Как настроить брандмауэр в Ubuntu 18.04

Правильно настроенный брандмауэр — один из наиболее важных аспектов общей безопасности системы. По умолчанию Ubuntu поставляется с инструментом настройки межсетевого экрана под названием UFW (Несложный межсетевой экран).

UFW — это удобный интерфейс для управления правилами брандмауэра iptables, и его основная цель — упростить управление iptables или, как следует из названия, несложно. Брандмауэр Ubuntu разработан как простой способ выполнять основные задачи брандмауэра без изучения iptables. Он не предлагает всех возможностей стандартных команд iptables, но он менее сложен.

В этом руководстве вы узнаете:

• Что такое UFW и его обзор.
• Как установить UFW и выполнить проверку состояния.
• Как использовать IPv6 с UFW.
• Политики UFW по умолчанию.
• Профили приложений .
• Как разрешать и запрещать соединения.
• Журнал межсетевого экрана.
• Как удалить правила UFW.
• Как отключить и сбросить UFW.

Используемые требования к программному обеспечению и условные обозначения

Требования к программному обеспечению и условные обозначения командной строки Linux

Категория	Требования, соглашения или используемая версия программного обеспечения
Система	Ubuntu 18.04
Программное обеспечение	Встроенный брандмауэр Ubuntu UFW
Other	Привилегированный доступ к вашей системе Linux как root или через sudo команда.
Условные обозначения	# — требует, чтобы заданные команды Linux выполнялись с правами root либо непосредственно как пользователь root, либо с помощью команды sudo $ — требует выполнения заданных команд Linux как обычный непривилегированный пользователь

Обзор UFW

Ядро Linux включает подсистему Netfilter , который используется для управления или решения судьбы сетевого трафика, направляемого на ваш сервер или через него. Все современные брандмауэры Linux используют эту систему для фильтрации пакетов.

Система фильтрации пакетов ядра будет бесполезна для администраторов без интерфейса пользовательского пространства для управления ею. Это цель iptables: когда пакет достигает вашего сервера, он будет передан подсистеме Netfilter для принятия, обработки или отклонения на основе правил, предоставленных ему из пользовательского пространства через iptables. Таким образом, iptables — это все, что вам нужно для управления брандмауэром, если вы с ним знакомы, но для упрощения задачи доступно множество интерфейсов.

UFW, или несложный брандмауэр, представляет собой интерфейс для iptables.. Его основная цель — упростить управление вашим брандмауэром и предоставить простой в использовании интерфейс. Он хорошо поддерживается и популярен в сообществе Linux — даже установлен по умолчанию во многих дистрибутивах. Таким образом, это отличный способ обезопасить свой сервер.

Установка UFW и проверки состояния

Несложный брандмауэр должен быть установлен по умолчанию в Ubuntu 18.04, но если он не установлен в вашей системе, вы можете установить пакет с помощью команды:

  $ sudo apt-get install ufw 

После завершения установки вы можете проверить статус UFW с помощью следующей команды:

 $ sudo ufw status verbose 

 ubuntu1804 @ linux  : ~ $ sudo ufw status verbose [sudo] пароль для ubuntu1804: Status: inactiveubuntu1804 @ linux: ~ $ 

 ubuntu1804 @ linux: ~ $ sudo ufw enableCommand может нарушить существующие соединения ssh.  Продолжить операцию (y | n)?  yFirewall активен и включен при запуске системыubuntu1804 @ linux: ~ $ 

 ubuntu1804 @ linux: ~ $ sudo ufw status verboseStatus: activeLogging: on (низкий) По умолчанию: deny (входящий), allow (исходящий)  , отключен (маршрутизирован) Новые профили: skipubuntu1804 @ linux: ~ $ 

Использование IPv6 с UFW

Если ваш сервер настроен для IPv6, убедитесь, что UFW настроен для поддержки IPv6, чтобы настроить правила брандмауэра для IPv4 и IPv6. Для этого откройте конфигурацию UFW с помощью этой команды:

 $ sudo vim/etc/default/ufw 

Затем убедитесь, что для IPV6 установлено значение да , вот так:

 IPV6 = yes 

Сохранить и выйти. Затем перезапустите брандмауэр с помощью следующих команд:

 $ sudo ufw disable $ sudo ufw enable 

Теперь UFW настроит брандмауэр для IPv4 и IPv6, когда это необходимо.

