Top-25-ufw-firewall-commands-every-Linux-Admin-Should-Know

Лучшие 25 команд брандмауэра UFW, которые должен знать каждый администратор Linux

Лучшие 25 команд брандмауэра UFW, которые должен знать каждый администратор Linux — читайте наш топ и становитесь специалистом IT!

Содержание:

Что такое UFW?
Какая настройка по умолчанию для UFW Firewall?

  1. Проверка версии Ubuntu Firewall
  2. Проверка состояния брандмауэра Ubuntu
  3. Проверка правил брандмауэра с номерами
  4. Удаление правила брандмауэра UFW по его номеру
  5. Включение брандмауэра Ubuntu
  6. Отключение Ubuntu UFW Firewall
  7. Проверка разрешений приложения через брандмауэр
  8. Перезагрузка Linux UFW Firewall
  9. Сброс UFW брандмауэр
  10. Блокировка 80го порта трафика
  11. Разрешение только TCP-соединений с портом 80
  12. Запрет входящих UDP-соединений с портом 80
  13. Запрет исходящего трафика NTP
  14. Разрешение исходящего трафика NTP
  15. Разрешение входящего трафика NTP
  16. Разрешение трафика БД Oracle с определенного IP-адреса
  17. Разрешение трафика БД Oracle из определенной подсети
  18. Запрет трафика БД Oracle с определенного IP-адреса
  19. Разрешение трафика БД MySQL из определенной подсети
  20. Разрешение трафика БД Oracle на определенном сетевом интерфейсе
  21. Запрет трафика БД Oracle на определенном сетевом интерфейсе
  22. Ограничение SSH-соединения
  23. Отклонение SSH-соединения на порту 22
  24. Измена стандартной политики входящих сообщений
  25. Измена стандартной политики по умолчанию
  26. Некоторые дополнительные параметры брандмауэра UFW

 

В этой статье мы расскажем вам, как настроить брандмауэр UFW в Ubuntu 18.04. Вы можете задаться абсолютно адекватным вопросом, что такое UFW и зачем мы его используем? Что ж, ufw в основном действует как интерфейс для iptables и предназначен для упрощения процесса настройки брандмауэра. Теперь вы можете спросить, почему мы не используем брандмауэр iptables напрямую. Ответ на этот вопрос заключается в том, что iptables может создать некоторые трудности для начинающих при использовать его в полной мере, тогда как ufw делает жизнь новичка немного проще и помогает освоить брандмауэр в Linux.

 

 

Что такое UFW?

UFW часто называют Uncomplicated Firewall, который выступает в качестве интерфейса для легендарных iptables. Вы можете установить правила брандмауэра, используя UFW гораздо проще по сравнению с iptables.

 

 

Какая настройка по умолчанию для UFW Firewall?

Настройка по умолчанию означает, что по умолчанию UFW разрешает весь исходящий трафик и блокирует весь входящий трафик. При запуске системы UFW находиться в отключенном состоянии, если вы не включите его вручную.

Top-25-ufw-firewall-commands-every-Linux-Admin-Should-Know-1

 

 

1. Проверка версии Ubuntu Firewall

Чтобы проверить версию брандмауэра Ubuntu, вам нужно запустить команду sudo ufw version.

 

 

2. Проверка состояния брандмауэра Ubuntu

Чтобы проверить состояние брандмауэра Ubuntu, вам нужно выполнить команду sudo ufw status. Вы увидите следующий вывод, брандмауэр отображается в неактивном состоянии, что означает, что он в настоящее время не фильтрует трафик:

 

 

3. Проверка правил брандмауэра с номерами

Если вы хотите проверить все правила, установленные в настоящее время в брандмауэре, и вывести их вместе с их нумерацией, вам нужно проверить состояние брандмауэра, выполнив команду sudo ufw status numbered. Эта команда особенно полезна, когда вы хотите удалить какое-то правило:

 

 

