Top-25-ufw-firewall-commands-every-Linux-Admin-Should-Know

Лучшие 25 команд брандмауэра UFW, которые должен знать каждый администратор Linux

Firewall
Содержание:

Что такое UFW?
Какая настройка по умолчанию для UFW Firewall?

  1. Проверка версии Ubuntu Firewall
  2. Проверка состояния брандмауэра Ubuntu
  3. Проверка правил брандмауэра с номерами
  4. Удаление правила брандмауэра UFW по его номеру
  5. Включение брандмауэра Ubuntu
  6. Отключение Ubuntu UFW Firewall
  7. Проверка разрешений приложения через брандмауэр
  8. Перезагрузка Linux UFW Firewall
  9. Сброс UFW брандмауэр
  10. Блокировка 80го порта трафика
  11. Разрешение только TCP-соединений с портом 80
  12. Запрет входящих UDP-соединений с портом 80
  13. Запрет исходящего трафика NTP
  14. Разрешение исходящего трафика NTP
  15. Разрешение входящего трафика NTP
  16. Разрешение трафика БД Oracle с определенного IP-адреса
  17. Разрешение трафика БД Oracle из определенной подсети
  18. Запрет трафика БД Oracle с определенного IP-адреса
  19. Разрешение трафика БД MySQL из определенной подсети
  20. Разрешение трафика БД Oracle на определенном сетевом интерфейсе
  21. Запрет трафика БД Oracle на определенном сетевом интерфейсе
  22. Ограничение SSH-соединения
  23. Отклонение SSH-соединения на порту 22
  24. Измена стандартной политики входящих сообщений
  25. Измена стандартной политики по умолчанию
  26. Некоторые дополнительные параметры брандмауэра UFW

 

В этой статье мы расскажем вам, как настроить брандмауэр UFW в Ubuntu 18.04. Вы можете задаться абсолютно адекватным вопросом, что такое UFW и зачем мы его используем? Что ж, ufw в основном действует как интерфейс для iptables и предназначен для упрощения процесса настройки брандмауэра. Теперь вы можете спросить, почему мы не используем брандмауэр iptables напрямую. Ответ на этот вопрос заключается в том, что iptables может создать некоторые трудности для начинающих при использовать его в полной мере, тогда как ufw делает жизнь новичка немного проще и помогает освоить брандмауэр в Linux.

 

 

Что такое UFW?

UFW часто называют Uncomplicated Firewall, который выступает в качестве интерфейса для легендарных iptables. Вы можете установить правила брандмауэра, используя UFW гораздо проще по сравнению с iptables.

 

 

Какая настройка по умолчанию для UFW Firewall?

Настройка по умолчанию означает, что по умолчанию UFW разрешает весь исходящий трафик и блокирует весь входящий трафик. При запуске системы UFW находиться в отключенном состоянии, если вы не включите его вручную.

Top-25-ufw-firewall-commands-every-Linux-Admin-Should-Know-1

 

 

1. Проверка версии Ubuntu Firewall

Чтобы проверить версию брандмауэра Ubuntu, вам нужно запустить команду sudo ufw version.

[email protected]:~$ sudo ufw version
ufw 0.36
Copyright 2008-2015 Canonical Ltd.

 

 

2. Проверка состояния брандмауэра Ubuntu

Чтобы проверить состояние брандмауэра Ubuntu, вам нужно выполнить команду sudo ufw status. Вы увидите следующий вывод, брандмауэр отображается в неактивном состоянии, что означает, что он в настоящее время не фильтрует трафик:

[email protected]:~$ sudo ufw status
Status: inactive

 

 

3. Проверка правил брандмауэра с номерами

Если вы хотите проверить все правила, установленные в настоящее время в брандмауэре, и вывести их вместе с их нумерацией, вам нужно проверить состояние брандмауэра, выполнив команду sudo ufw status numbered. Эта команда особенно полезна, когда вы хотите удалить какое-то правило:

[email protected]:~$ sudo ufw status numbered
Status: active

To Action From
-- ------ ----
[ 1] 886 DENY IN Anywhere
[ 2] 123 ALLOW OUT Anywhere (out)
[ 3] 123 ALLOW IN Anywhere
[ 4] 1521 DENY IN 10.126.254.8
[ 5] 1521 DENY IN 10.126.254.0/24
[ 6] 1521 on enp0s3 DENY IN Anywhere
[ 7] 886 (v6) DENY IN Anywhere (v6)
[ 8] 123 (v6) ALLOW OUT Anywhere (v6) (out)
[ 9] 123 (v6) ALLOW IN Anywhere (v6)
[10] 1521 (v6) on enp0s3 DENY IN Anywhere (v6)

 

 

4. Удаление правила брандмауэра UFW по его номеру

Если вы хотите удалить какое-либо правило брандмауэра, то самым простым способом будет удалить правило по его номеру. Вы можете использовать приведенную выше команду, чтобы узнать номер для каждого правила. Допустим, мы хотим удалить правило №3 — «123 ALLOW IN Anywhere», тогда мы выполним команду sudo ufw delete 3. Эта команда удалит правило 3 из брандмауэра, как показано ниже:

