Настройка UFW в Ubuntu

Практически каждый продвинутый пользователь Ubuntu заинтересован в обеспечении безопасности для своей сети. К тому же многие используют определенные сетевые утилиты, которые будут корректно функционировать только после внесения конкретных правил в межсетевой экран. Сегодня мы хотим поговорить о настройке Firewall на примере UFW (Uncomplicated Firewall). Это самый простой инструмент реализации правил межсетевого экрана, поэтому он рекомендуется начинающим юзерам и тем, кого не устраивает слишком сложная функциональность iptables. Давайте пошагово рассмотрим всю процедуру настройки, разобрав каждый этап максимально подробно.

Настраиваем UFW в Ubuntu

Устанавливать UFW в операционную систему не нужно, поскольку он присутствует там по умолчанию. Однако в стандартном своем виде он неактивен и не имеет вообще никаких правил. Сначала займемся активацией, а потом рассмотрим основные действия. Однако первоочередно следует изучить синтаксис, и особенно это касается тех юзеров, кто планирует задействовать данный межсетевой экран на постоянной основе.

Шаг 1: Изучение синтаксиса

Как известно, UFW — консольная утилита, а это значит, что управление ею осуществляется через стандартный или любой другой пользовательский. Взаимодействие такого рода выполнимо с помощью специально установленных команд. Все они всегда имеются в документации, однако читать огромную кучу материалов не имеет смысла, особенно в случае с сегодняшним инструментом. Принцип ввода выглядит так: sudo ufw опции действие параметры. отвечает за запуск от имени суперпользователя, — стандартный аргумент, обозначающий вызываемую программу, а остальные фразы и определяют устанавливаемые правила. Именно на них мы и хотим остановиться более детально.

• enable — стандартный параметр, отвечающий за включение брандмауэра. При этом он будет автоматически добавлен в автозагрузку.
• disable — отключает UFW и убирает его из автозагрузки.
• reload — используется для перезагрузки Firewall. Особенно актуально после установки новых правил.
• default — обозначает, что следующая опция установится по умолчанию.
• logging — активирует создание лог-файлов, в которых будет храниться вся основная информация о действии межсетевого экрана.
• reset — сбрасывает все настройки до стандартных.
• status — используется для просмотра текущего состояния.
• show — быстрый просмотр отчетов о работе фаервола. К этому параметру применимы дополнительные опции, но о них мы поговорим в отдельном шаге.
• allow — задействован при добавлении разрешающих правил.
• deny — то же самое, но применяется для запрещения.
• reject — добавляет отбрасывающее правило.
• limit — установка лимитирующих правил.
• delete — удаляет указанное правило.
• insert — вставляет правило.

Как видите, команд не так уж и много. Их точно меньше, нежели в других доступных межсетевых экранах, а запомнить синтаксис можно уже через несколько попыток взаимодействия с UFW. Осталось только разобраться с примером конфигурации, чему и будут посвящены следующие этапы сегодняшнего материала.

Шаг 2: Включение/Отключение/Сброс настроек

Мы решили выделить несколько конфигурационных моментов в один этап, поскольку они частично связаны между собой и похожи по реализации. Как вы уже знаете, UFW изначально находится в отключенном состоянии, поэтому давайте активируем его, применив всего одну команду.

1. Откройте панель с приложениями и запустите . Вы можете открыть консоль и другим удобным для вас способом.
2. Прежде чем выполнять активацию, проверьте, возможно, ранее вы или другое приложение уже активировало межсетевой экран. Осуществляется это путем ввода команды sudo ufw status.
3. Введите пароль для получения прав суперпользователя и нажмите . Учтите, что при этом методе ввода символы не отображаются в строке в целях безопасности.
4. В новой строке вы получите информацию о текущем состоянии UFW.
5. Активация фаервола выполняется через уже упомянутый выше параметр, а вся команда выглядит так: sudo ufw enable.
6. Вас уведомит о том, что брандмауэр включен и будет запускаться вместе с операционной системой.
7. Для отключения используйте sudo ufw disable.
8. О деактивации уведомит практически такое же сообщение.
9. В будущем, если потребуется сбросить правила или это нужно сделать уже сейчас, вставьте команду sudo ufw reset и нажмите на клавишу .
10. Подтвердите сброс, выбрав подходящий вариант ответа.
11. Вы увидите шесть различных строк с адресами резервных копий. Можете в любой момент переместиться к этому расположению, чтобы восстановить параметры.

