В этой статье я покажу вам, как настроить брандмауэр UFW на Ubuntu 18.04.
В Ubuntu брандмауэр по умолчанию – это UFW, для Uncomplicated FireWall.
Он был с момента выпуска Ubuntu 18.04 и был создан для упрощения конфигурации iptables, которая была довольно сложной.
При использовании любой операционной системы брандмауэр является одной из наиболее важных функций, которые необходимо учитывать в отношении безопасности вашей системы.
Брандмауэр – это экран или барьер, который существует между вашим ПК и Интернетом, и блокирует несанкционированный трафик, такой как удаленный доступ к вашей системе, и помогает защитить от вредоносного кода, который постоянно проходит через Интернет.
Брандмауэр может быть аппаратным или программным обеспечением.
Аппаратный брандмауэр представляет собой автономную систему брандмауэра, которая помещается в сеть, чтобы добавить защитный слой, контролируя поток трафика в сеть и из нее, а также блокируя нежелательные сайты от доступа пользователей.
Программный брандмауэр встроен в операционные системы, такие как Linux и Windows, и помогает защитить вашу систему от внешних атак.
Установка UFW
По умолчанию Ubuntu 18.04 поставляется с установленной ufw.
Однако для более ранних систем вам нужно будет выполнить команду ниже
# apt-get install ufw
Чтобы проверить, запущен ли UFW
# systemctl status ufw
Если он работает, вы должны получить результат Как ниже
● ufw.service - Uncomplicated firewall Loaded: loaded (/lib/systemd/system/ufw.service; enabled; vendor preset: enab Active: active (exited) since Tue 2018-04-10 22:03:30 UTC; 4min 1s ago Process: 376 ExecStart=/lib/ufw/ufw-init start quiet (code=exited, status=0/SU Main PID: 376 (code=exited, status=0/SUCCESS) Tasks: 0 Memory: 0B CPU: 0 CGroup: /system.slice/ufw.service
Чтобы проверить, активен ли он или неактивен
# ufw status
Если он неактивен, вы получите результат ниже
Status: inactive
Чтобы включить UFW с использованием стандартного набора правил:
# ufw enable
Чтобы отключить межсетевой экран:
# ufw disable
Настройка стандартных правил UFW
для настройки правил по умолчанию, которые разрешают все исходящие протоколы, регистрируются как root и выполняются:
# ufw default allow outgoing
Вывод:
Default outgoing policy changed to 'allow' (be sure to update your rules accordingly)
Чтобы запретить все входящие соединения, запустите:
# ufw default deny incoming
Вывод
Default outgoing policy changed to 'deny' (be sure to update your rules accordingly)
Вышеупомянутые команды позволят всем исходящим соединениям и запрещают или блокируют все входящие соединения.
На этом этапе вы можете включить брандмауэр, однако прежде, чем вы это сделаете, сначала разрешите ssh.
Это предотвращает отключение от сервера, поскольку мы ранее указывали отказ от всех входящих соединений.
Чтобы разрешить ssh запустите
# ufw allow 22/tcp
Доступ к ssh также может быть разрешен по имени службы
# ufw allow ssh
Если вы хотите удалить запуск правила:
# ufw delete allow 22/ssh
Отказаться от службы по имени:
# ufw deny service-name
Например
# ufw deny ssh
Чтобы просмотреть все службы, которые могут быть разрешены или запрещены в системе, проверьте файл /etc/services.
# cat /etc/services | less
Пример вывода
ftp-data 20/tcp ftp 21/tcp fsp 21/udp fspd ssh 22/tcp # SSH Remote Login Protocol ssh 22/udp telnet 23/tcp smtp 25/tcp mail time 37/tcp timserver time 37/udp timserver rlp 39/udp resource # resource location nameserver 42/tcp name # IEN 116 whois 43/tcp nicname tacacs 49/tcp # Login Host Protocol (TACACS) tacacs 49/udp re-mail-ck 50/tcp # Remote Mail Checking Protocol re-mail-ck 50/udp domain 53/tcp # Domain Name Server domain 53/udp
Запуск брандмауэра ufw
Чтобы активировать журнал брандмауэра в качестве пользователя root выполните следующую команду:
# ufw enable
Возможно, вам будет выдано следующее предупреждение:
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Если вы выберете «y», вы получите результат ниже
Firewall is active and enabled on system startup
Брандмауэр теперь активен, и он запускается при каждой загрузке.
Мы снова рассмотрим правила брандмауэра:
# ufw status
В выводе теперь будет отображаться состояние брандмауэра плюс разрешенные службы / порты
Вывод
ufw status active Status: active To Action From -- ------ ---- 22/tcp ALLOW Anywhere 22 ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6) 22 (v6) ALLOW Anywhere (v6) х