаление правил ufw
- 7. Логгирование в ufw
- 8. Отключение UFW
- Выводы
- Включение/отключение UFW Firewall в Ubuntu
- Проверка состояния брандмауэра Ubuntu
- Отключение брандмауэра Ubuntu
- Включение брандмауэра
- Использование UFW для установки правил брандмауэра
- Сброс правил брандмауэра UFW
- Похожие записи:
- Как отключить брандмауэр в Ubuntu 18.04
- Подготовка
- Проверка статуса брандмауэра
- Отключение брандмауэра
- Включение брандмауэра
- Выводы
Настройка UFW Ubuntu
Во всех дистрибутивах Linux для обеспечения сетевой безопасности и изоляции внутренних процессов от внешней среды используется брандмауэр iptables. Но его настройка может показаться очень сложной для новых пользователей, поэтому многие дистрибутивы создают собственные оболочки, которые упрощают процесс настройки.
В Ubuntu используется оболочка под названием UFW или Uncomplicated FireWall. В этой статье мы разберём, как выполняется настройка UFW Ubuntu, а также как пользоваться основными возможностями этой программы.
Команда UFW Ubuntu
1. Синтаксис ufw
Для управления возможностями брандмауэра используется одноимённая команда — ufw. Давайте сначала рассмотрим её опции и параметры, а потом перейдём к настройке. Синтаксис команды такой:
$ ufw опции действие параметры
Опции определяют общие настройки поведения утилиты, действие указывает, что нужно сделать, а параметры — дополнительные сведения для действия, например, IP-адрес или номер порта.
Сначала разберём опции утилиты:
- —version — вывести версию брандмауэра;
- —dry-run — тестовый запуск, никакие реальные действия не выполняются.
2. Команды UFW
Для выполнения действий с утилитой доступны такие команды:
- enable — включить фаерволл и добавить его в автозагрузку;
- disable — отключить фаерволл и удалить его из автозагрузки;
- reload — перезагрузить файервол;
- default — задать политику по умолчанию, доступно allow, deny и reject, а также три вида трафика — incoming, outgoing или routed;
- logging — включить журналирование или изменить уровень подробности;
- reset — сбросить все настройки до состояния по умолчанию;
- status — посмотреть состояние фаервола;
- show — посмотреть один из отчётов о работе;
- allow — добавить разрешающее правило;
- deny — добавить запрещающее правило;
- reject — добавить отбрасывающее правило;
- limit — добавить лимитирующее правило;
- delete — удалить правило;
- insert — вставить правило.
Это были все опции и команды, которые вы можете использовать в ufw. Как видите, их намного меньше, чем в iptables и всё выглядит намного проще, а теперь давайте рассмотрим несколько примеров настройки.
Настройка UFW Ubuntu
1. Как включить UFW
Сначала нужно отметить, что в серверной версии Ubuntu UFW по умолчанию включён, а в версии для рабочего стола он отключён. Поэтому сначала смотрим состояние фаервола:
Если он не включён, то его необходимо включить:
Затем вы можете снова посмотреть состояние:
Обратите внимание, что если вы работаете по SSH, то перед тем, как включать брандмауэр, нужно добавить правило, разрешающее работу по SSH, иначе у вас не будет доступа к серверу. Подождите с включением до пункта 3.
2. Политика по умолчанию
Перед тем, как мы перейдём к добавлению правил, необходимо указать политику по умолчанию. Какие действия будут применяться к пакетам, если они не подпадают под созданные правила ufw. Все входящие пакеты будем отклонять:
sudo ufw default deny incoming
sudo ufw default allow outgoing
3. Добавление правил UFW
Чтобы создать разрешающее правило, используется команда allow. Вместо allow могут использоваться и запрещающие правила ufw — deny и reject. Они отличаются тем, что для deny компьютер отсылает отправителю пакет с уведомлением об ошибке, а для reject просто отбрасывает пакет и ничего не отсылает. Для добавления правил можно использовать простой синтаксис:
$ ufw allow имя_службы
$ ufw allow порт
$ ufw allow порт/протокол
Например, чтобы открыть порт ufw для SSH, можно добавить одно из этих правил:
sudo ufw allow OpenSSH
sudo ufw allow 22
sudo ufw allow 22/tcp
Первое и второе правила разрешают входящие и исходящие подключения к порту 22 для любого протокола, третье правило разрешает входящие и исходящие подключения для порта 22 только по протоколу tcp.