[email protected]:~$ sudo ufw delete 3
Deleting:
allow 123
Proceed with operation (y|n)? y
Rule deleted

 

 

5. Включение брандмауэра Ubuntu

Если вы хотите, чтобы брандмауэр начал фильтровать сетевой трафик, вам нужно включить и перевести его в активное состояние, выполнив команду sudo ufw enable:

[email protected]:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

 

 

6. Отключение Ubuntu UFW Firewall

Если вы хотите отключить Ubuntu UFW Firewall, вам нужно использовать команду sudo ufw disable. Эта команда гарантирует, что брандмауэр не включится автоматически после перезагрузки системы:

[email protected]:~$ sudo ufw disable
Firewall stopped and disabled on system startup

 

 

7. Проверка разрешений приложения через брандмауэр

Если вы хотите проверить все приложения, разрешенные в настоящее время через брандмауэр ufw, вам нужно использовать команду sudo ufw app list:

[email protected]:~$ sudo ufw app list
Available applications:
CUPS
Nginx Full
Nginx HTTP
Nginx HTTPS
OpenSSH

 

 

8. Перезагрузка Linux UFW Firewall

Чтобы перезагрузить брандмауэр Linux UFW, вам нужно выполнить команду sudo ufw reload. Эта команда перезагрузит файл конфигурации ufw и примет обновленные изменения, сделанные в файле конфигурации:

[email protected]:~$ sudo ufw reload
Firewall reloaded

 

ПРИМЕЧАНИЕ: Здесь важно понять разницу между аргументами reload и restart для команды ufw. Restart завершит все процессы и запустит их снова, в то время как Reload просто перезагрузит файл конфигурации. Поэтому, если вы сделали какие-либо недавние изменения в файле конфигурации, рекомендуется использовать именно аргумент reload для повторной загрузки файла конфигурации.

 

 

9. Сброс UFW брандмауэра

Если вы хотите сбросить ufw, вам нужно использовать команду sudo ufw reset. Эта команда в вернет брандмауэр ufw к настройкам по умолчанию:

[email protected]:~$ sudo ufw reset
Resetting all rules to installed defaults. This may disrupt existing ssh
connections. Proceed with operation (y|n)? y
Backing up 'user.rules' to '/etc/ufw/user.rules.20200106_115143'
Backing up 'before.rules' to '/etc/ufw/before.rules.20200106_115143'
Backing up 'after.rules' to '/etc/ufw/after.rules.20200106_115143'
Backing up 'user6.rules' to '/etc/ufw/user6.rules.20200106_115143'
Backing up 'before6.rules' to '/etc/ufw/before6.rules.20200106_115143'
Backing up 'after6.rules' to '/etc/ufw/after6.rules.20200106_115143'

 

 

10. Блокировка 80-го порта трафика

Если вы хотите заблокировать 80 порт вместо блокировки конкретных приложений http, что в основном означает то же самое, вы можете выполнить команду sudo ufw deny 80:

[email protected]:~$ sudo ufw deny 80
Rules updated
Rules updated (v6)

 

 

11. Разрешение только TCP-соединений с портом 80

Допустим, вы хотите разрешить только tcp-соединения с 80 портом, вы можете выполнить это, используя команду sudo ufw allow 80/tcp:

[email protected]:~$ sudo ufw allow 80/tcp
Rule added
Rule added (v6)

 

 

12. Запрет входящих UDP-соединения с портом 80

Если вы хотите запретить входящие UDP-соединения с 80 портом, выполните команду sudo ufw deny 80/udp:

[email protected]:~$ sudo ufw deny 80/udp
Rule added
Rule added (v6)

 

 

13. Запрет исходящего трафик NTP

Если вы хотите запретить исходящий NTP-трафик, вы можете выполнить это с помощью команды sudo ufw deny out 123:

[email protected]:~$ sudo ufw deny out 123
Rules updated
Rules updated (v6)

 

 

14. Разрешение исходящего трафика NTP

Если вы хотите разрешить исходящий NTP-трафик через 123 порт, вы можете выполнить это с помощью команды sudo ufw allow out 123:

[email protected]:~$ sudo ufw allow out 123
Rules updated
Rules updated (v6)

 

 

15. Разрешение входящего трафика NTP

Если вы хотите разрешить входящий трафик NTP (Network Time Protocol), вам нужно выполнить команду sudo ufw allow 123:

[email protected]:~$ sudo ufw allow 123
Rules updated
Rules updated (v6)

 

 

16. Разрешение трафика БД Oracle с определенного IP-адреса

Если вы хотите разрешить трафик БД Oracle с IP-адреса 10.126.254.8, то вам нужно выполнить следующую команду:

[email protected]:~$ sudo ufw allow from 10.126.254.8 to any port 1521
Rules updated

 

 