Политика UFW по умолчанию

По умолчанию UFW блокирует все входящие соединения и разрешает все исходящие соединения. Это означает, что любой, кто пытается получить доступ к вашему серверу, не сможет подключиться, если вы специально не откроете порт, в то время как все приложения и службы, работающие на вашем сервере, смогут получить доступ к внешнему миру. Политики по умолчанию определены в файле /etc/default/ufw и могут быть изменены с помощью команды sudo ufw default .

 $ sudo ufw default deny outgoing 

Политики межсетевого экрана являются основой для создания более подробных и определяемых пользователем правил. В большинстве случаев исходные политики UFW по умолчанию являются хорошей отправной точкой.

Профили приложений

При установке пакета с помощью команды apt он добавит профиль приложения в каталог /etc/ufw/applications.d . Профиль описывает услугу и содержит настройки UFW.. Вы можете вывести список всех профилей приложений, доступных на вашем сервере, используя команду:

 $ sudo ufw app list 

В зависимости от пакетов, установленных в вашей системе, вывод будет выглядеть примерно так:

  ubuntu1804 @ linux: ~ $ sudo ufw app list [sudo] пароль для ubuntu1804: Доступные приложения: CUPS OpenSSHubuntu1804 @ linux: ~ $ 

Чтобы найти дополнительную информацию об определенном профиле и включенных правилах, используйте следующую команду:

 $ sudo ufw app info ''  

 ubuntu1804 @ linux: ~ $ sudo ufw app info 'OpenSSH' Профиль: OpenSSHTitle: Сервер защищенной оболочки, замена rshd Описание: OpenSSH - это бесплатная реализация протокола Secure Shell. Порт: 22/tcp  

Как видно из выходных данных выше, профиль OpenSSH открывает порт 22 через TCP.

Разрешить и запретить подключения

Если бы мы включили брандмауэр, он по умолчанию запретил бы все входящие подключения. Следовательно, вам необходимо разрешить/включить соединения в зависимости от ваших потребностей. Соединение можно открыть, указав порт, имя службы или профиль приложения.

 $ sudo ufw allow ssh 

 $ sudo ufw allow http 

 $ sudo ufw allow 80/tcp 

 $  sudo ufw allow 'HTTP' 

Вместо разрешения доступа к отдельным портам UFW также позволяет нам получать доступ к диапазонам портов.

 $ sudo ufw allow 1000: 2000/tcp 

 $ sudo ufw allow 3000: 4000/udp 

Чтобы разрешить доступ ко всем портам с машины с IP-адресом или разрешить доступ к определенному порту вы можете выполнить с помощью следующих команд:

 $ sudo ufw allow from 192.168.1.104 

 $ sudo ufw allow from 192.168.1.104 to any port 22 

Команда для разрешения подключения к подсети IP-адресов:

 $ sudo ufw allow from 192.168.1.0/24 to any port 3306 

Чтобы разрешить доступ к определенному порту и только к определенному сетевому интерфейсу, вам необходимо использовать следующая команда:

 $ sudo ufw allow in on eth1 на любой порт 9992 

Политика по умолчанию для всех входящих подключений настроена на запрет, и если вы не изменили ее, UFW заблокирует все входящие подключения, если вы специально открываете соединение. Чтобы запретить все подключения из подсети и с портом:

 $ sudo ufw deny from 192.168.1.0/24 

 $ sudo ufw deny from 192.168.1.0/24 на любой порт 80  

Журнал брандмауэра

Журналы брандмауэра необходимы для распознавания атак , устранение неполадок правил брандмауэра и обнаружение необычной активности в сети. Однако вы должны включить правила ведения журнала в свой брандмауэр, чтобы они были сгенерированы, и правила ведения журнала должны быть перед любым применимым правилом завершения..

 $ sudo ufw logging on 

Журнал также будет в /var/log/messages , /var/log/syslog , и /var/log/kern.log

Удаление правил UFW

Есть два разных способа удаления правил UFW: по номеру правила и указав фактическое правило . Удалить правила UFW по номеру правила проще, особенно если вы новичок в UFW. Чтобы удалить правило по номеру правила, сначала вам нужно найти номер правила, которое вы хотите удалить, вы можете сделать это с помощью следующей команды:

 $ sudo ufw status numbered 

 ubuntu1804 @ linux: ~ $ sudo ufw status numberedStatus: active To Action From - ------ ---- [1] 22/tcp РАЗРЕШИТЬ В любом месте [2] В любом месте РАЗРЕШИТЬ В 192.168.1.104 [3] 22 /tcp (v6) ALLOW IN Anywhere (v6) 

Чтобы удалить правило номер 2, правило, разрешающее подключения к любому порту с IP-адреса 192.168.1.104, используйте следующую команду:

 $ sudo ufw  удалить 2 

 ubuntu1804 @ linux: ~ $ sudo ufw delete 2Deleting: разрешить с 192.168.1.104Продолжить операцию (y | n)?  yRule deletedubuntu1804 @ linux: ~ $ 

Второй метод — удалить правило, указав фактическое правило.