4. Удаление правила брандмауэра UFW по его номеру

Если вы хотите удалить какое-либо правило брандмауэра, то самым простым способом будет удалить правило по его номеру. Вы можете использовать приведенную выше команду, чтобы узнать номер для каждого правила. Допустим, мы хотим удалить правило №3 — «123 ALLOW IN Anywhere», тогда мы выполним команду sudo ufw delete 3. Эта команда удалит правило 3 из брандмауэра, как показано ниже:

 

 

5. Включение брандмауэра Ubuntu

Если вы хотите, чтобы брандмауэр начал фильтровать сетевой трафик, вам нужно включить и перевести его в активное состояние, выполнив команду sudo ufw enable:

 

 

6. Отключение Ubuntu UFW Firewall

Если вы хотите отключить Ubuntu UFW Firewall, вам нужно использовать команду sudo ufw disable. Эта команда гарантирует, что брандмауэр не включится автоматически после перезагрузки системы:

 

 

7. Проверка разрешений приложения через брандмауэр

Если вы хотите проверить все приложения, разрешенные в настоящее время через брандмауэр ufw, вам нужно использовать команду sudo ufw app list:

 

 

8. Перезагрузка Linux UFW Firewall

Чтобы перезагрузить брандмауэр Linux UFW, вам нужно выполнить команду sudo ufw reload. Эта команда перезагрузит файл конфигурации ufw и примет обновленные изменения, сделанные в файле конфигурации:

 

ПРИМЕЧАНИЕ: Здесь важно понять разницу между аргументами reload и restart для команды ufw. Restart завершит все процессы и запустит их снова, в то время как Reload просто перезагрузит файл конфигурации. Поэтому, если вы сделали какие-либо недавние изменения в файле конфигурации, рекомендуется использовать именно аргумент reload для повторной загрузки файла конфигурации.

 

 

9. Сброс UFW брандмауэра

Если вы хотите сбросить ufw, вам нужно использовать команду sudo ufw reset. Эта команда в вернет брандмауэр ufw к настройкам по умолчанию:

 

 

10. Блокировка 80-го порта трафика

Если вы хотите заблокировать 80 порт вместо блокировки конкретных приложений http, что в основном означает то же самое, вы можете выполнить команду sudo ufw deny 80:

 

 

11. Разрешение только TCP-соединений с портом 80

Допустим, вы хотите разрешить только tcp-соединения с 80 портом, вы можете выполнить это, используя команду sudo ufw allow 80/tcp:

 

 

12. Запрет входящих UDP-соединения с портом 80

Если вы хотите запретить входящие UDP-соединения с 80 портом, выполните команду sudo ufw deny 80/udp:

 

 

13. Запрет исходящего трафик NTP

Если вы хотите запретить исходящий NTP-трафик, вы можете выполнить это с помощью команды sudo ufw deny out 123:

 

 

14. Разрешение исходящего трафика NTP

Если вы хотите разрешить исходящий NTP-трафик через 123 порт, вы можете выполнить это с помощью команды sudo ufw allow out 123:

 

 

15. Разрешение входящего трафика NTP

Если вы хотите разрешить входящий трафик NTP (Network Time Protocol), вам нужно выполнить команду sudo ufw allow 123:

 

 

16. Разрешение трафика БД Oracle с определенного IP-адреса

Если вы хотите разрешить трафик БД Oracle с IP-адреса 10.126.254.8, то вам нужно выполнить следующую команду:

 

 

17. Разрешение трафика БД Oracle из определенной подсети

Если вы хотите разрешить трафик БД Oracle из определенной подсети, скажем, 10.126.254.0/24, то вам нужно использовать приведенную ниже команду:

 

 

18. Запрет трафика БД Oracle с определенного IP-адреса

Если вы хотите запретить трафик БД Oracle из определенной подсети, скажем, 10.126.254.0/24, то вам нужно выполнить команду приведённую ниже:

 

 

