Начало работы с UFW (Uncomplicated Firewall) на Ubuntu 22.04

UFW или Uncomplicated Firewall — это приложение для управления брандмауэром на основе iptables в Ubuntu. UFW является инструментом конфигурации брандмауэра по умолчанию для Ubuntu Linux и предоставляет удобный способ настройки брандмауэра. Команда UFW написана на английском, поэтому команды легко запомнить. Брандмауэр UFW поддерживает IPv4 и IPv6.

UFW также предоставляет графическое приложение. Если вы используете рабочий стол GNOME, вы можете установить gufw; если вы используете рабочий стол KDE, вы можете установить kcm-ufw.

Предварительные требования

• Версия Ubuntu от 16.04 до 22.04. Более новые версии Ubuntu также должны работать.
• Привилегии root

Что охватывается в этом руководстве?

1. Установка UFW.
2. Основной синтаксис команд UFW.
3. Команда UFW Allow и Deny.
4. Расширенные команды UFW.
5. Удаление правила в UFW.
6. Отключение и сброс UFW.

Установка UFW

По умолчанию UFW уже должен быть установлен на Ubuntu 20.04. Вы можете проверить это с помощью команды:

which ufw

Если она не возвращает путь к команде, как показано выше, установите UFW с помощью следующей команды apt:

sudo apt install ufw

Затем выполните следующую команду, чтобы включить UFW:

sudo ufw enable

Результат:

Команда может нарушить существующие ssh-соединения. Продолжить операцию (y|n)? y  
Брандмауэр активен и включен при запуске системы

Основная команда UFW

Команда “ufw enable” включит UFW с правилами по умолчанию. Вы можете проверить, что UFW работает, выполнив эту команду:

sudo ufw status verbose

Результат:

Статус: активен  
Журнал: включен (низкий)  
По умолчанию: запрещено (входящие), разрешено (исходящие), отключено (маршрутизируемые)  
Новые профили: пропустить

Если вы хотите отключить или выключить UFW, вы можете использовать:

sudo ufw disable

Результат:

Брандмауэр остановлен и отключен при запуске системы

Команда UFW Allow и Deny

1. Команда UFW Allow

UFW будет запрещать все входящие соединения после его включения. Поэтому первое, что вам следует сделать, это разрешить доступ по SSH к серверу, если вы хотите управлять системой удаленно. Команда “ufw allow sshport” разрешает доступ по SSH, замените SSHPORT на порт службы SSH, порт SSH по умолчанию — 22.

sudo ufw allow 22

Результат:

Правила обновлены  
Правила обновлены (v6) #Для IPv6

Если вы хотите разрешить входящие соединения на порт 22 только для TCP, добавьте в конце команды “/ tcp “ как показано в следующем примере.

sudo ufw allow 22/tcp

Когда служба, к которой вы хотите разрешить доступ, прослушивает свой порт по умолчанию, вы можете использовать имя службы вместо номера порта. Это упрощает открытие порта, так как вы можете не знать номер порта. UFW найдет правильный номер порта в /etc/services за вас.

Эта команда откроет порт SSH по умолчанию:

sudo ufw allow ssh

Теперь проверьте правило с помощью:

sudo ufw status

2. Команда UFW Deny

Команда “deny” работает аналогично команде “allow” и используется для закрытия порта в брандмауэре:

Запрет с опцией порта:

sudo ufw deny 80

Результат:

Правило обновлено  
Правило обновлено (v6)

Пример для “deny” с именем службы. В этом примере я заблокирую http порт/80:

sudo ufw deny http

Примечание:

Все порты и их имена служб перечислены в файле “/etc/services”.

Расширенные команды UFW

Теперь мы углубимся в синтаксис команд UFW, узнаем, как разрешать диапазоны портов (например, для пассивных портов FTP) и доступ только с одного IP или подсети.

1. Разрешить диапазон портов

Вы можете разрешить диапазон портов в UFW. Некоторые службы, такие как FTP или IRC, используют диапазон портов для связи со своими клиентами.

В этом примере мы разрешим диапазон портов, используемый ircd на моем сервере. Диапазон — порты с 6660 по 6670:

sudo ufw allow 6660:6670/tcp  
sudo ufw allow 6660:6670/udp

Команда позволит соединения на порты 6660-6670 через протоколы TCP и UDP.

