Configurați Firewall-ul Ubuntu (UFW) pe Ubuntu 18.04

• Instalați UFW
• Permiteți conexiunile
• Refuză conexiunile
• Permiteți accesul de la o adresă IP de încredere
• Activați UFW
• Verificați starea UFW
• Dezactivați / reîncărcați / reporniți UFW
• Eliminarea regulilor
• Activarea suportului IPv6
• Înapoi la setările implicite

Instalați UFW

UFW este instalat în mod implicit în Ubuntu 18.04, dar puteți verifica acest lucru:

which ufw

Ar trebui să primiți următoarea ieșire:

/usr/sbin/ufw

Dacă nu primiți ieșire, asta înseamnă că UFW nu este instalat. Puteți să-l instalați singur dacă acesta este cazul:

sudo apt-get install ufw

Permiteți conexiunile

Dacă executați un server web, doriți ca lumea să poată accesa site-urile dvs. web. Prin urmare, trebuie să vă asigurați că porturile TCP implicite pentru web sunt deschise.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

În general, puteți permite orice port de care aveți nevoie folosind următorul format:

sudo ufw allow <port>/<optional: protocol>

Refuză conexiunile

Dacă doriți să refuzați accesul la un anumit port, utilizați denycomanda:

sudo ufw deny <port>/<optional: protocol>

De exemplu, puteți refuza accesul la portul implicit MySQL:

sudo ufw deny 3306

UFW acceptă, de asemenea, o sintaxă simplificată pentru cele mai comune porturi de servicii:

root@ubuntu:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

Este foarte recomandat să restricționați accesul la portul SSH (implicit, acesta este port 22), de oriunde, cu excepția adreselor IP de încredere.

Permiteți accesul de la o adresă IP de încredere

În mod obișnuit, va trebui să permiteți accesul numai la porturile deschise public, precum portul 80. Accesul la toate celelalte porturi ar trebui să fie restricționat sau limitat. Puteți lista cu adresa de domiciliu a IP sau de birou (de preferință un IP static) pentru a vă putea accesa serverul prin SSH sau FTP:

sudo ufw allow from 192.168.0.1 to any port 22

Puteți permite, de asemenea, accesul la portul MySQL:

sudo ufw allow from 192.168.0.1 to any port 3306

Activați UFW

Înainte de a activa (sau de a reporni) UFW, trebuie să vă asigurați că portul SSH are voie să primească conexiuni de la adresa dvs. IP. Pentru a porni / activa firewall-ul UFW, utilizați următoarea comandă:

sudo ufw enable

Veți vedea următoarea ieșire:

root@ubuntu:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Apăsați Y, apoi apăsați ENTERpentru a activa firewall-ul:

Firewall is active and enabled on system startup

Verificați starea UFW

Tipăriți lista de reguli UFW:

sudo ufw status

Veți vedea o ieșire similară cu următoarele:

Status: active

To                         Action      From
--                         ------      ----
80/tcp                     DENY        Anywhere
443/tcp                    DENY        Anywhere
3306                       DENY        Anywhere
22                         ALLOW       192.168.0.1
3306                       ALLOW       192.168.0.1
80/tcp (v6)                DENY        Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)
3306 (v6)                  DENY        Anywhere (v6)

Utilizați verboseparametrul pentru a vedea un raport de stare mai detaliat:

sudo ufw status verbose

Această ieșire va semăna cu următoarele:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     DENY IN     Anywhere
443/tcp                    DENY IN     Anywhere
3306                       DENY IN     Anywhere
22                         ALLOW IN    192.168.0.1
3306                       ALLOW IN    192.168.0.1
80/tcp (v6)                DENY IN     Anywhere (v6)
443/tcp (v6)               DENY IN     Anywhere (v6)
3306 (v6)                  DENY IN     Anywhere (v6)

Dezactivați / reîncărcați / reporniți UFW

Dacă trebuie să reîncărcați regulile de firewall, executați următoarele:

sudo ufw reload

Dezactivați sau opriți UFW:

sudo ufw disable

Pentru a reporni UFW, mai întâi va trebui să îl dezactivați, apoi să îl activați din nou:

sudo ufw disable
sudo ufw enable

Notă: Înainte de a activa UFW, asigurați-vă că portul SSH este permis pentru adresa dvs. IP.

Eliminarea regulilor

Pentru a gestiona regulile UFW, trebuie să le enumerați. Puteți face acest lucru verificând starea UFW cu parametrul numbered:

sudo ufw status numbered

Veți vedea o ieșire similară cu următoarele:

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80/tcp                     DENY IN     Anywhere
[ 2] 443/tcp                    DENY IN     Anywhere
[ 3] 3306                       DENY IN     Anywhere
[ 4] 22                         ALLOW IN    192.168.0.1
[ 5] 3306                       ALLOW IN    192.168.0.1
[ 6] 80/tcp (v6)                DENY IN     Anywhere (v6)
[ 7] 443/tcp (v6)               DENY IN     Anywhere (v6)
[ 8] 3306 (v6)                  DENY IN     Anywhere (v6)

Acum, pentru a elimina oricare dintre aceste reguli, va trebui să utilizați aceste numere între paranteze pătrate:

sudo ufw delete [number]

Pentru a elimina HTTPregula, ( 80), utilizați următoarea comandă:

sudo ufw delete 1

Activarea suportului IPv6

Dacă utilizați IPv6 pe VPS, trebuie să vă asigurați că suportul IPv6 este activat în UFW. Pentru a face acest lucru, deschideți fișierul de configurare într-un editor de text:

sudo vi /etc/default/ufw

Odată deschis, asigurați-vă că IPV6este setat pe „da”:

IPV6=yes

După efectuarea acestei modificări, salvați fișierul. Apoi, reporniți UFW prin dezactivarea și reabilitarea acestuia:

sudo ufw disable
sudo ufw enable

Înapoi la setările implicite

Dacă trebuie să reveniți la setările implicite, pur și simplu introduceți comanda următoare. Aceasta va reveni la oricare dintre modificările dvs.:

sudo ufw reset

Felicitări, tocmai ați configurat câteva reguli de bază pentru firewall. Pentru a afla mai multe exemple, consultați Wiki UFW - Community Help .