Простая настройка фаервола в ufw в ubuntu

Многие говорят и дискутируют на тему нужен ли антивирус в nix системах в частности нужен ли антивирус для ubuntu и в общем мнение восновном всегда все сходятся, для домашней машины он не нужен (в интернете полно информации на эту тему на форумах, по блогам и т.д.) и это хорошо, но вот настроить правила для интернет соединений с помощью файрвола рекомендуют все


Чтобы настроить простой межсетевой экран, не обязательно разбираться с тонкостями работы netfilter или изучать синтаксис iptables. Можно воспользоваться более простой в использовании конфигурационной утилитой ufw, (если пакет не установлен), поставьте его с помощью команды

sudo aptitudet install ufw

Программа очень проста в использовании, для включения межсетевого экрана достаточно отдать команду, выполняется единожды при установке в дальнейшем стартует вместе с системой

sudo ufw enable

Для его отключения:

sudo ufw disable

Далее запретить входящие соединения при помощи команд:

sudo ufw default deny

можно еще

sudo ufw deny ssh

или

sudo ufw allow ssh

Разрешить

sudo ufw default allow

или

Просмотр состояния

sudo ufw status

Просмотр доп. инфы.


sudo ufw status verbose

Отлючение лог ведения файлов

sudo ufw logging off

Включение логов

sudo ufw logging on

Если перезагрузившись status не активен, то можно прописать в

sudo nano /etc/ufw/ufw.conf

ENABLED=yes

вместо no

Так же можно посмотреть файл с дефолтными настройками ufw


nano /etc/default/ufw


не знаю есть ли толк, но статус теперь всегда активен, если добавить программой rcconf или любой подобной утилитой ufw в автостарт

В общем порядок самой простой настройки таков 1) Включение, 2) 3апрет на входящии и все  далее можно перезагрузившись посмотреть статус в подробностях.
Обратите внимание, что речь здесь идёт именно о соединениях, а не о входящих пакетах вообще — после команды sudo ufw default deny инициировать входящее соединение с вашей машиной станет невозможно, при этом входящие пакеты для соединений, инициированных вами, приниматься будут. Например, будет работать “аська” или торрент-клиент, но на машину нельзя будет “зайти” по telnet или http. Кроме того, ufw позволяет добавлять собственные правила фильтрации трафика, например команда:

sudo ufw allow from 192.168.0.0/24

открывает полный доступ к вашей машине из сети 192.168.0.0/24 (обычно подобные адреса используются для организации домашней сети, хотя у вас они могут быть другими). Запретить доступ, скажем, к 80-му tcp-порту (его слушает веб-сервер) можно следующим образом:

sudo ufw deny 80/tcp

или с помощью iptables

iptables -I INPUT 1 -p tcp --dport 80 -j DROP


Можно разрешать или запрещать доступ к портам для конкретного диапазона ip-адресов, работать с группой портов, удалять созданные правила и так далее. Притом все изменения применяются немедленно и сохраняются после перезагрузки компьютера. Для получения подробной информации по синтаксису ufw наберите команду:

man ufw


Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp. Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d
Вывести список профилей можно с помощью команды

sudo ufw app list
Доступные приложения: 
OpenSSH
Детальную информацию по профилю можно просмотреть с помощью команды

sudo ufw app info OpenSSH
Профиль: OpenSSH
Название: Secure shell server, an rshd replacement
Описание: OpenSSH is a free implementation of the Secure Shell protocol.
Порт: 22/tcp
Добавление правил для приложения, команда

sudo ufw app default allow|deny OpenSSH

После добавления или изменения профиля приложения (в файле) необходимо дать знать файрволу о новом профиле

sudo ufw app update OpenSSH
и готово.

Можно в файле hosts.deny (/etc/hosts.deny) раскоментировать строку #ALL: PARANOID

Предохранение вашей системы от ответов на ping запросы, отключение широковещательных сообщений и включение предупреждений обо всех неправильных сообщениях.

sudo nano /etc/ufw/sysctl.conf

и исправить 0 на 1

# Ignore bogus ICMP errors
net/ipv4/icmp_echo_ignore_broadcasts=1
net/ipv4/icmp_ignore_bogus_error_responses=1
net/ipv4/icmp_echo_ignore_all=1

Затем перезагрузить сеть

sudo /etc/init.d/networking restart

и готово.

Просканировать порты на открытые можно на онлайн сервисах или с помощью программы nmap

sudo nmap -sT 192.168.1.100

или

sudo nmap -p1-65535 192.168.1.100

просканирует все порты системы

ip ставится на который настроен интернет

или

sudo nmap localhost


Взято http://rus-linux.net http://www.opennet.ru и в общем в интернете

3 комментария:

  1. такая фигня с этим файерволом ufw, я его удалил и он не будучи в системе держал порты закрытыми, целый час не мог догнать почему у меня в роутере не работает Upnp и Forwarding. Правда в меню он был gufw, сборку я брал готовую, возможно был демон хз...

    ОтветитьУдалить
  2. Этот комментарий был удален автором.

    ОтветитьУдалить
  3. да тоже не использую его давно и сношу при новой установке, iptables только в системе. Ксати хорошая статья по настройке iptables

    http://posix.ru/network/iptables/

    ОтветитьУдалить

 
На верх