UFW очень прост в использовании и настройке.
Он доступен прямо в репозиториях Debian и хорошо интегрируется в систему Debian.
Упрощенное управление и возможность легко запускать и останавливать брандмауэр делают его отличным вариантом для настольных компьютеров и небольших серверов.
В этом уроке вы узнаете:
- Как установить UFW
- Как установить значения по умолчанию на UFW
- Как разрешить порты
- Как разрешить интерфейсы
- Как разрешить протокол
- Как разрешить IP-адреса
- Как включить UFW
Как установить UFW
UFW доступен прямо в репозиториях Debian.
В отличие от других сервисов Debian, UFW не запустится немедленно, поэтому вам не нужно беспокоиться о том, что вас заблокируют.
$ sudo apt install ufw
Как установить значения по умолчанию на UFW
Первым шагом в настройке любого брандмауэра является настройка поведения по умолчанию.
Обычно рекомендуется по умолчанию отбрасывать входящие запросы и разрешать исходящий трафик.
Если вы предпочитаете заблокировать все, вы можете сделать и так, но будьте осторожны при такой настройке.
$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing
Как разрешить порты
Теперь вы можете начать разрешать определенный входящий трафик.
Самый очевидный и самый простой способ сделать это – использовать порты.
Начните с разрешения доступа к наиболее важному порту, порт 22 для SSH.
$ sudo ufw allow 22
Вы также можете разрешить и другие общие порты.
Например, на веб-сервере вы должны разрешить HTTP и HTTPS трафик.
$ sudo ufw allow 80
$ sudo ufw allow 443
$ sudo ufw allow 27015:27030
$ sudo ufw allow ftp
$ sudo ufw deny 25
Как разрешить интерфейсы
Если вы хотите разрешить трафик только на определенный интерфейс, вы также можете указать это:
$ sudo ufw allow in on eth0 to any port 22
Опять же, вы можете отменить интерфейс, чтобы запретить трафик на определенном интерфейсе.
$ sudo ufw deny in on eth0 to any port 22
Как разрешить протокол
Если вы хотите разрешить определенный порт (TCP или UDP) вы также можете это сделать.
Это отлично подходит для таких сервисов, как Samba, которые работают с определенными протоколами.
$ sudo ufw allow 137/udp
Как разрешить IP-адреса
Вы также можете указать определенные IP-адреса, чтобы разрешить трафик.
Если вы хотите ограничить трафик SSH определенным IP-адресом для безопасности, это отличный способ сделать это.
$ sudo ufw allow from ##.##.###.### to any port 22
То же самое работает и с диапазонами IP-адресов.
$ sudo ufw allow from 192.168.1.0/24 to any port 445
Как включить UFW
Как только вы разрешите нужные порты, вы можете запустить UFW и включить его при загрузке.
$ sudo ufw enable
Чтобы проверить состояние вашего брандмауэра и используемые правила, выполните:
$ sudo ufw status
Если по какой-то причине вы хотите отключить UFW, вы можете сделать это так же легко.
$ sudo ufw disable
Заключение
Теперь вы готовы начать работу с UFW.
Помните, что это всего лишь строительные блоки, поэтому вы можете собрать все, что сами захотите.
UFW прост, но определенно нужно и возможно объединить эти команды во что-то более сложное.
отличная статья.
в среде debian 10 установил ufw, разрешил порты 80 и 4443, и получил
странный вывод команды ufw status
Status: active
To Action From
— —— —-
22 ALLOW Anywhere
80 ALLOW Anywhere
443 ALLOW Anywhere
21/tcp ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
80 (v6) ALLOW Anywhere (v6)
443 (v6) ALLOW Anywhere (v6)
21/tcp (v6) ALLOW Anywhere (v6)
==================
:порты указаны дважды. что это значит ?
ipv4 и ipv6 это разные моменты 🙂