Вы находитесь на странице: 1из 12

+7 (499) 404-28-83 Связаться по: vkarabedyants Telegram Viber

Главная ИТ услуги Стоимость Блог О компании Клиенты

Контакты

Блог о системном администрировании серверов и


сайтов
Установка, настройка программного обеспечения Linux, Windows операционных систем

admin 02 Авг 2016 1 Ведите фразу для поиска ...

Как настроить брандмауэр


UFW на Ubuntu 16.04 LTS НАШИ УСЛУГИ

Как насторить брандмауэром UFW на сервере Ubuntu Linux 16.04 LTS Администрирование
, чтобы ограничить трафик на мой личный веб-сервер, на котором серверов
размещены мои фотографии и блоги для членов моей семьи?
DevOps инженер
UFW является аббревиатурой простой брандмауэр. Он используется
для управления брандмауэром Linux и призван обеспечить простой в Веб-сервер для высоких
нагрузок
использовании интерфейс для пользователя. В этом уроке вы узнаете,
как использовать UFW с IPTables для управления брандмауэром на
Оптимизация сайта и
Ubuntu Linux 16.04 LTS сервере.
сервера

Стр. 1 из 12
Установка UFW
Отказоустойчивость ИТ
инфраструктуры

Мониторинг серверов и
UFW входит в состав Ubuntu, но не в Debian Linux. Введите
сайтов
следующую команду APT-GET установите UFW на сервере Debian
Linux:
Установка и настройка
сервера

Виртуализация серверов
Примеры результата:

ИТ безопасность сайта и
сервера

Мини АТС — ip телефония

Удаление и очистка сайтов


и серверов от вирусов

Защита от DDoS-атак

Автоматизация задач
DevOps

ПОПУЛЯРНЫЕ СТАТЬИ

Как просмотреть статус mount: unknown filesystem type


‘davfs’

UFW? 10 комментариев

Установка и настройка Jira 7.0.9 на


По умолчанию UFW в неактивном состоянии т.е. нет правил
Linux
брандмауэра не настроен и весь трафик разрешен. Чтобы увидеть
8 комментариев
статус, введите следующую команду:

Айпи-телефония: настраиваем
Asterisk
Примеры результата:
4 комментария

Статус неактивный

Настройка политики по
умолчанию

Стр. 2 из 12
По умолчанию, когда UFW активируется он блокирует весь входящий
трафик на межсетевой экран / сервер. Только исходящий трафик
разрешен. Вы можете просмотреть правила по умолчанию UFW, введя
следующую команду:

Пример результата:

Политика по умолчанию работает хорошо для серверов и ноутбуков /


рабочих станции, так как вам нужно только открыть ограниченное
количество входящих портов. Это хорошая политика,  она закрывает
все порты на сервере / брандмауэра, и вам нужно только открыть
порты один за другим. Вы можете выполнить следующие команды,
чтобы установить политику, блокировать все входящие соединения и
разрешить только исходящие соединения от сервера / межсетевого
экрана:

Создание первого правила


брандмауэра, чтобы
разрешить подключение к SSH
(TCP-порт 22)
Введите следующую команду, чтобы разрешить SSH-соединения с
сервером:

ИЛИ

Скажем, если вы работаете в SSH на порту 2020, введите следующую


команду:

Следующие правила открывают доступ к TCP SSH порт 22 только на


10.8.0.1 (т.е. ваш сервер SSH слущает на IP 10.8.0.1 порт 22) из любого

Стр. 3 из 12
места:

Как добавить комментарий к


правилу?
Используйте следующий синтаксис

Откройте порт 53 и напишите комментарий о правиле:

Другой пример:

Включить брандмауэр на
основе UFW
Теперь у вас есть политика по умолчанию и SSH порт разрешен. Это
безопасно для того, чтобы  включить брандмауэр, введите следующую
команду:

Примеры выходов:

Команда может нарушить


Брандмауэр

После включения, брандмауэр запускается и после перезагрузки.

Отключить брандмауэр на основе


UFW
Если вам нужно остановить брандмауэр и отключить при запуске
системы, введите следующую команду:

Примеры вывода:

Брандмауэр остановлен

Стр. 4 из 12
Как я могу проверить
статус моих правил?
Используйте команду статус:

Примеры вывода:

Добавление большего
количества правил
(открытие портов и
разрешение IP-адреса)
Синтаксис выглядит следующим образом, чтобы открыть порт TCP 22 и
443:

Откройте сервер UDP / 1194 (OpenVPN):

Откройте порт 25 (smtpd / сервер электронной почты):

Вы можете разрешить диапазоны портов, TCP и UDP 3000 до 5000:

Разрешить соединения с определенного IP-адреса 1.2.3.4, введите

Стр. 5 из 12
следующую команду:

