Поиск по сайту:

Включение, отключение и настройка брандмауэра в Ubuntu 24.04 [Руководство для начинающих]

В этом руководстве для начинающих показано, как включить, отключить и настроить брандмауэр в Ubuntu с помощью UFW.

Брандмауэр — это система сетевой безопасности, которая отслеживает входящий и исходящий сетевой трафик и решает, разрешать или блокировать определенный трафик, на основе заранее определенных правил безопасности.

Ядро Linux имеет подсистему Netfilter, которая реализована как фильтр пакетов и межсетевой экран. Iptablesnftables, преемник iptables) — это инструмент командной строки пользовательского уровня для настройки брандмауэра путем добавления/удаления правил netfilter.

Iptables (и nftables) гораздо более гибок, но очень сложен для новичков. UFW (Несложный межсетевой экран), удобный интерфейс для iptables, о котором я расскажу ниже.

Изображение Pete Linforth с сайта Pixabay

Включить брандмауэр в Ubuntu

UFW обычно предустановлен как в Ubuntu Desktop, так и в сервере, хотя НЕ включен по умолчанию.

На всякий случай вы можете открыть терминал (Ctrl+Alt+T) и запустить команду для его установки:

sudo apt install ufw

Как уже упоминалось, брандмауэр обычно не включен по умолчанию. Чтобы проверить его статус, используйте команду:

sudo ufw status

Он покажет вам «Статус: активно» или «Статус: активно» вместе с добавленными пользователем правилами.

ПРИМЕЧАНИЕ. Поддерживается добавление правил до включения ufw. Для удаленного сервера сначала запустите sudo ufwallow ssh, чтобы внести ssh в белый список, иначе вы потеряете SSH-соединение. Если используется порт SSH, отличный от порта по умолчанию, например порт 1234, вместо этого используйте команду sudo ufwallow 1234/tcp.

Чтобы включить брандмауэр, просто выполните команду:

sudo ufw enable

Если команда выполнена успешно, должно появиться сообщение «Брандмауэр активен и включен при запуске системы».

Настройте брандмауэр с помощью UFW

1. Проверьте статус и добавленные правила.

Как упоминалось выше, вы можете проверить состояние брандмауэра, выполнив команду ниже:

sudo ufw status

Он покажет вам, активирован брандмауэр или нет. Если да, то также отображаются все добавленные пользователем правила.

Однако для проверки добавленных пользователем правил, даже если брандмауэр не активирован, может оказаться полезной эта команда:

sudo ufw show added

2. Настройте политику UFW по умолчанию.

Политика брандмауэра по умолчанию разрешает любой исходящий трафик. Это означает, что с ПК/сервера Ubuntu вы можете получить доступ к любому веб-сайту, использовать команды apt, wget и т. д. для установки/загрузки чего-либо в вашей системе.

Однако входящие по умолчанию отключены. Вам необходимо добавить свои собственные правила, чтобы разрешить внешним системам подключаться к вашему компьютеру. Вся маршрутизация и переадресация также отключены, что является хорошим вариантом по умолчанию, если вы не используете свой компьютер в качестве маршрутизатора.

Чтобы проверить политику по умолчанию, используйте команду:

sudo ufw status verbose

Если вы хотите изменить политику по умолчанию, например запретить исходящие сообщения, используйте команду:

sudo ufw default deny outgoing

После этого, если вы хотите получить доступ к внешним системам, вы можете либо повторно разрешить весь исходящий трафик через:

sudo ufw default allow outgoing

Или вручную добавьте исходящие правила для определенных портов. Например, добавьте ниже правила брандмауэра, чтобы разрешить использование команды apt для установки чего-либо:

sudo ufw allow out 53/udp
sudo ufw allow out 80/tcp

Когда закончите, вы можете удалить правила, чтобы все исходящие сообщения снова были запрещены:

sudo ufw delete allow out 53/udp
sudo ufw delete allow out 80/tcp

3. Добавьте правила UFW

Как и упомянутые выше команды, вы можете использовать команду ufwallow, чтобы разрешить входящий (и/или исходящий) трафик на определенный порт, и использовать команду ufw Deny, чтобы запретить трафик.

Например, разрешить входящий трафик на порт 80 (как TCP, так и UDP) из любого места, используйте команду:

sudo ufw allow 80

Или разрешить входящий порт 53 только для udp, используйте команду:

sudo ufw allow 53/udp

Чтобы быть более конкретным, вы можете указать, откуда разрешен трафик на определенный порт на текущем компьютере. Например, команда ниже позволяет настроить брандмауэр на разрешение удаленного IP-адреса в диапазоне от 192.168.0.0 до 192.168.0.255 для TCP-порта 22 на этом хосте.

sudo ufw allow from 192.168.0.0/24 to any port 22 proto tcp

«any» в последней команде означает любые сетевые интерфейсы на локальном хосте. Чтобы указать определенный IP-адрес на этом хосте, например 192.168.0.100, последняя команда может быть такой:

sudo ufw allow from 192.168.0.0/24 to 192.168.0.100 port 22 proto tcp

Как упоминалось выше, вы также можете использовать имя службы в команде UFW, чтобы разрешить (или запретить) определенный трафик. Например:

sudo ufw allow smtp

Эта команда разрешит порт SMTP 25, даже если служба не установлена. Однако он только и всегда устанавливает порт службы по умолчанию (например, 22 для ssh), даже если используется собственный порт.

4. Удалите правила файловой системы UFW.

Чтобы удалить правила ufw, просто добавьте операцию delete между ufw и allow (или deny ). ) в последних командах, которые вы запускаете.

  • Сначала перечислите добавленные правила с помощью команды:

    sudo ufw show added
  • Затем удалите правило. Например, отмените allow 53/udp:

    sudo ufw delete allow 53/udp

Если ufw находится в активированном состоянии, вы можете перечислить все добавленные правила с номерами строк, а затем удалить их по нужному номеру:

  • Сначала покажите статус ufw, а также добавленные правила с цифрами:

    sudo ufw status numbered
  • Затем удалите первое правило с помощью:

    sudo ufw delete 1

5. Отключите IPv6.

Правила брандмауэра ufw по умолчанию применяются как к IPv6, так и к IPv4.

Если вы хотите исключить IPv6 для всех правил брандмауэра, отредактируйте файл /etc/default/ufw с помощью команды:

sudo nano /etc/default/ufw

Затем измените IPV6=yes на IPV6=no. Наконец, нажмите Ctrl+S, затем Ctrl+X, чтобы выйти. Также запустите sudo ufw reload, чтобы применить изменения.

Или укажите адрес IPv4 в своих правилах. Например:

ufw allow to 0.0.0.0/0 port 80 proto tcp

Это правило разрешит трафик из любого места на порт 80/tcp на этом хосте через все интерфейсы ipv4.

Отключить брандмауэр

Чтобы отключить брандмауэр, просто запустите:

sudo ufw disable

Будет показано «Брандмауэр остановлен и отключен при запуске системы». Однако все добавленные пользователем правила по-прежнему остаются там, хотя и НЕ функционируют.

По выбору вы можете сбросить ufw с помощью команды:

sudo ufw reset

Это отключит брандмауэр (если он включен), а затем сбросит все правила к установленным значениям по умолчанию.

Статьи по данной тематике