19. Разрешение трафика БД MySQL из определенной подсети

Если вы хотите разрешить трафик БД MySQL из определенной подсети, скажем, 10.126.254.0/24, то вам нужно выполнить следующую команду:

 

 

20. Разрешение трафик БД Oracle на определенный сетевой интерфейс

Если вы хотите разрешить трафик БД Oracle для определенного интерфейса, скажем, enp0s3 в этом случае, то вам нужно выполнить следующую команду:

 

 

21. Запрет трафика БД Oracle на определенный сетевой интерфейс

Если вы хотите запретить трафика БД Oracle на интерфейс enp0s3, вы можете сделать это с помощью команды приведённой ниже:

 

 

22. Ограничение SSH-соединения

Чтобы ограничить соединения ssh до 6 в течение 30 секунд, используйте команду sudo ufw limit ssh. Иногда это может помочь в предотвращении атак DOS:

 

 

23. Отключение SSH-соединения на порту 22

Иногда вам может потребоваться отклонить некоторые подключения и отправлять уведомление об отклонении отправителю всякий раз, когда он пытается подключиться к определенному порту, например, к порту 22, в нашем случае:

 

 

24. Изменение стандартной внутренней политики

Если вы хотите изменить стандартную внутреннюю политику, вам нужно выполнить команду sudo ufw default deny incoming:

 

 

25. Изменение стандартной внешней политики

Если вы хотите изменить стандартную внешнюю политику,то вы можете выполнить это, используя команду sudo ufw default allow outgoing:

 

 

26. Некоторые дополнительные параметры брандмауэра UFW

Параметры Описание
—version показать номер версии программы и выйти
-h, —help показать справочное сообщение и выйти
—dry-run ничего не изменять, просто показать изменения
enable перезагрузка брандмауэра и включение брандмауэра при загрузке
disable выгрузка межсетевого экрана и отключение его при загрузке
reload перезагрузка брандмауэр
default allow|deny|reject DIRECTION
изменение политики по умолчанию для трафика направляющегося по DIRECTION, где DIRECTION является одним из входящих, исходящих или маршрутизируемых направлений. Обратите внимание, что существующие правила должны переноситься вручную при изменении политики по умолчанию. Смотрите RULE SYNTAX, чтобы узнать больше об отрицании и отклонении
logging on|off|LEVEL
включение/отключение регистрации. Зарегистрированные пакеты используют средство системного журнала LOG_KERN. Системы, настроенные для поддержки rsyslog, также могут войти в /var/log/ufw.log. Определение
LEVEL включает вход в систему для указанного LEVEL. LEVEL журнала по умолчанию — «low».
show REPORT отображает информацию о работающем брандмауэре. Смотрите REPORTS
allow ARGS добавить разрешающее правило
deny ARGS добавить запрещающее правило
reject ARGS добавить отклоняющее правило
limit ARGS добавить правило ограничения. В настоящее время поддерживается только IPv4.
delete RULE|NUM удаляет соответствующее RULE
insert NUM RULE вставить соответствующее RULE как номер правила NUM

 

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Ciscoкурсы по кибербезопасности,  полный курс по кибербезопасностикурсы DevNet (программируемые сети) от Академии Ciscoкурсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.
Что Вы получите?
  • Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
  • Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проведем вечерние онлайн-лекции на нашей платформе.
  • Согласуем с вами удобное время для практик.
  • Если хотите индивидуальный график — обсудим и реализуем.
  • Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
А еще поможем Вам:
  • отредактировать или создать с нуля резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.

Больше похожих постов

2 комментария. Оставить новый

  • Разрешение и запрет трафика БД, что Oracle, что MsSQL не указан ни порт, ни какие либо другие параметры. Т.е. правило разрешает весь трафик от одного IP и от подсети? Тоже и с запретом?

    Ответить
  • Пункт 19. Не в курсе какой порт использует MySQL, но неужели тот же, что RDP?

    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения


Поиск по сайту
Лучшее
Популярное
Рубрики
Меню