UFW: Управление брандмауэром в Ubuntu

Uncomplicated Firewall (UFW) в Ubuntu – это удобный инструмент для управления правилами брандмауэра. Разработанный для упрощения iptables, UFW помогает вам защитить вашу систему, контролируя входящий и исходящий сетевой трафик. 

В этом руководстве вы шаг за шагом пройдете через процесс настройки и управления UFW.

Системные требования

Перед началом работы убедитесь, что ваша система соответствует этим требованиям:

• Установленная Ubuntu 16.04 или более поздняя версия.
• Привилегии Root или sudo.
• Базовое понимание концепций SSH и брандмауэра.

Если вы готовы, давайте приступим.

Настройка брандмауэра Ubuntu с помощью UFW

Теперь давайте перейдем к настройке брандмауэра с помощью UFW. 

Мы пройдем по шагам один за другим, чтобы вы поняли смысл каждого действия.

Шаг 1 – Проверка функциональности IPv6

UFW способен обрабатывать трафик как IPv4, так и IPv6. По умолчанию он поддерживает оба, но вы можете убедиться, что IPv6 правильно настроен и включен. Чтобы убедиться, что функция IPv6 активна в вашей системе:

• Откройте терминал.
• Проверьте системные настройки для IPv6: 

sudo ufw show raw

• Если IPv6 включен, вы увидите его в списке. Если нет, вы можете включить его вручную, отредактировав конфигурационный файл UFW

sudo nano /etc/default/ufw

• Убедитесь, что установлено значение IPV6=yes. Сохраните файл и закройте редактор.

Примечание: Если вы не используете IPv6, вы можете отключить его, установив IPV6=n.

Шаг 2 – Установка политик по умолчанию

Далее пришло время определить поведение брандмауэра по умолчанию. Рекомендуется запретить входящий и разрешить исходящий трафик, позволяя системе инициировать соединения, но блокируя входящие соединения, если они не разрешены явно.

1. Установите политики по умолчанию:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Эти настройки гарантируют, что любой нежелательный трафик извне будет блокироваться, а исходящий трафик с вашего сервера будет разрешен. Позже вы всегда сможете добавить правила, чтобы разрешить определенные входящие соединения (например, SSH или HTTP).

Шаг 3 – Открытие доступа к SSH

Одной из первых служб, к которым вы захотите разрешить доступ, является SSH (Secure Shell). Если вы управляете сервером удаленно, это очень важно для поддержания доступа к системе.

Разрешите SSH (порт 22), чтобы обеспечить удаленный доступ к серверу:

sudo ufw allow ssh

Или используйте определенный номер порта:

sudo ufw allow 22

Это правило разрешает входящий трафик на порт 22, который является портом по умолчанию для SSH.

Шаг 4 – Активация UFW

Когда политики по умолчанию и необходимые правила установлены, пришло время активировать брандмауэр.

• Включите UFW:

sudo ufw enable

• Теперь UFW будет активен, и настройки брандмауэра будут применяться.

Важно: Убедитесь, что вы разрешили доступ по SSH перед включением UFW, иначе вы можете заблокировать себя в системе, если управляете ею удаленно.

Шаг 5 – Настройка дополнительных правил подключения

Вам может понадобиться разрешить дополнительные подключения в зависимости от служб, которые вы хотите запустить на своем сервере, например веб-серверов (HTTP/HTTPS) или других служб.

Например, чтобы разрешить HTTP (порт 80) и HTTPS (порт 443), используйте следующие команды:

• Разрешите HTTP (порт 80):

sudo ufw allow http

• Разрешите HTTPS (порт 443):

sudo ufw allow https

Вы также можете указать пользовательские порты или службы по номеру или имени, как показано ниже:

sudo ufw allow 8080/t

Шаг 6 – Блокировка нежелательного трафика

Иногда вам может понадобиться заблокировать трафик с определенных IP-адресов или диапазонов. Например, если вы заметили вредоносную активность или попытки получить доступ к вашей системе с нежелательного IP-адреса, вы можете заблокировать их, используя:

• Запретите IP-адрес:

sudo ufw deny from 192.168.1.100

• Это заблокирует весь входящий трафик с IP-адреса 192.168.1.100.

Вы также можете блокировать трафик по определенным портам или даже по странам (с помощью дополнительных инструментов).

Шаг 7 - Удаление ненужных правил

По мере развития системы у вас могут накапливаться правила брандмауэра, которые больше не нужны. Важно удалять устаревшие правила, чтобы поддерживать конфигурацию брандмауэра в чистоте.

• Чтобы вывести список всех активных правил используйте:

sudo ufw status verbose

• Чтобы удалить правило, используйте команду delete. Например, чтобы удалить правило SSH:

sudo ufw delete allow ssh

• Вы также можете удалить определенные правила для портов, используя их номер порта или имя службы.

Шаг 8 - Обзор состояния и конфигурации UFW

Хорошей практикой является периодический просмотр состояния брандмауэра и подтверждение того, что правила работают так, как вы ожидаете.

• Чтобы проверить состояние UFW, выполните следующие действия:

sudo ufw status verbose

• Эта команда предоставляет подробный обзор текущих настроек UFW, включая активные правила и политики по умолчанию.

Если вы внесли изменения, просмотрите и скорректируйте правила, чтобы убедиться в отсутствии дыр в безопасности.

Шаг 9 - Отключение или сброс настроек UFW

Если в какой-то момент вы захотите отключить брандмауэр (например, для устранения неполадок), вы можете легко это сделать:

• Чтобы отключить UFW:

sudo ufw disable

• Чтобы вернуть UFW к конфигурации по умолчанию (удалив все правила):

sudo ufw reset

• После сброса настроек вам нужно будет снова включить UFW и настроить необходимые правила заново.

Заключение

UFW предлагает простой и эффективный способ защитить вашу систему Ubuntu, управляя правилами брандмауэра. Настроив политики по умолчанию, разрешив необходимые службы и заблокировав нежелательные соединения, вы сможете значительно уменьшить площадь атаки на ваш сервер или рабочий стол.

Не забывайте регулярно пересматривать конфигурацию брандмауэра, чтобы она соответствовала потребностям вашей сети и лучшим практикам безопасности. С UFW управление брандмауэром на Ubuntu становится простой и легко выполнимой задачей, позволяя вам сосредоточиться на основных задачах, не беспокоясь о сложных конфигурациях брандмауэра.