Теперь вы знаете о том, какие именно команды отвечают за управление общим поведением рассматриваемого сегодня Firewall. Все остальные этапы будут нацелены исключительно на конфигурацию, а сами параметры приведены в качестве примера, то есть вы должны изменять их, отталкиваясь от своих потребностей.

Шаг 3: Установка правил по умолчанию

В обязательном порядке следует применить правила по умолчанию, которые будут относиться ко всем входящим и исходящим соединениям, не упомянутых отдельно. Это означает, что все входящие подключения, не обозначенные вручную, будут заблокированы, а исходящие при этом проходят успешно. Вся схема реализуется следующим образом:

1. Запустите новую сессию консоли и введите команду sudo ufw default deny incoming. Активируйте ее нажатием на клавишу . Если вы уже ознакомились с указанными выше правилами синтаксиса, то знаете, что это означает блокировку всех входящих соединений.
2. В обязательном порядке потребуется ввести пароль суперпользователя. Вы будете его указывать каждый раз при запуске нового сеанса консоли.
3. После применения команды вы будете уведомлены о том, что правило по умолчанию вступило в силу.
4. Соответственно, потребуется задать вторую команду, которая будет разрешать исходящие соединения. Выглядит она так: sudo ufw default allow outgoing.
5. Еще раз появится сообщение о применении правила.

Теперь вы можете не беспокоиться о том, что какие-либо неизвестные входящие попытки подключения пройдут успешно и кто-то сумеет получить доступ к вашей сети. Если же вы не собираетесь блокировать абсолютно все входящие попытки соединения, пропустите указанное выше правило и переходите к созданию собственных, детально изучив следующий этап.

Шаг 4: Добавление собственных правил межсетевого экрана

Правила брандмауэра — главная настраиваемая опция, ради которой пользователи и задействуют UFW. Мы на примере инструмента OpenSSH сейчас рассмотрим пример разрешения доступа, а также не забудем и про блокировку по портам. Для начала вам необходимо запомнить дополнительные команды синтаксиса, отвечающие за добавление правил:

• ufw allow имя_службы
• ufw allow порт
• ufw allow порт/протокол

После этого можете смело приступать к созданию разрешающих или запрещающих правил. Давайте по порядку разберемся с каждым типом политик.

1. Используйте sudo ufw allow OpenSSH для открытия доступа к портам службы.
2. Вы будете уведомлены о том, что правила были обновлены.
3. Открыть доступ можно и путем указания порта, а не имени службы, что выглядит так: sudo ufw allow 22.
4. Это же самое происходит и через порт/протокол — sudo ufw allow 22/tcp.
5. После внесения правил проверьте список доступных приложений, введя sudo ufw app list. Если все было применено успешно, необходимая служба отобразится в одной из следующих строк.
6. Что касается разрешений и запрещения передачи трафика по портам, то это осуществляется путем ввода синтаксиса ufw allow направление порт. На скриншоте далее вы видите пример разрешения исходящего трафика по порту (sudo ufw allow out 80/tcp), а также запрещающую политику по этому же направлению во входящую сторону (sudo ufw deny in 80/tcp).
7. Если вас интересует пример добавления политики путем ввода более широкого обозначения синтаксиса, используйте пример ufw allow proto протокол from ip_источника to ip_назначения port порт_назначения.

