Міжмережевий екран, він же firewall (файрвол, фаєрвол або фаєрвол) служить для автоматичної обробки та фільтрації мережевого трафіку. Оскільки не всі дані, що передаються по мережі, корисні і безпечні, виникла необхідність перевіряти і обробляти їх «на льоту».
Цикл статей про фаєрволі UFW.
Коротко про UFW.
Щоб краще зрозуміти, про що йде мова, уявіть багатоквартирний будинок. Сотні або навіть тисячі людей входять і виходять щодня. Серед них є власники квартир, їх домочадці, гості, а також люди, яких ніхто не запрошував - грабіжники, шахраї і просто продавці нікому не потрібних речей, набридають жителям. Фаєрвол в даному прикладі - це строгий консьєрж на вході. Він знає і без проблем пропускає кожного мешканця, а тих, кого не знає - ретельно перевіряє. Майно і спокій мешканців будинку при цьому знаходяться в безпеці.
Включення фаервола і створення найпростіших правил.
За замовчуванням в Ubuntu 16.04 UFW відключений. Для перевірки його поточного стану використовуйте команду:
sudo ufw status
Прагнучи полегшити життя користувачам, розробники сформували конфігурацію фаервола, яка підходить для більшості домашніх ПК. Тому на своєму комп'ютері можете сміливо включати UFW командою:
sudo ufw enable
На сервері, особливо виконуючому будь-яку роботу, краще попередньо з'ясувати, які правила фільтрації будуть застосовані і, в разі необхідності, внести свої поправки.
Перш за все, давайте розберемося з загальними принципами роботи UFW. Вхідні і вихідні пакети перевіряються на предмет відповідності існуючим правилам фільтрації, після чого виконується дія, встановлене для цього правила. Якщо відповідне правило не знайдено, використовується дію, встановлене за замовчуванням. Дії можуть бути такими:
- Allow - пропустити (т. Е. Дозволити);
- Deny - заблокувати (заборонити);
- Reject - відхилити і відправити назад спеціальний код, який повідомляє, що пакет був відхилений.
Після включення фаервола можна подивитися, які правила використовуються в даний момент:
sudo ufw status verbose
Результат буде приблизно таким:
На скріншоті вище ми бачимо, що за замовчуванням дозволено весь вихідний трафік і заборонений весь вхідний. Створені правила скасовують заборону вхідного трафіку для портів 80, 22 і 1194 / udp.
Якщо ви налаштовуєте сервер, до якого підключилися по SSH, перш за все необхідно вирішити підключення до порту 22:
sudo ufw allow 22
З великою часткою ймовірності вам доведеться відкрити деякі з наступних портів:
- 80 для HTTP,
- 443 для HTTPS,
- 20 і 21 для FTP,
- 25 для SMTP (відправка пошти),
- 465 для SMTPS (відправка пошти з шифруванням),
- 143 для IMAP (отримання пошти),
- 993 для IMAPS (отримання пошти з шифруванням) і т. Д.
На щастя, запам'ятовувати всі порти не обов'язково, оскільки UFW має набір попередньо правил для часто використовуваних сервісів. Завдяки цьому ми можемо дозволити FTP ось так:
sudo ufw allow ftp
Можна дозволити доступ до порту тільки з одного IP. Наприклад, ви хочете зробити так, щоб тільки ви могли підключитися по FTP до свого сервера. Тоді на сервері потрібно включити фаєрвол і виконати наступне:
sudo ufw allow ftp from ваш_ip
Майте на увазі: по-перше, IP повинен бути зовнішнім, по-друге - статичним. Якщо ви допустите помилку, то самі не зможете підключитися. У більшості провайдерів статичний ip можна отримати за невелику окрему плату.
Заборонні правила створюються приблизно таким же чином. Заборонимо доступ до порту 110:
sudo ufw deny 110
sudo ufw reject ftp comment 'FTP temporarily closed. Please, come back tomorrow. '
Видалення правил UFW.
Якщо ви хочете відзначити дозволяє правило, не потрібно створювати забороняє, просто видаліть його. Наприклад, якщо за замовчуванням вхідний трафік заборонений, але ви дозволили підключення до порту 443, а тепер хочете скасувати такий дозвіл, виконайте в консолі:
sudo ufw delete allow 443
Є й інший спосіб: вивести всі правила нумерованим списком, після чого вказати номер правила, яке ви бажаєте видалити. Виведемо список і видалимо правило під номером 1:
sudo ufw status numbered
sudo ufw delete 1
До нових публікацій!
Вам також може сподобатися:
- Фаєрвол UFW. Базова настройка ...
- GUFW: зручна графічна оболонка
- LAMP в Ubuntu: apache2.conf і .htaccess
- Samba. Установка і проста ...
