🖧 Настройка переадресации портов с помощью Uncomplicated Firewall(UFW)

Ядро Linux в Ubuntu предоставляет систему фильтрации пакетов под названием netfilter, а традиционным интерфейсом для работы с netfilter является набор команд iptables.

iptables представляет собой полноценное решение для межсетевого экранирования, обладающее высокой конфигурацией и гибкостью.

Освоение iptables требует времени, и начать работу с брандмауэром netfilter, используя только iptables, может оказаться непростой задачей.

В результате за прошедшие годы было создано множество фронтендов для iptables, каждый из которых пытался достичь разных результатов и был ориентирован на разную аудиторию.

Uncomplicated Firewall (ufw) является интерфейсом для iptables и особенно хорошо подходит для брандмауэров на базе хоста.

ufw предоставляет основу для управления netfilter, а также интерфейс командной строки для работы с брандмауэром.

ufw стремится предоставить простой в использовании интерфейс для людей, незнакомых с концепциями брандмауэра, и в то же время упростить сложные команды iptables, чтобы помочь администратору, который знает, что делает. ufw является восходящим потоком для других дистрибутивов и графических интерфейсов.

Настройка переадресации портов

Мы собираемся перенаправлять входящий трафик c порта 8000 на 8081.

Включение UFW

Если UFW еще не включен, начните с включения UFW.

Выполните в терминале следующую команду:

sudo ufw enable
   

Откройте конфигурационный файл UFW: Для настройки проброса портов необходимо отредактировать конфигурационный файл UFW, расположенный по адресу /etc/default/ufw.

Например nano:

sudo nano /etc/default/ufw
   

Включите переадресацию пакетов: В конфигурационном файле UFW найдите строку, в которой говорится

DEFAULT_FORWARD_POLICY=”DROP”

Измените DROP на ACCEPT так, чтобы это выглядело следующим образом:

DEFAULT_FORWARD_POLICY=”ACCEPT”

Это изменение позволяет UFW пересылать пакеты, что необходимо для переадресации портов.

DEFAULT_FORWARD_POLICY="ACCEPT"

Нажмите Ctrl+O для сохранения изменений, затем Ctrl+X для выхода из nano.

Модификация правил “перед” UFW: В UFW используется набор правил “before rules”, которые выполняются перед стандартными правилами.

Эти правила могут быть использованы для настройки переадресации портов.

sudo nano /etc/ufw/before.rules
   

Добавьте в конец файла следующие строки, заменив <your-ip> на IP-адрес машины, на которую будут перенаправляться пакеты:

*nat
:POSTROUTING ACCEPT [0:0]
 
-A PREROUTING -p tcp --dport 8000 -j DNAT --to-destination <your-ip>:8081
 
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
 
COMMIT

Нажмите Ctrl+O для сохранения изменений, затем Ctrl+X для выхода из nano.

Перезапустите UFW:

Наконец, чтобы изменения вступили в силу

sudo ufw disable
sudo ufw enable
   

см. также:

• 🛡️ Все, что нужно знать о логах UFW
• 🛡️ Как добавить комментарии к правилу брандмауэра UFW?
• 🐳 Как использовать Docker с UFW параллельно
• 🛡️ Как составить список правил брандмауэра UFW
• 🛡️ Параметры команды ufw
• 🖧 Как ограничить ssh с помощью UFW
• 🛡️ Лучший фаерволл для Linux