Посмотреть доступные имена приложений можно с помощью команды:
Можно также указать направление следования трафика с помощью слов out для исходящего и in для входящего.
$ ufw allow направление порт
Например, разрешим только исходящий трафик на порт 80, а входящий запретим:
sudo ufw allow out 80/tcp
sudo ufw deny in 80/tcp
Также можно использовать более полный синтаксис добавления правил:
$ ufw allow proto протокол from ip_источника to ip_назначения port порт_назначения
В качестве ip_источника может использоваться также и адрес подсети. Например, разрешим доступ со всех IP-адресов для интерфейса eth0 по протоколу tcp к нашему IP-адресу и порту 3318:
sudo ufw allow proto tcp from 0.0.0.0/24 to 192.168.1.5 port 3318
4. Правила limit ufw
С помощью правил limit можно ограничить количество подключений к определённому порту с одного IP-адреса, это может быть полезно для защиты от атак перебора паролей. По умолчанию подключения блокируются, если пользователь пытается создать шесть и больше подключений за 30 секунд:
К сожалению, настроить время и количество запросов можно только через iptables.
5. Просмотр состояния UFW
Посмотреть состояние и действующие на данный момент правила можно командой status:
Чтобы получить более подробную информацию, используйте параметр verbose:
С помощью команды show можно посмотреть разные отчеты:
- raw — все активные правила в формате iptables;
- builtins — правила, добавленные по умолчанию;
- before-rules — правила, которые выполняются перед принятием пакета;
- user-rules — правила, добавленные пользователем;
- after-rules — правила, которые выполняются после принятия пакета;
- logging-rules — правила логгирования пакетов;
- listening — отображает все прослушиваемые порты и правила для них;
- added — недавно добавленные правила;
Например, посмотрим список всех правил iptables:
Посмотрим все прослушиваемые порты:
Или недавно добавленные правила:
6. Удаление правил ufw
Чтобы удалить правило ufw, используется команда delete. Например, удалим ранее созданные правила для порта 80:
sudo ufw delete allow out 80/tcp
sudo ufw delete deny in 80/tcp
7. Логгирование в ufw
Чтобы отлаживать работу ufw, могут понадобится журналы работы брандмауэра. Для включения журналирования используется команда logging:
sudo ufw logging on
sudo ufw logging medium
Также этой командой можно изменить уровень логгирования:
- low — минимальный, только заблокированные пакеты;
- medium — средний, заблокированные и разрешённые пакеты;
- high — высокий.
Лог сохраняется в папке /var/log/ufw. Каждая строчка лога имеет такой синтаксис:
[UFW действие] IN=интерфейс OUT=итерфейс SRC=ip_источника DST=ip_назначения LEN=размер_пакета TOS=0x10 PREC=0x00 TTL=64 DF PROTO=протокол SPT=порт_источника DPT=порт назначения LEN=размер_пакета
В качестве действия приводится то, что UFW сделал с пакетом, например ALLOW, BLOCK или AUDIT. Благодаря анализу лога настройка UFW Ubuntu станет гораздо проще.
8. Отключение UFW
Если вы хотите полностью отключить UFW, для этого достаточно использовать команду disable:
Также, если вы что-то испортили в настройках и не знаете как исправить, можно использовать команду reset для сброса настроек до состояния по умолчанию:
Выводы
В этой небольшой статье мы разобрали, как настроить UFW Ubuntu для защиты вашего компьютера от угроз из сети. Это особенно актуально для серверов, потому что они постоянно доступны из интернета.
Обнаружили ошибку в тексте? Сообщите мне об этом. Выделите текст с ошибкой и нажмите Ctrl+Enter.
Включение/отключение UFW Firewall в Ubuntu
Ubuntu поставляется с предустановленным инструментом настройки брандмауэра UFW (Uncomplicated Firewall). UFW прост в использовании для управления настройками брандмауэра сервера.
Проверка состояния брандмауэра Ubuntu
Прежде чем отключать брандмауэр UFW, неплохо было бы сначала проверить его состояние. В Ubuntu брандмауэр по умолчанию отключен. Как узнать, включен ли ваш брандмауэр?
Чтобы проверить текущее состояние брандмауэра, выполните команду в командном терминале:
Поскольку мы определили текущее состояние, теперь мы можем перейти к отключению брандмауэра UFW.
