Простая настройка фаервола в ufw в ubuntu
ubuntu
ufw
firewall
UFW
Чтобы настроить простой межсетевой экран, не обязательно разбираться с тонкостями работы netfilter или изучать синтаксис iptables. Можно воспользоваться более простой в использовании конфигурационной утилитой ufw
Программа очень проста в использовании, для включения межсетевого экрана достаточно отдать команду, выполняется единожды при установке в дальнейшем стартует вместе с системой
Для его отключения:
Далее запретить входящие соединения при помощи команд:
Запретить порт 25
Разрешить ssh
Просмотр состояния
Просмотр дополнительных сведений
Отключение лога
Включение логов
Если перезагрузившись status не активен, то можно прописать в
ENABLED=yes, вместо no
Так же можно посмотреть файл с дефолтными настройками ufw /etc/default/ufw
статус всегда активен, если добавить программой rcconf или любой подобной утилитой ufw в автостарт
В общем порядок самой простой настройки таков: включение, запрет на входящие.
Обратите внимание, что речь здесь идёт именно о соединениях, а не о входящих пакетах вообще — после команды sudo ufw default deny инициировать входящее соединение с вашей машиной станет невозможно, при этом входящие пакеты для соединений, инициированных вами, приниматься будут.
Например, будет работать ICQ или торрент-клиент, но на машину нельзя будет зайти по telnet или http. Кроме того, ufw позволяет добавлять собственные правила фильтрации трафика, например команда:
открывает полный доступ к вашей машине из сети 192.168.0.0/24 обычно подобные адреса используются для организации домашней сети, хотя у вас они могут быть другими. Запретить доступ, скажем, к 80-му tcp-порту его слушает веб\-сервер можно следующим образом:
или с помощью iptables
Разрешить порт:
Разрешить один порт с определенного хоста:
Разрешить диапазон портов с определенного хоста:
Можно разрешать или запрещать доступ к портам для конкретного диапазона ip-адресов, работать с группой портов, удалять созданные правила и так далее. Притом все изменения применяются немедленно и сохраняются после перезагрузки компьютера. Для получения подробной информации по синтаксису ufw наберите команду: man ufw
Подробный вывод правил:
О профилях приложений
Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp. Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d
Вывести список профилей можно с помощью команды:
Детальную информацию по профилю можно просмотреть с помощью команды
Профиль: OpenSSH
Название: Secure shell server, an rshd replacement
Описание: OpenSSH is a free implementation of the Secure Shell protocol.
Порт: 22/tcp
Добавление правил для приложения, команда:
После добавления или изменения профиля приложения в файле необходимо дать знать файрволу о новом профиле
Можно в файле hosts.deny /etc/hosts.deny раскомментировать строку #ALL: PARANOID
Предохранение вашей системы от ответов на ping запросы, отключение широковещательных сообщений и включение предупреждений обо всех неправильных сообщениях.
и исправить 0 на 1
# Ignore bogus ICMP errors
net.ipv4.icmp._echo_ignore_broadcasts=1
net.ipv4.icmp._ignore_bogus_error_responses=1
net.ipv4.icmp._echo._ignore_all=1
Затем перезагрузить сеть
Просканировать порты на открытые можно на онлайн сервисах или с помощью программы nmap
или просканировать все порты системы
ip ставится на который настроен интернет
или
Источник: http://ubuntulyb.blogspot.ru/2010/02/ufw-ubuntu.html