Разрешить соединения с определенного IP-адреса 1.2.3.4, к нашему


порту 22, введите следующую команду:

ИЛИ (Dest 222.222.222.222 порт 22)

Запрет доступа к порту


 (с IP и блока IP-
адресов)
Синтаксис выглядит следующим образом, чтобы запретить доступ (т.е.
просто игнорируя доступ к порту 443) к порту TCP — порт 443:

Запретить все соединения с IP-адреса  1.2.3.4, введите следующую


команду:

Запретить все соединения подсети  123.45.67.89/24, введите


следующую команду:

Запретить доступ с 1.2.3.4 на порт 22:

Отклонять доступ к
порту (сообщать
пользователю, что он
блокируются
Стр. 6 из 12
брандмауэром)
Синтаксис reject просто игнорирует трафик. Если вы хотите позволить
пользователя узнать о том, когда трафик отклонен, а не просто
игнорировать его, используйте  синтаксис:

Если кто-то попытается подключиться к порту 23 они получат


сообщение reject следующего содержания:

Невозможно подключиться

Удаление правил
брандмауэра UFW
Теперь вы знаете, как добавить, игнорировать, и получить список
правил брандмауэра. Настало время, удалить ненужные правила. Есть
два варианта удаления правила. Первый синтаксис:

В этом примере, удалить HTTPS (TCP-порт 443) трафика правило,

Если вы больше не желаете, разрешать трафик  smptd / электронной


почты (порт 25), выполните:

Второй вариант заключается в перечислении список всех текущих


правил в пронумерованном виде списка:

Примеры выходов:

Стр. 7 из 12
Чтобы удалить 2-е правило ( «UFW игнорировать от 123.45.67.89/24»),
наберите команду:

Как сбросить
брандмауэр?
Синтаксис выглядит следующим образом, что бы сбросить UFW
правила к заводским установкам по умолчанию и в неактивный
режим, выполните следующую команду:

Примеры вывода:

Сброс всех правил установленных


соединения
Резервное копирование
Резервное копирование
Резервное копирование
Резервное копирование
Резервное копирование
Резервное копирование

Как перезагрузить
брандмауэр?
Синтаксис выглядит следующим образом, перезагрузить брандмауэр:

При редактировании файла конфигурации UFW ‘, вам необходимо


запустить команду перезагрузки. Например, вы можете редактировать
/etc/ufw/before.rules, введите следующую команду:

ИЛИ

Стр. 8 из 12
Для того, чтобы разрешить весь трафик  eth0  введите следующую
команду:

Разрешить все на

Сохраните и закройте файл. Обновить firwall:

Как просмотреть
журналы брандмауэра?
По умолчанию все записи UFW хранятся в /var/log/ufw.log :

Примеры вывода:

августа
августа
августа

Вы можете искать по файлу журнала с  помощью команды grep:

Как получить UFW
отчеты?
Отчет отображает список правил, так как они были добавлены в
командной строке:

Примеры вывода:

Добавлены пользовательские правила


разрешить
отклонить

Необработанные отчет показывают полный межсетевой экран

Стр. 9 из 12
В отчете прослушивания будет отображать порты на  системе в
состоянии прослушивания для протокола TCP и открытом состоянии
для УДП, наряду с адресом интерфейса и кто прослушивает порт. ‘*’
Используется вместо адреса интерфейса, когда исполняемый файл
связан со всеми интерфейсами на этом порту. После этой информации
 список правил, которые могут повлиять на соединения на этом порту.
Правила перечислены в порядке, которм оцениваются ядром, а
первое соответствие приоритетнее. Обратите внимание, что  по
умолчанию нет в списке и tcp6 и udp6 показываются только, если IPV6
включено:

Другие возможные отчеты:

Если не получилось настроить фаервол,


обращайтесь к нам за помощью, раздел
Контакты.

Нет похожих статей.

Поделиться статьей:

Стр. 10 из 12
Как долго запущен процесс в Linux?
Автоматизация и упрощение жизни веб-разработчика

1 RESPONSE

roman Reply
20.04.2018 at 08:43

как посмотреть список правил при неактивном ufw,


перед тем как делать его enable?

ОСТАВИТЬ КОММЕНТАРИЙ

Name* Email* Website

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.


 −  3  =  6

Добавить комментарий

Администрирование Миграция в облако КОНТАКТЫ


серверов
Веб-сервер для высоких +7 (499) 404-28-83
Установка и настройка нагрузок
Skype: vkarabedyants
сервера
Отказоустойчивость сайта Telegram
DevOps администратор
Viber
Backup и резервное
Оптимизация сайта и копирование Email : office@system-

Стр. 11 из 12
сервера IP телефония admins.ru

ИТ безопасность сайта и
сервера

2014 - 2019 © Копирайт

Стр. 12 из 12