Лучшие 25 команд брандмауэра UFW, которые должен знать каждый администратор Linux — читайте наш топ и становитесь специалистом IT!
Содержание:
Что такое UFW?
Какая настройка по умолчанию для UFW Firewall?
- Проверка версии Ubuntu Firewall
- Проверка состояния брандмауэра Ubuntu
- Проверка правил брандмауэра с номерами
- Удаление правила брандмауэра UFW по его номеру
- Включение брандмауэра Ubuntu
- Отключение Ubuntu UFW Firewall
- Проверка разрешений приложения через брандмауэр
- Перезагрузка Linux UFW Firewall
- Сброс UFW брандмауэр
- Блокировка 80го порта трафика
- Разрешение только TCP-соединений с портом 80
- Запрет входящих UDP-соединений с портом 80
- Запрет исходящего трафика NTP
- Разрешение исходящего трафика NTP
- Разрешение входящего трафика NTP
- Разрешение трафика БД Oracle с определенного IP-адреса
- Разрешение трафика БД Oracle из определенной подсети
- Запрет трафика БД Oracle с определенного IP-адреса
- Разрешение трафика БД MySQL из определенной подсети
- Разрешение трафика БД Oracle на определенном сетевом интерфейсе
- Запрет трафика БД Oracle на определенном сетевом интерфейсе
- Ограничение SSH-соединения
- Отклонение SSH-соединения на порту 22
- Измена стандартной политики входящих сообщений
- Измена стандартной политики по умолчанию
- Некоторые дополнительные параметры брандмауэра UFW
В этой статье мы расскажем вам, как настроить брандмауэр UFW в Ubuntu 18.04. Вы можете задаться абсолютно адекватным вопросом, что такое UFW и зачем мы его используем? Что ж, ufw в основном действует как интерфейс для iptables и предназначен для упрощения процесса настройки брандмауэра. Теперь вы можете спросить, почему мы не используем брандмауэр iptables напрямую. Ответ на этот вопрос заключается в том, что iptables может создать некоторые трудности для начинающих при использовать его в полной мере, тогда как ufw делает жизнь новичка немного проще и помогает освоить брандмауэр в Linux.
Что такое UFW?
UFW часто называют Uncomplicated Firewall, который выступает в качестве интерфейса для легендарных iptables. Вы можете установить правила брандмауэра, используя UFW гораздо проще по сравнению с iptables.
Какая настройка по умолчанию для UFW Firewall?
Настройка по умолчанию означает, что по умолчанию UFW разрешает весь исходящий трафик и блокирует весь входящий трафик. При запуске системы UFW находиться в отключенном состоянии, если вы не включите его вручную.
1. Проверка версии Ubuntu Firewall
Чтобы проверить версию брандмауэра Ubuntu, вам нужно запустить команду sudo ufw version.
2. Проверка состояния брандмауэра Ubuntu
Чтобы проверить состояние брандмауэра Ubuntu, вам нужно выполнить команду sudo ufw status. Вы увидите следующий вывод, брандмауэр отображается в неактивном состоянии, что означает, что он в настоящее время не фильтрует трафик:
3. Проверка правил брандмауэра с номерами
Если вы хотите проверить все правила, установленные в настоящее время в брандмауэре, и вывести их вместе с их нумерацией, вам нужно проверить состояние брандмауэра, выполнив команду sudo ufw status numbered. Эта команда особенно полезна, когда вы хотите удалить какое-то правило:
4. Удаление правила брандмауэра UFW по его номеру
Если вы хотите удалить какое-либо правило брандмауэра, то самым простым способом будет удалить правило по его номеру. Вы можете использовать приведенную выше команду, чтобы узнать номер для каждого правила. Допустим, мы хотим удалить правило №3 — «123 ALLOW IN Anywhere», тогда мы выполним команду sudo ufw delete 3. Эта команда удалит правило 3 из брандмауэра, как показано ниже:
5. Включение брандмауэра Ubuntu
Если вы хотите, чтобы брандмауэр начал фильтровать сетевой трафик, вам нужно включить и перевести его в активное состояние, выполнив команду sudo ufw enable:
6. Отключение Ubuntu UFW Firewall
Если вы хотите отключить Ubuntu UFW Firewall, вам нужно использовать команду sudo ufw disable. Эта команда гарантирует, что брандмауэр не включится автоматически после перезагрузки системы:
7. Проверка разрешений приложения через брандмауэр
Если вы хотите проверить все приложения, разрешенные в настоящее время через брандмауэр ufw, вам нужно использовать команду sudo ufw app list:
8. Перезагрузка Linux UFW Firewall
Чтобы перезагрузить брандмауэр Linux UFW, вам нужно выполнить команду sudo ufw reload. Эта команда перезагрузит файл конфигурации ufw и примет обновленные изменения, сделанные в файле конфигурации:
ПРИМЕЧАНИЕ: Здесь важно понять разницу между аргументами reload и restart для команды ufw. Restart завершит все процессы и запустит их снова, в то время как Reload просто перезагрузит файл конфигурации. Поэтому, если вы сделали какие-либо недавние изменения в файле конфигурации, рекомендуется использовать именно аргумент reload для повторной загрузки файла конфигурации.