 $ sudo ufw delete allow 22/tcp 

Отключить и сбросить UFW

Если по какой-либо причине вы хотите остановить UFW и деактивировать все правила, вы можете использовать:

 $ sudo ufw disable 

 ubuntu1804 @ linux: ~ $ sudo ufw disableFirewall остановлен и отключен при запуске системыubuntu1804 @ linux: ~ $ 

Сброс UFW отключит UFW и удалит все активные правила. Это полезно, если вы хотите отменить все изменения и начать все заново. Чтобы сбросить UFW, используйте следующую команду:

 $ sudo ufw reset 

 ubuntu1804 @ linux: ~ $ sudo ufw reset Сброс всех правил на установленные по умолчанию.  Это может нарушить существующие соединения ssh.  Продолжить операцию (y | n)?  y Резервное копирование user.rules в/etc/ufw/user.rules.20181213_084801 «Резервное копирование before.rules в/etc/ufw/before.rules.20181213_084801» Резервное копирование after.rules в/ etc/ufw/after.rules.20181213_084801 "Резервное копирование user6.rules в/etc/ufw/user6.rules.20181213_084801" Резервное копирование before6.rules в/etc/ufw/before6.rules.20181213_084801 "  Резервное копирование after6.rules в/etc/ufw/after6.rules.20181213_084801'ubuntu1804@linux:~$ 

Заключение

UFW разработан для упрощения настройки межсетевого экрана iptables и предоставляет удобный способ создания межсетевого экрана на базе IPv4 или IPv6. Существует множество других утилит брандмауэра, и некоторые из них могут быть проще, но UFW — хороший инструмент обучения, хотя бы потому, что он раскрывает часть базовой структуры netfilter и потому, что он присутствует во многих системах.

---

---

Как включить/отключить брандмауэр в Ubuntu 18.04 Bionic Beaver Linux

Цель

Цель — показать, как включить или отключить брандмауэр в Ubuntu 18. 04 Bionic Beaver Linux

Версии операционной системы и программного обеспечения

• Операционная система: — Ubuntu 18.04 Bionic Beaver Linux

Требования

Потребуется привилегированный доступ к вашей установке Ubuntu 18.04 Bionic Beaver Linux.

Соглашения

• # — требует, чтобы данные команды Linux выполнялись с привилегиями root либо непосредственно как пользователь root, либо с использованием of sudo command
• $ — требует, чтобы данные команды Linux выполнялись как обычный непривилегированный пользователь.

Другие версии этого руководства

Ubuntu 20.04 (Focal Fossa)

Инструкции

Управление UFW из командной строки

Брандмауэр UFW (несложный брандмауэр) брандмауэр по умолчанию в Ubuntu 18.04 Bionic Beaver Linux.

Проверить текущий статус брандмауэра

По умолчанию UFW отключен. Вы можете проверить статус вашего брандмауэра, выполнив следующую команду linux:

 $ sudo ufw status [sudo] пароль для linuxconfig: Status: inactive 

Для более подробного вывода добавьте слово verbose к указанной выше команде:

 $ sudo ufw status verbose 

Enable Firewall

Чтобы включить брандмауэр, выполните:

 $ sudo ufw enableCommand может нарушить  существующие ssh-соединения.  Продолжить операцию (y | n)?  yFirewall активен и включается при запуске системы 

Брандмауэр, теперь включен:

 $ sudo ufw statusStatus: active 

Отключить брандмауэр

UFW довольно интуитивно понятен в использовании. Чтобы отключить брандмауэр, выполните:

 $ sudo ufw disableFirewall остановлен и отключен при запуске системы 

Подтвердите статус брандмауэра:

 $ sudo ufw statusStatus: inactive 

Установите gufw , если вы хотите управлять нашим брандмауэром UFW через приложение с графическим пользовательским интерфейсом. Откройте терминал и введите:

 $ sudo apt install gufw 

После установки запустите Gufw, выполнив поиск в меню «Пуск»: