👨⚕️️ Как использовать UFW в Debian 10 Buster Linux |

👨⚕️️ Как использовать UFW в Debian 10 Buster Linux

Мануал

UFW очень прост в использовании и настройке.

Он доступен прямо в репозиториях Debian и хорошо интегрируется в систему Debian.

Упрощенное управление и возможность легко запускать и останавливать брандмауэр делают его отличным вариантом для настольных компьютеров и небольших серверов.

В этом уроке вы узнаете:

  • Как установить UFW
  • Как установить значения по умолчанию на UFW
  • Как разрешить порты
  • Как разрешить интерфейсы
  • Как разрешить протокол
  • Как разрешить IP-адреса
  • Как включить UFW

Как установить UFW

UFW доступен прямо в репозиториях Debian.

В отличие от других сервисов Debian, UFW не запустится немедленно, поэтому вам не нужно беспокоиться о том, что вас заблокируют.

$ sudo apt install ufw

Как установить значения по умолчанию на UFW

Первым шагом в настройке любого брандмауэра является настройка поведения по умолчанию.

Обычно рекомендуется по умолчанию отбрасывать входящие запросы и разрешать исходящий трафик.

Если вы предпочитаете заблокировать все, вы можете сделать и так, но будьте осторожны при такой настройке.

$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing

Как разрешить порты

Теперь вы можете начать разрешать определенный входящий трафик.

Самый очевидный и самый простой способ сделать это – использовать порты.

Начните с разрешения доступа к наиболее важному порту, порт 22 для SSH.

$ sudo ufw allow 22

Вы также можете разрешить и другие общие порты.

Например, на веб-сервере вы должны разрешить HTTP и HTTPS трафик.

$ sudo ufw allow 80
$ sudo ufw allow 443
Если у вас есть что-то нестандартное, вы всегда можете все настроить.
На самом деле, вы можете разрешить расположение диапазон портов с двоеточием (:).
$ sudo ufw allow 27015:27030
UFW также имеет возможность использовать имя общих портов вместо номера.
Например, если вы хотите разрешить FTP:
$ sudo ufw allow ftp
Как вы уже догадались, любой из них будет работать в обратном порядке, если использовать deny вместо allow.
$ sudo ufw deny 25

Как разрешить интерфейсы

Если вы хотите разрешить трафик только на определенный интерфейс, вы также можете указать это:

$ sudo ufw allow in on eth0 to any port 22

Опять же, вы можете отменить интерфейс, чтобы запретить трафик на определенном интерфейсе.

$ sudo ufw deny in on eth0 to any port 22

Как разрешить протокол

Если вы хотите разрешить определенный порт (TCP или UDP) вы также можете это сделать.

Это отлично подходит для таких сервисов, как Samba, которые работают с определенными протоколами.

$ sudo ufw allow 137/udp

Как разрешить IP-адреса

Вы также можете указать определенные IP-адреса, чтобы разрешить трафик.

Если вы хотите ограничить трафик SSH определенным IP-адресом для безопасности, это отличный способ сделать это.

$ sudo ufw allow from ##.##.###.### to any port 22

То же самое работает и с диапазонами IP-адресов.

$ sudo ufw allow from 192.168.1.0/24 to any port 445

Как включить UFW

Как только вы разрешите нужные порты, вы можете запустить UFW и включить его при загрузке.

$ sudo ufw enable

Чтобы проверить состояние вашего брандмауэра и используемые правила, выполните:

$ sudo ufw status

Если по какой-то причине вы хотите отключить UFW, вы можете сделать это так же легко.

$ sudo ufw disable

Заключение

Теперь вы готовы начать работу с UFW.

Помните, что это всего лишь строительные блоки, поэтому вы можете собрать все, что сами захотите.

UFW прост, но определенно нужно и возможно объединить эти команды во что-то более сложное.

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий

  1. vlad

    отличная статья.
    в среде debian 10 установил ufw, разрешил порты 80 и 4443, и получил
    странный вывод команды ufw status
    Status: active

    To Action From
    — —— —-
    22 ALLOW Anywhere
    80 ALLOW Anywhere
    443 ALLOW Anywhere
    21/tcp ALLOW Anywhere
    22 (v6) ALLOW Anywhere (v6)
    80 (v6) ALLOW Anywhere (v6)
    443 (v6) ALLOW Anywhere (v6)
    21/tcp (v6) ALLOW Anywhere (v6)
    ==================
    :порты указаны дважды. что это значит ?

    Ответить
    1. cryptoparty автор

      ipv4 и ipv6 это разные моменты 🙂

      Ответить