Отключение брандмауэра Ubuntu
Брандмауэр является жизненно важным элементом безопасности сети и сервера. Однако во время тестирования или устранения неполадок вам может понадобиться отключить или остановить брандмауэр.
Чтобы отключить брандмауэр в Ubuntu, введите:
Терминал сообщит вам, что служба больше не активна.
Если вы отключили брандмауэр, имейте в виду, что ваши правила брандмауэра все еще действуют. Когда вы снова включите брандмауэр, будут действовать те же правила, которые были установлены до отключения.
Включение брандмауэра
Очень важно знать, как включить брандмауэр в Ubuntu.
Чтобы включить брандмауэр в Ubuntu, используйте команду:
Как и в случае с командой ‘disable’, результат подтверждает, что брандмауэр снова активен.
Использование UFW для установки правил брандмауэра
UFW не предоставляет полную функциональность брандмауэра через интерфейс командной строки. Однако он предлагает простой способ добавления или удаления простых правил.
Хорошим примером является открытие порта SSH.
Когда терминал подтвердит, что правило введено, проверьте состояние брандмауэра с помощью команды ‘status’:
Вывод будет отражать тот факт, что порт SSH теперь открыт.
Сброс правил брандмауэра UFW
Если вам нужно вернуть все правила к настройкам по умолчанию, используйте команду reset:
После подтверждения действия, набрав y, настройки брандмауэра вернутся к значениям по умолчанию.
Похожие записи:
Как отключить брандмауэр в Ubuntu 18.04
Ubuntu поставляется с инструментом настройки межсетевого экрана под названием UFW (Несложный межсетевой экран). UFW — это удобный интерфейс для управления правилами брандмауэра iptables, и его основная цель — упростить управление правилами брандмауэра или, как следует из названия, несложным.
Настоятельно рекомендуется оставить брандмауэр включенным. Однако в некоторых ситуациях, например при тестировании, может потребоваться остановить или отключить брандмауэр.
В этом руководстве мы покажем вам, как отключить брандмауэр UFW в системах Ubuntu 18.04.
Подготовка
Убедитесь, что вы вошли в систему как пользователь с привилегиями sudo .
Проверка статуса брандмауэра
Чтобы просмотреть текущий статус брандмауэра UFW, используйте команду ufw status :
Брандмауэр UFW по умолчанию отключен. Если вы никогда раньше не активировали UFW, результат будет выглядеть так:
В противном случае, если брандмауэр включен, вы увидите следующее сообщение:
Отключение брандмауэра
Если вы отключаете брандмауэр из-за проблем с подключением или проблем с настройкой брандмауэра, ознакомьтесь с нашим руководством по настройке брандмауэра с UFW в Ubuntu 18.04 .
Чтобы отключить брандмауэр UFW в вашей системе Ubuntu, используйте команду ufw disable :
Результат будет выглядеть так:
Firewall stopped and disabled on system startup
Приведенная выше команда остановит и отключит брандмауэр, но не удалит правила брандмауэра. При следующем включении брандмауэра будут загружены те же правила.
Если вы хотите отключить брандмауэр и удалить все правила брандмауэра, используйте ufw reset :
Вам будет предложено продолжить операцию:
Resetting all rules to installed defaults. This may disrupt existing ssh connections. Proceed with operation (y|n)?
Backing up 'user.rules' to '/etc/ufw/user.rules.20190122_115214' Backing up 'before.rules' to '/etc/ufw/before.rules.20190122_115214' Backing up 'after.rules' to '/etc/ufw/after.rules.20190122_115214' Backing up 'user6.rules' to '/etc/ufw/user6.rules.20190122_115214' Backing up 'before6.rules' to '/etc/ufw/before6.rules.20190122_115214' Backing up 'after6.rules' to '/etc/ufw/after6.rules.20190122_115214'
Сброс брандмауэра UFW полезен, если вы хотите отменить все изменения и начать все заново.
Включение брандмауэра
Перед включением брандмауэра убедитесь, что порт SSH открыт для подключения.
Чтобы включить брандмауэр, запустите:
Когда вас попросят ввести y чтобы продолжить операцию:
Command may disrupt existing ssh connections. Proceed with operation (y|n)?
Firewall is active and enabled on system startup
Выводы
В этом руководстве вы узнали, как остановить и окончательно отключить брандмауэр на машине Ubuntu 18.04.
Большинство команд UFW интуитивно понятны и легко запоминаются. Например, ufw status показывает состояние межсетевого экрана, а ufw disable отключает межсетевой экран.