Как Настроить Брандмауэр с UFW в Ubuntu 18.04

Безопасность — это то, к чему не следует относиться легкомысленно в эпоху, когда киберпреступления фигурируют в заголовках практически всех статей, связанных с ИТ. Поэтому рекомендуется всегда следить и принимать все возможные меры, чтобы повысить уровень безопасности вашего сервера.

Защищая наш сервер, мы также защищаем наши данные. Эффективный способ сделать это в Ubuntu — настроить брандмауэр, он же firewall, он же межсетевой экран. Благодаря этому мы сможем контролировать входящие и исходящие подключения к нашему серверу. В этом руководстве мы научим вас, как настроить фаервол с помощью UFW в Ubuntu 18.04.

Ubuntu firewall и защита сервера

Брандмауэр — это компьютерное оборудование или программное обеспечение, которое контролирует входящий и исходящий трафик машины. Другими словами, это довольно важный элемент компьютерной безопасности. Если у вас есть компьютер, подключенный к интернету, рекомендуется защитить его, настроив фаервол.

Несмотря на то, что в Linux предусмотрены отличные функции безопасности, дополнительная осторожность не помешает.

Ubuntu поставляется с приложением, которое упрощает настройку брандмауэра. Оно называется UFW (Uncomplicated Firewall), который представляет собой интерфейс Iptables. В Ubuntu 18.04 UFW обычно установлен по умолчанию. Но, скорее всего, он будет отключен. UFW имеет графический интерфейс GUFW, который вы можете установить, если у вас есть среда рабочего стола.

Настройка брандмауэра с помощью UFW в Ubuntu 18.04

Как мы уже говорили, UFW по умолчанию установлен в Ubuntu 18.04, однако он не включен. Таким образом, первое, что нужно сделать, это включить UFW.

Для этого мы должны сначала подключиться к серверу с помощью SSH или, если Ubuntu 18.04 работает локально, просто открыть терминал. Если у вас возникли проблемы со входом на сервер, ознакомьтесь с этим руководством.

ssh vash-user@vash-server

Как только у нас будет доступ к нашему серверу, мы включим UFW с помощью следующей команды:

sudo ufw enable

Если вы увидите сообщение об ошибке «Команда не найдена», установите UFW с помощью следующей команды.

sudo apt-get install ufw

Затем мы должны проверить статус UFW.

sudo ufw status

Как мы видим, теперь UFW включен.

По умолчанию UFW запрещает все входящие и разрешает все исходящие соединения. Для многих пользователей этой конфигурации достаточно, но если у нас есть сетевые службы или приложения, мы должны установить некоторые правила.

Настройка правил брандмауэра в Ubuntu 18.04 с UFW

Правило брандмауэра — это инструкция, определяющая принцип работы межсетевого экрана. Правила определяют, какие соединения принимаются или запрещаются.

Далее мы настроим некоторые правила брандмауэра с помощью UFW:

Открытие и закрытие портов с помощью UFW

Порты — это интерфейсы подключения, используемые приложениями для установления соединения с сервером.

С UFW их довольно легко открывать или закрывать по своему усмотрению. Чтобы открыть порт, нам нужно запустить эту команду:

sudo ufw allow [port/protocol]

Если мы говорим о протоколах, то это могут быть TCP или UDP. Всё зависит от наших потребностей. Например:

sudo ufw allow 56/tcp

Это означает, что все приложения или службы, которые пытаются подключиться к нашему серверу через порт 56, будут разрешены.

Однако мы можем запретить использование этого порта с помощью следующей команды:

sudo ufw deny 56/tcp

Теперь все приложения, использующие TCP и пытающиеся подключиться к серверу через порт 56, не смогут этого сделать.

Мы также можем одной командой разрешить или заблокировать ряд портов. Это здорово экономит время. Базовый синтаксис выглядит так:

sudo ufw allow/deny [Начальный_порт:Конечный_порт]/протокол

Чтобы открыть порты, команда будет выглядеть следующим образом:

sudo ufw allow 300:310/tcp

Или, чтобы запретить их:

sudo ufw deny 300:310/tcp

Работа со службами в Ubuntu firewall

UFW может применять некоторые сетевые службы. Чтобы управлять ими, нужно знать порт, который они используют для подключения к серверу.

Например, HTTP требует, чтобы был доступен порт 80, а HTTPS — порт 443.

Итак, для HTTP нам нужно запустить эту команду:

sudo ufw allow http

Выполнение этой  команды эквивалентно включению порта 80.

Таким образом, нам нужно знать только порты, используемые сетевыми службами.

Запретить или разрешить подключения по IP-адресу

Также мы можем запретить доступ для определенного IP-адреса.

Для этого мы должны выполнить следующую команду:

sudo ufw deny from IP_АДРЕС

Например:

sudo ufw deny from 192.168.1.2

Или наоборот, если мы хотим разрешить доступ только этому IP-адресу.

sudo ufw allow from 192.168.1.3

Ещё, если мы хотим, чтобы IP-адрес мог подключаться только к определённому порту, мы можем уточнить это следующим образом:

sudo ufw allow from [IP_АДРЕС] to any port [ПОРТ]

В реальном сценарии команда будет выглядеть так:

sudo ufw allow from 192.168.1.4 to any port 44

При таком раскладе IP-адрес сможет устанавливать соединение только в том случае, если он использует порт 44.

Удаление правила межсетевого экрана в Ubuntu

Мы можем удалить отдельное правило из нашего UFW с помощью одной записи в командной строке! Но сначала мы должны перечислить их все. Для этого мы должны запустить эту команду:

sudo ufw status numbered

Список Правил UFW в Терминале Ubuntu

После этого удаляем то правило, которое хотим. Для примера давайте удалим правило номер четыре.

sudo ufw delete 4

Вот мы и перечислили все основные функции, о которых стоит знать. Теперь вы готовы настроить безопасность своего сервера так, как считаете нужным. Если вам нужна дополнительная информация, просмотрите руководство UFW. Вызвать его можно с помощью следующей команды:

sudo ufw –help

Итоги

Процесс настройки брандмауэра в Ubuntu 18.04 прост благодаря UFW. Однако у этого приложения есть ещё много возможностей для усиления защиты нашего сервера. Здесь вы узнали о его основных функциях, которые должен знать каждый. Мы надеемся, что это руководство было полезным для вас. Берегите себя и свои данные!

Author
Автор

Olha L.

Ольга вже близько восьми років працює менеджером у сфері IT, три з яких вона займається SEO. Написання технічних завдань та інструкцій — один з її основних обов'язків. Її хобі — дізнаватися щось нове і створювати цікаві та корисні статті про сучасні технології, веброзробку, мови програмування, пошукову оптимізацію сайтів та багато іншого.