Шаг 5: Установка правил limit

Мы вынесли тему установки правил limit в отдельный этап, поскольку об этом необходимо поговорит подробнее. Данное правило ограничивает количество подключенных IP-адресов к одному порту. Наиболее очевидное применение этого параметра — защита от атак, которые подразумевают перебор паролей. Осуществляется установка стандартной политики так:

1. В консоли пропишите sudo ufw limit ssh/tcp и нажмите на .
2. Введите пароль от своей учетной записи суперпользователя.
3. Вы будете уведомлены о том, что обновление правил прошло успешно.

Точно таким же образом устанавливаются политики ограничений и на другие приложения. Используйте для этого название службы, порт или порт/протокол.

Шаг 6: Просмотр состояния UFW

Иногда юзеру требуется посмотреть текущее состояние брандмауэра не только в плане активности, но и установленных правил. Для этого существует отдельная команда, о которой мы говорили ранее, а сейчас рассмотрим ее более детально.

1. Пропишите sudo ufw status, чтобы получить стандартные сведения.
2. В новых строках будут отображены все установленные политики по адресам, протоколам и названиям служб. Справа показаны действия и направления.
3. Более детальные сведения отображаются при использовании дополнительного аргумента, а команда приобретает вид sudo ufw status verbose.
4. Список всех правил в непонятном для начинающих юзеров виде выводится через sudo ufw show raw.

Есть и другие опции, отображающие определенные сведения о существующих правилах и состоянии межсетевого экрана. Давайте вкратце пробежимся по всем ним:

• raw — показывает все активные правила, используя формат представления iptables.
• builtins — включает только правила, добавленные в качестве по умолчанию.
• before-rules — отображает политики, выполняемые перед принятием пакета из внешнего источника.
• user-rules — соответственно, показывает добавленные пользователем политики.
• after-rules — то же самое, что и before-rules, но включает только те правила, которые активируются уже после принятия пакетов.
• logging-rules — показывает сведения о событиях, которые записываются в журнал.
• listening — используется для просмотра активных (прослушиваемых) портов.
• added — задействован при просмотре недавно добавленных правил.

В необходимый для вас момент вы можете использовать любую из этих опций, чтобы получить желаемую информацию и задействовать ее в своих целях.

Шаг 7: Удаление существующих правил

Некоторые пользователи, получив нужные сведения о существующих правилах, желают удалить некоторые из них, чтобы наладить соединение или задать новые политики. Рассматриваемый брандмауэр позволяет сделать это в любой доступный момент, что осуществляется так:

1. Вставьте команду sudo ufw delete allow out 80/tcp. Она автоматически удалит правило, разрешающее исходящие соединения через порт/протокол 80/tcp.
2. Вы будете уведомлены о том, что политика успешно удалена как для протокола IPv4, так и для IPv6.
3. Это же касается и запрещающих соединений, например, sudo ufw delete deny in 80/tcp.

Используйте опции просмотра состояния, чтобы скопировать требуемые правила и удалить их так же, как это было продемонстрировано в примере.

Шаг 8: Включение логирования

Последний этап сегодняшней статьи подразумевает активацию опции, которая автоматически время от времени будет сохранять информацию о поведении UFW в отдельный файл. Необходима она далеко не всем пользователям, а применяется так:

1. Напишите sudo ufw logging on и нажмите .
2. Дождитесь появления уведомления о том, что журнал теперь будет сохраняться.
3. Вы можете применить и другую опцию, например, sudo ufw logging medium. Существует еще (сохраняет сведения только о заблокированных пакетах) и (сохраняет всю информацию). Средний вариант записывает в журнал заблокированные и разрешенные пакеты.

Выше вы изучили целых восемь этапов, которые используются для настройки брандмауэра UFW в операционной системе Ubuntu. Как видите, это очень простой межсетевой экран, который подойдет даже начинающим юзерам из-за легкости освоения синтаксиса. UFW еще можно смело назвать хорошей заменой стандартному iptables, если он вас не устраивает.

Мы рады, что смогли помочь Вам в решении проблемы.
Помимо этой статьи, на сайте еще 13047 полезных инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам. Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Источник: starhit