Налаштуйте брандмауер Ubuntu (UFW) на Ubuntu 18.04

Встановіть UFW

UFW встановлюється за замовчуванням в Ubuntu 18.04, але ви можете перевірити це:

which ufw

Ви повинні отримати такий результат:

/usr/sbin/ufw

Якщо ви не отримуєте вихід, це означає, що UFW не встановлено. Ви можете встановити його самостійно, якщо це так:

sudo apt-get install ufw

Дозволити підключення

Якщо ви використовуєте веб-сервер, ви хочете, щоб світ мав доступ до вашого веб-сайту(-ів). Тому вам потрібно переконатися, що стандартні порти TCP для Інтернету відкриті.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Загалом, ви можете дозволити будь-який потрібний порт, використовуючи такий формат:

sudo ufw allow <port>/<optional: protocol>

Заборонити з'єднання

Якщо вам потрібно заборонити доступ до певного порту, скористайтеся denyкомандою:

sudo ufw deny <port>/<optional: protocol>

Наприклад, ви можете заборонити доступ до свого порту MySQL за замовчуванням:

sudo ufw deny 3306

UFW також підтримує спрощений синтаксис для найпоширеніших сервісних портів:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Настійно рекомендується обмежити доступ до свого порту SSH (за замовчуванням це порт 22) з будь-якого місця, окрім ваших надійних IP-адрес.

Дозволити доступ з надійної IP-адреси

Як правило, вам потрібно буде дозволити доступ лише до публічно відкритих портів, таких як port 80. Доступ до всіх інших портів має бути обмежений або обмежений. Ви можете внести в білий список свою домашню або офісну IP-адресу (бажано статичну IP-адресу), щоб мати можливість отримати доступ до свого сервера через SSH або FTP:

sudo ufw allow from 192.168.0.1 to any port 22

Ви також можете дозволити доступ до порту MySQL:

sudo ufw allow from 192.168.0.1 to any port 3306

Увімкнути UFW

Перш ніж увімкнути (або перезапустити) UFW, вам потрібно переконатися, що порт SSH дозволяє отримувати з’єднання з вашої IP-адреси. Щоб запустити/увімкнути брандмауер UFW, скористайтеся такою командою:

sudo ufw enable

Ви побачите наступний висновок:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Натисніть Y, потім натисніть, ENTERщоб увімкнути брандмауер:

Firewall is active and enabled on system startup

Перевірте статус UFW

Роздрукуйте список правил UFW:

sudo ufw status

Ви побачите вихід, подібний до такого:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Використовуйте verboseпараметр, щоб переглянути докладніший звіт про статус:

sudo ufw status verbose

Цей результат буде нагадувати наступне:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Вимкніть/перезавантажте/перезапустіть UFW

Якщо вам потрібно перезавантажити правила брандмауера, виконайте наступне:

sudo ufw reload

Щоб вимкнути або зупинити UFW:

sudo ufw disable

Щоб перезапустити UFW, вам потрібно буде спочатку вимкнути його, а потім знову включити:

sudo ufw disable
sudo ufw enable

Примітка: перш ніж увімкнути UFW, переконайтеся, що порт SSH дозволений для вашої IP-адреси.

Видалення правил

Щоб керувати правилами UFW, вам потрібно їх перерахувати. Ви можете зробити це, перевіривши статус UFW за допомогою параметра numbered:

sudo ufw status numbered

Ви побачите вихід, подібний до такого:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Тепер, щоб видалити будь-яке з цих правил, вам потрібно буде використати ці числа в квадратних дужках:

sudo ufw delete [number]

Щоб видалити HTTPправило ( 80), скористайтеся такою командою:

sudo ufw delete 1

Увімкнення підтримки IPv6

Якщо ви використовуєте IPv6 на своєму VPS, вам потрібно переконатися, що підтримка IPv6 увімкнена в UFW. Для цього відкрийте файл конфігурації в текстовому редакторі:

sudo vi /etc/default/ufw

Після відкриття переконайтеся, що IPV6встановлено значення "так":

IPV6=yes

Після внесення цієї зміни збережіть файл. Потім перезапустіть UFW, вимкнувши та знову увімкнувши його:

sudo ufw disable
sudo ufw enable

Повернутися до налаштувань за замовчуванням

Якщо вам потрібно повернутися до налаштувань за замовчуванням, просто введіть таку команду. Це поверне будь-які ваші зміни:

sudo ufw reset

Вітаємо, ви щойно налаштували деякі основні правила брандмауера. Щоб дізнатися більше прикладів, перегляньте довідкову Wiki UFW - Community Help .