Простая настройка фаервола в ufw в ubuntu
UFW
Чтобы настроить простой межсетевой экран, не обязательно разбираться с тонкостями работы netfilter или изучать синтаксис iptables.
Можно воспользоваться более простой в использовании конфигурационной утилитой ufw.
Для включения межсетевого экрана достаточно отдать команду, выполняется единожды при установке в дальнейшем стартует вместе с системой.
Для его отключения:
Далее запретить входящие соединения при помощи команд:
Запретить порт 25:
Разрешить ssh:
Просмотр состояния:
Просмотр дополнительных сведений:
Отключение лога:
Включение логов:
Если перезагрузившись status не активен, то можно прописать в файле /etc/ufw/ufw.conf:
Так же можно посмотреть файл с дефолтными настройками ufw /etc/default/ufw.
Статус всегда активен, если добавить программой rcconf или любой подобной утилитой ufw в автостарт.
В общем порядок самой простой настройки таков: включение, запрет на входящие.
Обратите внимание, что речь здесь идёт именно о соединениях, а не о входящих пакетах вообще — после команды sudo ufw default deny
инициировать входящее соединение с вашей машиной станет невозможно, при этом входящие пакеты для соединений, инициированных вами, приниматься будут.
Например, будет работать ICQ или торрент-клиент, но на машину нельзя будет зайти по telnet или http.
Кроме того, ufw позволяет добавлять собственные правила фильтрации трафика, например команда:
Открывает полный доступ к вашей машине из сети 192.168.0.0/24
Запретить доступ, скажем, к 80-му tcp-порту можно следующим образом:
или с помощью iptables:
Разрешить порт:
Разрешить один порт с определенного хоста:
Разрешить диапазон портов с определенного хоста:
Можно разрешать или запрещать доступ к портам для конкретного диапазона ip-адресов, работать с группой портов, удалять созданные правила и так далее.
Притом все изменения применяются немедленно и сохраняются после перезагрузки компьютера.
Для получения подробной информации по синтаксису ufw наберите команду: man ufw
Подробный вывод правил:
О профилях приложений
Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp. Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d
Вывести список профилей можно с помощью команды:
Детальную информацию по профилю можно просмотреть с помощью команды
Профиль: OpenSSH
Название: Secure shell server, an rshd replacement
Описание: OpenSSH is a free implementation of the Secure Shell protocol.
Порт: 22/tcp
Добавление правил для приложения, команда:
После добавления или изменения профиля приложения (в файле) необходимо дать знать файрволу о новом профиле:
Можно в файле hosts.deny (/etc/hosts.deny) раскомментировать строку #ALL: PARANOID
Предохранение вашей системы от ответов на ping запросы, отключение широковещательных сообщений и включение предупреждений обо всех неправильных сообщениях.
и исправить 0 на 1
# Ignore bogus ICMP errors
net.ipv4.icmp._echo_ignore_broadcasts=1
net.ipv4.icmp._ignore_bogus_error_responses=1
net.ipv4.icmp._echo._ignore_all=1
Затем перезагрузить сеть:
Просканировать порты на открытые можно на онлайн сервисах или с помощью программы nmap:
или просканировать все порты системы:
ip ставится на который настроен интернет или