Как заблокировать IP адрес с помощью ufw на Ubuntu Linux
Я использую UFW брандмауэр на моем Ubuntu Linux 12.04 / 14.04 сервере LTS. Мне нужно, заблокировать определенный IP-адрес для доступа к моему серверу. Как заблокировать IP- адрес, используя UFW?
UFW (Несложный Брандмауэр) является фронтендом для IPTables и особенно хорошо подходит для обычного сервера. Этот инструмент брандмауэр по умолчанию для Ubuntu Linux. UFW разработан для сисадмина для его удобства. Он создан для простого добавления правил в брандмауэр IPv4 или IPv6, для защиты сервера.
UFW блокирование конкретных IP-адресов
Синтаксис будет такой
|
1 |
sudo ufw deny from {ip-address-here} to any |
Чтобы заблокировать или запретить все пакеты от 192.168.1.5, введите:
|
1 |
sudo ufw deny from 192.168.1.5 to any |
Показать статус брандмауэра в том числе все правила
Проверьте недавно добавленные правила, введите:
|
1 |
sudo ufw status numbered |
или
|
1 |
sudo ufw status |
UFW блокировка конкретных IP и порта
Синтаксис:
|
1 |
ufw deny from {ip-address-here} to any port {port-number-here} |
Чтобы заблокировать или запретить спамера IP-адрес 202.54.1.5 порт 80, введите:
|
1 |
sudo ufw deny from 202.54.1.5 to any port 80 |
Что бы проверить, используем следующую команду:
|
1 |
sudo ufw status numbered |
Пример результата:
UFW запретить конкретный IP, порт и протокол
Синтаксис:
|
1 |
sudo ufw deny proto {tcp|udp} from {ip-address-here} to any port {port-number-here} |
Например заблокировать хакера IP-адрес 205.55.1.1 протокол TCP-порт 22, введите:
|
1 2 |
sudo ufw deny proto tcp from 205.55.1.1 to any port 22 sudo ufw status numbered |
UFW заблокировать сеть
Синтаксис такой же:
|
1 2 |
sudo ufw deny proto tcp from sub/net to any port 22 sudo ufw deny proto tcp from 205.55.1.0/24 to any port 22 |
Как удалить из заблокированых IP-адрес или разблокировать IP- адрес?
|
1 2 |
sudo ufw status numbered sudo ufw delete NUM |
Чтобы удалить номер правила # 4, введите:
|
1 |
sudo ufw delete 4 |
Результат
|
1 2 3 4 |
Deleting: deny from 205.55.1.5 to any port 80 Proceed with operation (y|n)? y Rule deleted |
Совет: Если UFW не блокирует IP-адрес
UFW (Iptables) правила применяются в порядке появления, и просмотр заканчивается сразу, когда есть первое соответсвие. Поэтому, например, если есть правило открывающее доступ к портам TCP 22 (sudo ufw allow 22), а потом еще одно правило задающее блокировку IP-адреса (скажем, ufw deny proto tcp from 202.54.1.1 to any port 22) , то правило разрешения применяется раньше и правило блокировки не сработает. Чтобы избежать такой проблемы необходимо отредактировать файл/etc/ufw/before.rules и добавить раздел «Block an IP Address» после «# .
|
1 |
sudo vi /etc/ufw/before.rules |
Найти следующую строку
|
1 |
# End required lines |
Затем добавить Ваши блокирующие правила
|
1 2 3 4 |
# Block spammers -A ufw-before-input -s 179.136.80.191 -j DROP # Block ip/net (subnet) -A ufw-before-input -s 205.55.1.0/24 -j DROP |
Сохранить файл и перезагрузить фаерволл
|
1 |
sudo ufw reload |
Если у Вас возникли проблемы с настройкой фаервола или администрированием Linux сервера, обращайтесь в раздел контакты.