17. Разрешение трафика БД Oracle из определенной подсети

Если вы хотите разрешить трафик БД Oracle из определенной подсети, скажем, 10.126.254.0/24, то вам нужно использовать приведенную ниже команду:

[email protected]:~$ sudo ufw allow from 10.126.254.0/24 to any port 1521
Rules updated

 

 

18. Запрет трафика БД Oracle с определенного IP-адреса

Если вы хотите запретить трафик БД Oracle из определенной подсети, скажем, 10.126.254.0/24, то вам нужно выполнить команду приведённую ниже:

[email protected]:~$ sudo ufw deny from 10.126.254.8 to any port 1521
Rules updated

 

 

19. Разрешение трафика БД MySQL из определенной подсети

Если вы хотите разрешить трафик БД MySQL из определенной подсети, скажем, 10.126.254.0/24, то вам нужно выполнить следующую команду:

[email protected]:~$ sudo ufw deny from 10.126.254.0/24 to any port 3389
Rules updated

 

 

20. Разрешение трафик БД Oracle на определенный сетевой интерфейс

Если вы хотите разрешить трафик БД Oracle для определенного интерфейса, скажем, enp0s3 в этом случае, то вам нужно выполнить следующую команду:

[email protected]:~$ sudo ufw allow in on enp0s3 to any port 1521
Rules updated
Rules updated (v6)

 

 

21. Запрет трафика БД Oracle на определенный сетевой интерфейс

Если вы хотите запретить трафика БД Oracle на интерфейс enp0s3, вы можете сделать это с помощью команды приведённой ниже:

[email protected]:~$ sudo ufw deny in on enp0s3 to any port 1521
Rules updated
Rules updated (v6)

 

 

22. Ограничение SSH-соединения

Чтобы ограничить соединения ssh до 6 в течение 30 секунд, используйте команду sudo ufw limit ssh. Иногда это может помочь в предотвращении атак DOS:

[email protected]:~$ sudo ufw limit ssh
Rule added
Rule added (v6)

 

 

23. Отключение SSH-соединения на порту 22

Иногда вам может потребоваться отклонить некоторые подключения и отправлять уведомление об отклонении отправителю всякий раз, когда он пытается подключиться к определенному порту, например, к порту 22, в нашем случае:

[email protected]:~$ sudo ufw reject 22
Rule added
Rule added (v6)

 

 

24. Изменение стандартной внутренней политики

Если вы хотите изменить стандартную внутреннюю политику, вам нужно выполнить команду sudo ufw default deny incoming:

[email protected]:~$ sudo ufw default deny incoming
Default incoming policy changed to 'deny'
(be sure to update your rules accordingly)

 

 

25. Изменение стандартной внешней политики

Если вы хотите изменить стандартную внешнюю политику,то вы можете выполнить это, используя команду sudo ufw default allow outgoing:

[email protected]:~$ sudo ufw default allow outgoing
Default outgoing policy changed to 'allow'
(be sure to update your rules accordingly)

 

 

26. Некоторые дополнительные параметры брандмауэра UFW

Параметры Описание
—version показать номер версии программы и выйти
-h, —help показать справочное сообщение и выйти
—dry-run ничего не изменять, просто показать изменения
enable перезагрузка брандмауэра и включение брандмауэра при загрузке
disable выгрузка межсетевого экрана и отключение его при загрузке
reload перезагрузка брандмауэр
default allow|deny|reject DIRECTION
изменение политики по умолчанию для трафика направляющегося по DIRECTION, где DIRECTION является одним из входящих, исходящих или маршрутизируемых направлений. Обратите внимание, что существующие правила должны переноситься вручную при изменении политики по умолчанию. Смотрите RULE SYNTAX, чтобы узнать больше об отрицании и отклонении
logging on|off|LEVEL
включение/отключение регистрации. Зарегистрированные пакеты используют средство системного журнала LOG_KERN. Системы, настроенные для поддержки rsyslog, также могут войти в /var/log/ufw.log. Определение
LEVEL включает вход в систему для указанного LEVEL. LEVEL журнала по умолчанию — «low».
show REPORT отображает информацию о работающем брандмауэре. Смотрите REPORTS
allow ARGS добавить разрешающее правило
deny ARGS добавить запрещающее правило
reject ARGS добавить отклоняющее правило
limit ARGS добавить правило ограничения. В настоящее время поддерживается только IPv4.
delete RULE|NUM удаляет соответствующее RULE
insert NUM RULE вставить соответствующее RULE как номер правила NUM

 

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Ciscoкурсы по кибербезопасности,  полный курс по кибербезопасностикурсы DevNet (программируемые сети) от Академии Ciscoкурсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Firewall

Больше похожих постов

1 комментарий. Оставить новый

  • Разрешение и запрет трафика БД, что Oracle, что MsSQL не указан ни порт, ни какие либо другие параметры. Т.е. правило разрешает весь трафик от одного IP и от подсети? Тоже и с запретом?
    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Most Viewed Posts
Меню