2. Разрешить конкретный IP-адрес

Вы также можете добавить конкретный IP, чтобы разрешить доступ ко всем службам, добавив опцию “ from “. Это, например, полезно, если у вас есть статический IP дома или в офисе и вы хотите разрешить доступ ко всем службам на вашем сервере оттуда. Команда ниже позволит IP 192.168.1.106 получить доступ ко всем портам на сервере:

sudo ufw allow from 192.168.1.106

Результат:

Правило добавлено

3. Разрешить подсеть

Если вы хотите разрешить все IP-адреса в вашей подсети, вы можете добавить IP подсеть (диапазон IP-адресов) к команде UFW вот так:

sudo ufw allow from 192.168.1.1/24

Результат:

WARN: Правило изменено после нормализации  
Правило добавлено

4. Разрешить доступ с конкретного IP-адреса к одному порту

Если вы хотите разрешить доступ к одному порту только с конкретного IP, вы можете объединить команды UFW, которые мы изучили выше.

Например, только IP 192.168.1.106 может получить доступ к ssh порту 22 TCP, и другие IP будут отклонены с этого порта, вы можете использовать следующую команду:

sudo ufw allow from 192.168.1.106 proto tcp to any port 22

Результат:

Правило добавлено

5. Разрешить весь входящий трафик на конкретный порт

Если вы хотите разрешить весь трафик на порту 80, вы можете использовать эту команду:

sudo ufw allow to any port 80

Удаление правила брандмауэра UFW

В этом разделе вы узнаете, как удалить правило, которое сохранено в UFW. Вы можете использовать команду “ delete “, чтобы удалить правило ufw. Пожалуйста, введите команду “ ufw delete “, за которой следует опция, которую вы хотите удалить, allow или deny.

Вот несколько примеров:

Удаление правила разрешения SSH с именем службы:

sudo ufw delete allow ssh

Результат:

Правило удалено  
Правило удалено (v6)

Эта команда удалит правило “ allow ssh “. Будьте осторожны, не заблокируйте себя на сервере.

Удалите правило “deny” на порту 80:

sudo ufw delete deny 80

Результат:

Правило удалено  
Правило удалено (v6)

Если у вас есть сложное правило, то есть простой способ идентифицировать и удалить правило по его ID. Выполните следующую команду, чтобы получить список всех правил с их ID:

sudo ufw status numbered

Результат:

Статус: активен  
   
     Куда                     Действие      Откуда  
     --                       ------      ----  
[ 1] 22/tcp                 ALLOW IN    Везде  
[ 2] 22/tcp (v6)            ALLOW IN    Везде (v6)

Теперь удалите правило SSH только для IPv6, используя номер правила:

sudo ufw delete 2

Отключение и сброс UFW

Если вы хотите выключить UFW, не удаляя ваши правила, вы можете использовать команду “ disable “:

sudo ufw disable

Результат:

Брандмауэр остановлен и отключен при запуске системы

Если вы хотите полностью отключить UFW и удалить все правила, вы можете использовать команду “ reset “:

sudo ufw reset

Результат:

Сброс всех правил к установленным значениям по умолчанию. Это может нарушить существующие ssh  
соединения. Продолжить операцию (y|n)? y  
Резервное копирование 'after6.rules' в '/etc/ufw/after6.rules.20150918_190351'  
Резервное копирование 'user.rules' в '/lib/ufw/user.rules.20150918_190351'  
Резервное копирование 'after.rules' в '/etc/ufw/after.rules.20150918_190351'  
Резервное копирование 'before.rules' в '/etc/ufw/before.rules.20150918_190351'  
Резервное копирование 'before6.rules' в '/etc/ufw/before6.rules.20150918_190351'  
Резервное копирование 'user6.rules' в '/lib/ufw/user6.rules.20150918_190351'

Заключение

UFW (Uncomplicated Firewall) является инструментом конфигурации брандмауэра по умолчанию в Ubuntu. Команды UFW похожи на английский, что делает их простыми в использовании и запоминании. Это руководство по UFW является путеводителем для начала работы с этим удобным инструментом брандмауэра. Если вы хотите узнать больше о UFW, вы можете посетить вики Ubuntu или страницу man для ufw.