9. Сброс UFW брандмауэра
Если вы хотите сбросить ufw, вам нужно использовать команду sudo ufw reset. Эта команда в вернет брандмауэр ufw к настройкам по умолчанию:
10. Блокировка 80-го порта трафика
Если вы хотите заблокировать 80 порт вместо блокировки конкретных приложений http, что в основном означает то же самое, вы можете выполнить команду sudo ufw deny 80:
11. Разрешение только TCP-соединений с портом 80
Допустим, вы хотите разрешить только tcp-соединения с 80 портом, вы можете выполнить это, используя команду sudo ufw allow 80/tcp:
12. Запрет входящих UDP-соединения с портом 80
Если вы хотите запретить входящие UDP-соединения с 80 портом, выполните команду sudo ufw deny 80/udp:
13. Запрет исходящего трафик NTP
Если вы хотите запретить исходящий NTP-трафик, вы можете выполнить это с помощью команды sudo ufw deny out 123:
14. Разрешение исходящего трафика NTP
Если вы хотите разрешить исходящий NTP-трафик через 123 порт, вы можете выполнить это с помощью команды sudo ufw allow out 123:
15. Разрешение входящего трафика NTP
Если вы хотите разрешить входящий трафик NTP (Network Time Protocol), вам нужно выполнить команду sudo ufw allow 123:
16. Разрешение трафика БД Oracle с определенного IP-адреса
Если вы хотите разрешить трафик БД Oracle с IP-адреса 10.126.254.8, то вам нужно выполнить следующую команду:
17. Разрешение трафика БД Oracle из определенной подсети
Если вы хотите разрешить трафик БД Oracle из определенной подсети, скажем, 10.126.254.0/24, то вам нужно использовать приведенную ниже команду:
18. Запрет трафика БД Oracle с определенного IP-адреса
Если вы хотите запретить трафик БД Oracle из определенной подсети, скажем, 10.126.254.0/24, то вам нужно выполнить команду приведённую ниже:
19. Разрешение трафика БД MySQL из определенной подсети
Если вы хотите разрешить трафик БД MySQL из определенной подсети, скажем, 10.126.254.0/24, то вам нужно выполнить следующую команду:
20. Разрешение трафик БД Oracle на определенный сетевой интерфейс
Если вы хотите разрешить трафик БД Oracle для определенного интерфейса, скажем, enp0s3 в этом случае, то вам нужно выполнить следующую команду:
21. Запрет трафика БД Oracle на определенный сетевой интерфейс
Если вы хотите запретить трафика БД Oracle на интерфейс enp0s3, вы можете сделать это с помощью команды приведённой ниже:
22. Ограничение SSH-соединения
Чтобы ограничить соединения ssh до 6 в течение 30 секунд, используйте команду sudo ufw limit ssh. Иногда это может помочь в предотвращении атак DOS:
23. Отключение SSH-соединения на порту 22
Иногда вам может потребоваться отклонить некоторые подключения и отправлять уведомление об отклонении отправителю всякий раз, когда он пытается подключиться к определенному порту, например, к порту 22, в нашем случае:
24. Изменение стандартной внутренней политики
Если вы хотите изменить стандартную внутреннюю политику, вам нужно выполнить команду sudo ufw default deny incoming:
25. Изменение стандартной внешней политики
Если вы хотите изменить стандартную внешнюю политику,то вы можете выполнить это, используя команду sudo ufw default allow outgoing:
26. Некоторые дополнительные параметры брандмауэра UFW
Параметры | Описание |
---|---|
—version | показать номер версии программы и выйти |
-h, —help | показать справочное сообщение и выйти |
—dry-run | ничего не изменять, просто показать изменения |
enable | перезагрузка брандмауэра и включение брандмауэра при загрузке |
disable | выгрузка межсетевого экрана и отключение его при загрузке |
reload | перезагрузка брандмауэр |
default | allow|deny|reject DIRECTION изменение политики по умолчанию для трафика направляющегося по DIRECTION, где DIRECTION является одним из входящих, исходящих или маршрутизируемых направлений. Обратите внимание, что существующие правила должны переноситься вручную при изменении политики по умолчанию. Смотрите RULE SYNTAX, чтобы узнать больше об отрицании и отклонении |
logging | on|off|LEVEL включение/отключение регистрации. Зарегистрированные пакеты используют средство системного журнала LOG_KERN. Системы, настроенные для поддержки rsyslog, также могут войти в /var/log/ufw.log. Определение LEVEL включает вход в систему для указанного LEVEL. LEVEL журнала по умолчанию — «low». |
show REPORT | отображает информацию о работающем брандмауэре. Смотрите REPORTS |
allow ARGS | добавить разрешающее правило |
deny ARGS | добавить запрещающее правило |
reject ARGS | добавить отклоняющее правило |
limit ARGS | добавить правило ограничения. В настоящее время поддерживается только IPv4. |
delete RULE|NUM | удаляет соответствующее RULE |
insert NUM RULE | вставить соответствующее RULE как номер правила NUM |
Спасибо за уделенное время на прочтение статьи!
Если возникли вопросы, задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!
Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).
Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!
- Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
- Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
- Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
- Проведем вечерние онлайн-лекции на нашей платформе.
- Согласуем с вами удобное время для практик.
- Если хотите индивидуальный график — обсудим и реализуем.
- Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
- Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
- отредактировать или создать с нуля резюме;
- подготовиться к техническим интервью;
- подготовиться к конкурсу на понравившуюся вакансию;
- устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
2 комментария. Оставить новый
Разрешение и запрет трафика БД, что Oracle, что MsSQL не указан ни порт, ни какие либо другие параметры. Т.е. правило разрешает весь трафик от одного IP и от подсети? Тоже и с запретом?
Пункт 19. Не в курсе какой порт использует MySQL, но неужели тот же, что RDP?