Ядро Linux в Ubuntu предоставляет систему фильтрации пакетов под названием netfilter, а традиционным интерфейсом для работы с netfilter является набор команд iptables.
iptables представляет собой полноценное решение для межсетевого экранирования, обладающее высокой конфигурацией и гибкостью.
Освоение iptables требует времени, и начать работу с брандмауэром netfilter, используя только iptables, может оказаться непростой задачей.
В результате за прошедшие годы было создано множество фронтендов для iptables, каждый из которых пытался достичь разных результатов и был ориентирован на разную аудиторию.
Uncomplicated Firewall (ufw) является интерфейсом для iptables и особенно хорошо подходит для брандмауэров на базе хоста.
ufw предоставляет основу для управления netfilter, а также интерфейс командной строки для работы с брандмауэром.
ufw стремится предоставить простой в использовании интерфейс для людей, незнакомых с концепциями брандмауэра, и в то же время упростить сложные команды iptables, чтобы помочь администратору, который знает, что делает. ufw является восходящим потоком для других дистрибутивов и графических интерфейсов.
Настройка переадресации портов
Мы собираемся перенаправлять входящий трафик c порта 8000 на 8081.
Включение UFW
Если UFW еще не включен, начните с включения UFW.
Выполните в терминале следующую команду:
Откройте конфигурационный файл UFW: Для настройки проброса портов необходимо отредактировать конфигурационный файл UFW, расположенный по адресу /etc/default/ufw.
Например nano:
Включите переадресацию пакетов: В конфигурационном файле UFW найдите строку, в которой говорится
DEFAULT_FORWARD_POLICY=”DROP”
Измените DROP на ACCEPT так, чтобы это выглядело следующим образом:
DEFAULT_FORWARD_POLICY=”ACCEPT”
Это изменение позволяет UFW пересылать пакеты, что необходимо для переадресации портов.
DEFAULT_FORWARD_POLICY="ACCEPT"
Нажмите Ctrl+O для сохранения изменений, затем Ctrl+X для выхода из nano.
Модификация правил “перед” UFW: В UFW используется набор правил “before rules”, которые выполняются перед стандартными правилами.
Эти правила могут быть использованы для настройки переадресации портов.
Добавьте в конец файла следующие строки, заменив <your-ip> на IP-адрес машины, на которую будут перенаправляться пакеты:
*nat :POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp --dport 8000 -j DNAT --to-destination <your-ip>:8081 -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE COMMIT
Нажмите Ctrl+O для сохранения изменений, затем Ctrl+X для выхода из nano.
Перезапустите UFW:
Наконец, чтобы изменения вступили в силу
см. также: