Настройка UFW в Ubuntu

Автор: Admin

Дата:2012-10-10

Настраиваем фаервол (ufw) на Ubuntu 12.04

После установки любой операционной системы необходимо позаботиться о ее защите. Для Linux подобных операционных систем вполне подойдет настройка простого фаервола, для Windows систем необходим как Firewall так и антивирус. Мобильные ОС так же нуждаются в защите, а наиболее приемлемые антивирусы для iOS, Android, Windows Phone Вы найдете на сайте softpacket.

Мы же с вами разберем некоторые моменты защиты Linux/Ubuntu  при помощи FIrewall под названием UFW.

UFW - это немного упрощенная оболочка работы с фаерволом. Грубо говоря он управляет командами Iptables  по средствам скриптов встроенных в ufw. разумеется это не могло сказаться и на возможностях данного фаервола, однако в большинстве случаев его возможностей вполне хватает, а вполне понятная логика работы в разы убыстряет процессе создания правил.

Хотя с другой стороны у нас есть такой замечательный продукт как Shorerwall, который на мой взгляд является еще более простым и более гибким в настроек.

Давайте приступим к настройке ufw.

По стандартам все фаерволы могут работать, а точнее настраиваются администраторами в положение:
Все разрешено, кроме того, что запрещено.
Все запрешено, кроме того, что разрешено.

Давайте проверим статус ufw
# ufw status
Status: inactive

Включим его.
# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

Отключить
# ufw disable

Добавим разрешение принимать SSH подключения
# ufw allow 22
Rule added

РАБОТА С ПРОФИЛЯМИ.

Для управления доступом приложений не обязательно знать его порт, для этого можно воспользоваться профилями приложений и выполнить просто команду

# ufw allow samba
Rule added

Сами профили хранятся в:
# ls -al /etc/ufw/applications.d/
total 24
drwxr-xr-x 2 root root 4096 Aug 31 03:27 .
drwxr-xr-x 3 root root 4096 Aug 17 18:08 ..
-rw-r--r-- 1 root root  406 Feb 12  2012 apache2.2-common
-rw-r--r-- 1 root root  152 Aug  6 13:20 cups
-rw-r--r-- 1 root root  145 Apr  2  2012 openssh-server
-rw-r--r-- 1 root root  376 Jun  8 18:52 samba

Открыв профиль samba мы видим описание и порты, которые будут добавлены в исключение
# vi /etc/ufw/applications.d/samba
ports=137,138/udp|139,445/tcp

# ufw app update --add-new Samba - обновит профиль при внесении в него изменений и изменения сразу вступят в силу

Теперь запретим все, что не разрешено на фаервол
# ufw default reject
Default incoming policy changed to 'reject'

В результате мы сможет обратиться только к тем службам которые открыты.
# ufw status
Status: active
To                         Action      From
--                           ------      ----
22                    ALLOW       Anywhere
Samba             ALLOW       Anywhere

Давайте разрешим коннект с IP 192.168.200.3 на 80 порт фаервола
# ufw allow proto tcp from 192.168.200.3 to 192.168.200.150 port 80
# ufw status                                           Status: active
To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
Samba                      ALLOW       Anywhere
192.168.200.150 80/tcp     ALLOW       192.168.200.3

Удалить это разрешение
# ufw delete allow proto tcp from 192.168.200.3 to 192.168.200.150 port 80

Разрешим сети коннект к фаерволу
# ufw allow from 192.168.200.0/24

Запретить коннект с фаервола на все порты ssh
# ufw reject out 22

Удаляем первое правило в списке
# ufw status
Status: active
To                         Action      From
--                         ------      ----
Samba                 LIMIT       Anywhere
22/tcp                  DENY        Anywhere
192.168.14.108/tcp         DENY        Anywhere

# ufw delete 1
Deleting:
 limit Samba
Proceed with operation (y|n)? y

Количество просмотров: 10296

Комментарии к статье: