Связаться по:
[email protected]

Блог о системном администрировании серверов и сайтов

Установка, настройка программного обеспечения Linux, Windows операционных систем

Как настроить брандмауэр UFW на Ubuntu 16.04 LTS

Rate this post

Как насторить брандмауэром UFW на сервере Ubuntu Linux 16.04 LTS , чтобы ограничить трафик на мой личный веб-сервер, на котором размещены мои фотографии и блоги для членов моей семьи?

UFW является аббревиатурой простой брандмауэр. Он используется для управления брандмауэром Linux и призван обеспечить простой в использовании интерфейс для пользователя. В этом уроке вы узнаете, как использовать UFW с IPTables для управления брандмауэром на Ubuntu Linux 16.04 LTS сервере.

Установка UFW

UFW входит в состав Ubuntu, но не в Debian Linux. Введите следующую команду APT-GET установите UFW на сервере Debian Linux:

Примеры результата:

installing-ufw-on-debian

Как просмотреть статус UFW?

По умолчанию UFW в неактивном состоянии т.е. нет правил брандмауэра не настроен и весь трафик разрешен. Чтобы увидеть статус, введите следующую команду:

Примеры результата:

Настройка политики по умолчанию

По умолчанию, когда UFW активируется он блокирует весь входящий трафик на межсетевой экран / сервер. Только исходящий трафик разрешен. Вы можете просмотреть правила по умолчанию UFW, введя следующую команду:

Пример результата:

Политика по умолчанию работает хорошо для серверов и ноутбуков / рабочих станции, так как вам нужно только открыть ограниченное количество входящих портов. Это хорошая политика,  она закрывает все порты на сервере / брандмауэра, и вам нужно только открыть порты один за другим. Вы можете выполнить следующие команды, чтобы установить политику, блокировать все входящие соединения и разрешить только исходящие соединения от сервера / межсетевого экрана:

Создание первого правила брандмауэра, чтобы разрешить подключение к SSH (TCP-порт 22)

Введите следующую команду, чтобы разрешить SSH-соединения с сервером:

ИЛИ

Скажем, если вы работаете в SSH на порту 2020, введите следующую команду:

Следующие правила открывают доступ к TCP SSH порт 22 только на 10.8.0.1 (т.е. ваш сервер SSH слущает на IP 10.8.0.1 порт 22) из любого места:

Как добавить комментарий к правилу?

Используйте следующий синтаксис

Откройте порт 53 и напишите комментарий о правиле:

Другой пример:

Включить брандмауэр на основе UFW

Теперь у вас есть политика по умолчанию и SSH порт разрешен. Это безопасно для того, чтобы  включить брандмауэр, введите следующую команду:

Примеры выходов:

После включения, брандмауэр запускается и после перезагрузки.

Отключить брандмауэр на основе UFW

Если вам нужно остановить брандмауэр и отключить при запуске системы, введите следующую команду:

Примеры вывода:

Как я могу проверить статус моих правил?

Используйте команду статус:

Примеры вывода:

Добавление большего количества правил (открытие портов и разрешение IP-адреса)

Синтаксис выглядит следующим образом, чтобы открыть порт TCP 22 и 443:

Откройте сервер UDP / 1194 (OpenVPN):

Откройте порт 25 (smtpd / сервер электронной почты):

Вы можете разрешить диапазоны портов, TCP и UDP 3000 до 5000:

Разрешить соединения с определенного IP-адреса 1.2.3.4, введите следующую команду:

Разрешить соединения с определенного IP-адреса 1.2.3.4, к нашему порту 22, введите следующую команду:

ИЛИ (Dest 222.222.222.222 порт 22)

Запрет доступа к порту  (с IP и блока IP-адресов)

Синтаксис выглядит следующим образом, чтобы запретить доступ (т.е. просто игнорируя доступ к порту 443) к порту TCP — порт 443:

Запретить все соединения с IP-адреса  1.2.3.4, введите следующую команду:

Запретить все соединения подсети  123.45.67.89/24, введите следующую команду:

Запретить доступ с 1.2.3.4 на порт 22:

Отклонять доступ к порту (сообщать пользователю, что он блокируются брандмауэром)

Синтаксис reject просто игнорирует трафик. Если вы хотите позволить пользователя узнать о том, когда трафик отклонен, а не просто игнорировать его, используйте  синтаксис:

Если кто-то попытается подключиться к порту 23 они получат сообщение reject следующего содержания:

Удаление правил брандмауэра UFW

Теперь вы знаете, как добавить, игнорировать, и получить список правил брандмауэра. Настало время, удалить ненужные правила. Есть два варианта удаления правила. Первый синтаксис:

В этом примере, удалить HTTPS (TCP-порт 443) трафика правило,

Если вы больше не желаете, разрешать трафик  smptd / электронной почты (порт 25), выполните:

Второй вариант заключается в перечислении список всех текущих правил в пронумерованном виде списка:

Примеры выходов:

Чтобы удалить 2-е правило ( «UFW игнорировать от 123.45.67.89/24»), наберите команду:

Как сбросить брандмауэр?

Синтаксис выглядит следующим образом, что бы сбросить UFW правила к заводским установкам по умолчанию и в неактивный режим, выполните следующую команду:

Примеры вывода:

Как перезагрузить брандмауэр?

Синтаксис выглядит следующим образом, перезагрузить брандмауэр:

При редактировании файла конфигурации UFW ‘, вам необходимо запустить команду перезагрузки. Например, вы можете редактировать /etc/ufw/before.rules, введите следующую команду:

ИЛИ

Для того, чтобы разрешить весь трафик  eth0  введите следующую команду:

Сохраните и закройте файл. Обновить firwall:

Как просмотреть журналы брандмауэра?

По умолчанию все записи UFW хранятся в /var/log/ufw.log :

Примеры вывода:

Вы можете искать по файлу журнала с  помощью команды grep:

Как получить UFW отчеты?

Отчет отображает список правил, так как они были добавлены в командной строке:

Примеры вывода:

Необработанные отчет показывают полный межсетевой экран

В отчете прослушивания будет отображать порты на  системе в состоянии прослушивания для протокола TCP и открытом состоянии для УДП, наряду с адресом интерфейса и кто прослушивает порт. ‘*’ Используется вместо адреса интерфейса, когда исполняемый файл связан со всеми интерфейсами на этом порту. После этой информации  список правил, которые могут повлиять на соединения на этом порту. Правила перечислены в порядке, которм оцениваются ядром, а первое соответствие приоритетнее. Обратите внимание, что  по умолчанию нет в списке и tcp6 и udp6 показываются только, если IPV6 включено:

Другие возможные отчеты:

Если не получилось настроить фаервол, обращайтесь к нам за помощью, раздел Контакты.

1 Response

  1. roman

    как посмотреть список правил при неактивном ufw, перед тем как делать его enable?

Оставить комментарий

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.