Простая настройка фаервола в ufw в ubuntu
ubuntu
ufw
firewall
UFW
Чтобы настроить простой межсетевой экран, не обязательно разбираться с тонкостями работы netfilter или изучать синтаксис iptables. Можно воспользоваться более простой в использовании конфигурационной утилитой ufw
sudo apt install ufw
Программа очень проста в использовании, для включения межсетевого экрана достаточно отдать команду, выполняется единожды при установке в дальнейшем стартует вместе с системой
sudo ufw enable
Для его отключения:
sudo ufw disable
Далее запретить входящие соединения при помощи команд:
sudo ufw default deny
Запретить порт 25
sudo ufw deny 25
Разрешить ssh
sudo ufw allow ssh
Просмотр состояния
sudo ufw status
Просмотр дополнительных сведений
sudo ufw status verbose
Отключение лога
sudo ufw logging off
Включение логов
sudo ufw logging on
Если перезагрузившись status не активен, то можно прописать в
sudo nano /etc/ufw/ufw.conf
ENABLED=yes, вместо no
Так же можно посмотреть файл с дефолтными настройками ufw /etc/default/ufw
статус всегда активен, если добавить программой rcconf или любой подобной утилитой ufw в автостарт
В общем порядок самой простой настройки таков: включение, запрет на входящие.
Обратите внимание, что речь здесь идёт именно о соединениях, а не о входящих пакетах вообще — после команды sudo ufw default deny инициировать входящее соединение с вашей машиной станет невозможно, при этом входящие пакеты для соединений, инициированных вами, приниматься будут.
Например, будет работать ICQ или торрент-клиент, но на машину нельзя будет зайти по telnet или http. Кроме того, ufw позволяет добавлять собственные правила фильтрации трафика, например команда:
sudo ufw allow from 192.168.0.0/24
открывает полный доступ к вашей машине из сети 192.168.0.0/24 обычно подобные адреса используются для организации домашней сети, хотя у вас они могут быть другими. Запретить доступ, скажем, к 80-му tcp-порту его слушает веб\-сервер можно следующим образом:
sudo ufw deny 80
или с помощью iptables
iptables -I INPUT 1 -p tcp --dport 80 -j DROP
Разрешить порт:
sudo ufw allow 8080
Разрешить один порт с определенного хоста:
ufw allow proto tcp from 195.218.237.130 to any port 5901
Разрешить диапазон портов с определенного хоста:
ufw allow proto tcp from 194.48.218.4 to any port 2210:2218
Можно разрешать или запрещать доступ к портам для конкретного диапазона ip-адресов, работать с группой портов, удалять созданные правила и так далее. Притом все изменения применяются немедленно и сохраняются после перезагрузки компьютера. Для получения подробной информации по синтаксису ufw наберите команду: man ufw
Подробный вывод правил:
ufw status verbose
О профилях приложений
Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp. Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d
Вывести список профилей можно с помощью команды:
sudo ufw app list
Доступные приложения: OpenSSH
Детальную информацию по профилю можно просмотреть с помощью команды
sudo ufw app info OpenSSH
Профиль: OpenSSH
Название: Secure shell server, an rshd replacement
Описание: OpenSSH is a free implementation of the Secure Shell protocol.
Порт: 22/tcp
Добавление правил для приложения, команда:
sudo ufw app default allow|deny OpenSSH
После добавления или изменения профиля приложения в файле необходимо дать знать файрволу о новом профиле
sudo ufw app update OpenSSH
Можно в файле hosts.deny /etc/hosts.deny раскомментировать строку #ALL: PARANOID
Предохранение вашей системы от ответов на ping запросы, отключение широковещательных сообщений и включение предупреждений обо всех неправильных сообщениях.
sudo nano /etc/ufw/sysctl.conf
и исправить 0 на 1
# Ignore bogus ICMP errors
net.ipv4.icmp._echo_ignore_broadcasts=1
net.ipv4.icmp._ignore_bogus_error_responses=1
net.ipv4.icmp._echo._ignore_all=1
Затем перезагрузить сеть
sudo /etc/init.d/networking restart
Просканировать порты на открытые можно на онлайн сервисах или с помощью программы nmap
sudo nmap -sT 192.168.1.100
или просканировать все порты системы
sudo nmap -p1-65535 192.168.1.100
ip ставится на который настроен интернет
или
sudo nmap localhost
Источник: http://ubuntulyb.blogspot.ru/2010/02/ufw-ubuntu.html