Перейти к основному содержанию

UFW — начальная настройка в Ubuntu 22.04

Ubuntu

С появлением у вас сервера Ubuntu стоит задуматься об информационной безопасности. В принципе, о ней всегда стоит задумываться. В данном случае речь пойдёт об обеспечении сетевой безопасности и защиты внутренних процессов от внешней среды.

В Linux для этих целей используется iptables, но его освоение может оказаться достаточно сложной для начинающих пользователей. В дистрибутиве Ubuntu используется собственная оболочка для настройки брандмауэра iptables — UFW (Uncomplicated FireWall).

ufw --help

UFW (Uncomplicated Firewall) — это интерфейс iptables, предназначенный для упрощения процесса настройки брандмауэра.

iptables — утилита командной строки, которая является стандартным интерфейсом управления работой межсетевого экрана netfilter для ядер Linux, начиная с версии 2.4.

netfilter — межсетевой экран, встроен в ядро Linux с версии 2.4.

Начальная настройка UFW

Произведём начальную настройку UFW на внешнем сервере Ubuntu Server 22.04.4. Работаем под sudo.

Текущая версия UFW:

ufw --version

Текущий статус UFW по умолчанию inactive:

ufw status

linux

Перед тем как приступить к настройке UFW, нужно позаботиться о том, чтобы не наступить на грабли. А именно: не закрыть себе доступ. Если у вас есть доступ к консоли сервера, уже хорошо, вы сможете что-то исправить. А если вы работаете через OpenSSH по 22 порту, то можно случайно себя заблокировать.

Я работаю из сети, у которой есть прямой IP адрес, добавлю его в разрешающее правило:

ufw allow from 46.39.246.23

Теперь с указанного IP можно получить доступ ко всем портам сервера, включая TCP 22, через который у меня открыта SSH сессия.

Включаем UFW:

ufw enable

Проверим статус:

ufw status

linux

Отображается статус active и наше добавленное разрешающее правило. Меня не отключило от SSH, что хорошо.

Настроим правила по умолчанию.

  • Все входящие соединения блокируем.
  • Все исходящие соединения разрешаем
ufw default deny incoming
ufw default allow outgoing

linux

План минимум выполнен, мы закрылись ото всех, разрешили доступ себе и открыли серверу путь наружу.

Добавим правила UFW

Мы защитились со всех сторон, иногда этого хватает, если сервер не требует внешних соединений. Пусть у нас сервер будет выполнять роль web-сервера, разрешим входящие соединения на TCP 80 (HTTP) и TCP 443 (HTTPS).

ufw allow 80/tcp
ufw allow 443/tcp
ufw status

linux

Видим что набор разрешающих правил расширился.

Дополнительно

Для удаления правила UFW, используется команда delete:

ufw delete allow 80/tcp

ufw delete allow in 80/tcp
ufw delete allow out 80/tcp

Удаление по номеру:

ufw status numbered
ufw delete НОМЕР
ufw status numbered

Отключение UFW:

ufw disable

Сброс настроек:

ufw reset

Теги

 

Похожие материалы