Ubuntu 14.04で複雑でないファイアウォール（UFW）を構成する

• UFWをインストールする
• 接続を許可
• 接続を拒否する
• 信頼できるIPアドレスからのアクセスを許可する
• UFWを有効にする
• UFWステータスを確認する
• UFWの無効化/再読み込み/再起動
• ルールを削除する
• IPv6サポートを有効にする
• デフォルト設定に戻す
• 結論

独自のサーバーを実行する場合、セキュリティは非常に重要です。承認されたユーザーのみがサーバー、構成、およびサービスにアクセスできるようにする必要があります。

Ubuntuでは、ファイアウォールがプリロードされています。これはUFW（Uncomplicated Firewall）と呼ばれています。UFWは非常に基本的なファイアウォールですが、ユーザーフレンドリーで、トラフィックのフィルタリングに優れており、優れたドキュメントがあります。Linuxの基本的な知識があれば、このファイアウォールを自分で構成するのに十分です。

UFWをインストールする

UFWは通常、デフォルトでUbuntuにインストールされることに注意してください。しかし、どちらかといえば、自分でインストールできます。UFWをインストールするには、次のコマンドを実行します。

sudo apt-get install ufw

接続を許可

あなたがウェブサーバーを走らせているなら、あなたは明らかに世界中があなたのウェブサイトにアクセスできるようにしたいです。したがって、WebのデフォルトのTCPポートが開いていることを確認する必要があります。

sudo ufw allow 80/tcp

通常、次の形式を使用して、必要なポートを許可できます。

sudo ufw allow <port>/<optional: protocol>

接続を拒否する

特定のポートへのアクセスを拒否する必要がある場合は、これを使用します。

sudo ufw deny <port>/<optional: protocol>

たとえば、デフォルトのMySQLポートへのアクセスを拒否してみましょう。

sudo ufw deny 3306

UFWは、最も一般的なサービスポートの簡略化された構文もサポートしています。

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

信頼できるIPアドレス（例：オフィスまたは自宅）以外からSSHポート（デフォルトではポート22）へのアクセスを制限することを強くお勧めします。

信頼できるIPアドレスからのアクセスを許可する

通常、ポート80などの公開されているポートへのアクセスのみを許可する必要があります。他のすべてのポートへのアクセスは制限または制限する必要があります。SSH / FTP経由でサーバーにアクセスできるように、ホーム/オフィスのIPアドレス（静的IPが望ましい）をホワイトリストに登録できます。

sudo ufw allow from 192.168.0.1 to any port 22

MySQLポートへのアクセスも許可しましょう。

sudo ufw allow from 192.168.0.1 to any port 3306

今よく見えます。次へ移りましょう。

UFWを有効にする

UFWを有効（または再開）する前に、SSHポートがIPアドレスからの接続の受信を許可されていることを確認する必要があります。UFWファイアウォールを開始/有効にするには、次のコマンドを使用します。

sudo ufw enable

これが表示されます：

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

タイプYは、押してくださいファイアウォールを有効にします。

Firewall is active and enabled on system startup

UFWステータスを確認する

すべてのルールを確認してください。

sudo ufw status

次のような出力が表示されます。

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

「詳細」パラメータを使用して、より詳細なステータスレポートを表示します。

sudo ufw status verbose

UFWの無効化/再読み込み/再起動

UFWを無効（停止）するには、次のコマンドを実行します。

sudo ufw disable

UFW（再読み込みルール）を再読み込みする必要がある場合は、以下を実行します。

sudo ufw reload

UFWを再起動するには、まずUFWを無効にしてから、再度有効にする必要があります。

sudo ufw disable
sudo ufw enable

繰り返しますが、UFWを有効にする前に、SSHポートがIPアドレスに対して許可されていることを確認してください。

ルールを削除する

UFWルールを管理するには、それらをリストする必要があります。これは、パラメーター "numbered"でUFWステータスを確認することで実行できます。次のような出力が表示されます。

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

角括弧内の数字に気づきましたか？これらのルールを削除するには、これらの数値を使用する必要があります。

sudo ufw delete [number]

IPv6サポートを有効にする

VPSでIPv6を使用する場合は、UFWでIPv6サポートが有効になっていることを確認する必要があります。これを行うには、テキストエディターで構成ファイルを開きます。

sudo nano /etc/default/ufw

開いたら、それIPV6が「はい」に設定されていることを確認します。

IPV6=yes

この変更を行った後、ファイルを保存します。次に、UFWを無効にしてから再度有効にし、UFWを再起動します。

sudo ufw disable
sudo ufw enable

デフォルト設定に戻す

デフォルト設定に戻す必要がある場合は、次のコマンドを入力してください。これにより、変更が元に戻ります。

sudo ufw reset

結論

全体として、UFWは最も一般的なハッキングの試みからVPSを保護することができます。もちろん、セキュリティ対策はUFWを使用するよりも詳細でなければなりません。しかし、それは良い（そして必要な）スタートです。

UFWの使用例がさらに必要な場合は、UFW-Community Help Wikiを参照してください。