Ve výchozím nastavení přichází Ubuntu s konfiguračním nástrojem brány firewall, který se nazývá UFW. UFW znamená Uncomplicated Firewall používaný ke správě pravidel firewallu v Ubuntu.
UFW, neboli Uncomplicated Firewall, je v podstatě rozhraní k iptables, které je zaměřeno na zjednodušení procesu konfigurace firewallu. I když je iptables solidní a flexibilní nástroj, pro začátečníky může být obtížné naučit se jej používat ke správné konfiguraci firewallu. Pokud chcete začít se zabezpečením své sítě a nejste si jisti, který nástroj použít, UFW může být pro vás tou správnou volbou.
Zde v LinuxAPT, jako součást našich služeb správy serveru, pravidelně pomáháme našim zákazníkům provádět související dotazy na UFW Firewall.
V této souvislosti se podíváme na to, jak nastavit UFW firewall na Ubuntu.
Jak nainstalovat UFW na Ubuntu?
Než budete pokračovat v tomto postupu instalace, ujistěte se, že používáte uživatele s oprávněním sudo.
Jak již bylo zmíněno, UFW je ve výchozím nastavení nainstalováno v Ubuntu. Z jakéhokoli důvodu, který jste odinstalovali, byste měli nejprve nainstalovat UFW do svého systému Ubuntu.
$ sudo apt install ufw
Jak zkontrolovat stav UFW na Ubuntu?
Po dokončení instalace můžete zkontrolovat stav ufw. Za tímto účelem spusťte níže uvedený příkaz:
$ sudo ufw status verbose
Pokud jste nikdy předtím UFW neaktivovali, bude výstup zobrazovat jako neaktivní, protože ve výchozím nastavení je UFW zakázáno:
Output
Status: inactive
Jakmile aktivujete UFW, stavový výstup se zobrazí takto:
Output
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
Jak povolit UFW na Ubuntu?
Pokud ve vašem systému není povoleno UFW, můžete to snadno provést zadáním:
$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
It will show warning that it may disrupt existing ssh connections if enabling the firewall. Press y and hit Enter to continue.
Nyní, pokud chcete zkontrolovat stav, můžete to zkontrolovat znovu a mělo by se zobrazit aktivováno.
Jak nastavit výchozí zásady UFW na Ubuntu?
UFW zablokuje všechna příchozí připojení a povolí všechna odchozí připojení. Obvykle potřebujeme, aby byly pro příchozí připojení otevřeny pouze některé porty a všechny ostatní porty byly blokovány. Výchozí zásady jsou definovány v souboru /etc/default/ufw.
Pomocí UFW můžete nastavit a spravovat tento typ zásad pravidel.
Použijte níže uvedený příkaz k odmítnutí všech příchozích připojení k vašemu systému:
$ sudo ufw default deny incoming
Chcete-li povolit všechna odchozí připojení, zadejte v terminálu následující.
$ sudo ufw default allow outgoing
Jak přidat pravidla do UFW na Ubuntu?
Je velmi snadné přidat pravidla pro jakoukoli službu nebo čísla portů. Níže je uvedena základní syntaxe pro přidání pravidla pro jakýkoli port:
$ sudo ufw ACTION PORT_NUMBER
Zde by měl ACTION nahradit zakázat nebo povolit a PORT_NUMBER je číslo portu, pro který chcete nastavit pravidlo.
Jak povolit port 22 připojení SSH?
Chcete-li povolit příchozí a odchozí připojení na portu 22 (SSH), spusťte níže příkaz:
$ sudo ufw allow 22
Můžete také spustit příkaz s názvem služby, jak je uvedeno níže:
$ sudo ufw allow ssh
Zobrazí výstup jako níže:
Output
Rule added
Rule added (v6)
Jak otevřít port 80 – HTTP na Ubuntu?
Připojení HTTP můžete povolit pomocí níže uvedeného příkazu:
$ sudo ufw allow http
Místo http můžete použít číslo portu, 80:
$ sudo ufw allow 80/tcp
Jak otevřít port 443 – HTTPS na Ubuntu?
Pokud váš web používá SSL, měl by váš server otevřít port 443, aby bylo možné přes něj připojení. Spuštěním níže uvedeného příkazu povolte port 443:
$ sudo ufw allow https
Stejně jako http můžete místo názvu služby použít číslo portu:
$ sudo ufw allow 443/tcp
Jak zakázat provoz na portu 972?
Provoz na konkrétním portu můžete zakázat pomocí níže uvedeného příkazu:
$ sudo ufw deny 972
Jak smazat pravidla na Ubuntu?
Pokud jste přidali nějaké pravidlo a nyní nepotřebujete další, můžete je snadno odstranit pomocí akce odstranění. Pokud například nechceme pravidlo pro https, spusťte níže příkaz k odstranění pravidla pro https:
$ sudo ufw delete allow 443
Jak povolit konkrétní IP adresy?
Pokud chcete povolit připojení z konkrétní IP adresy pro všechny porty, stačí zadat IP adresu, jak je uvedeno níže:
$ sudo ufw allow from 1.83.43.125
Přidá tuto IP adresu na seznam povolených.
Jak povolit konkrétní adresy IP na konkrétním portu?
Pokud požadujete, aby konkrétní IP adresa umožňovala připojení pouze pro konkrétní porty, spusťte níže příkaz:
$ sudo ufw allow from 1.03.03.025 to any port 22
Ve výše uvedeném příkazu můžete vidět, že jsme za IP adresou následovali číslo portu, abychom umožnili konkrétní port. Připojení od 1.03.03.025 jsou tedy povolena pouze pro port 22.
Jak odmítnout konkrétní IP adresy?
Chcete-li odmítnout všechna připojení z konkrétní IP adresy, musíte zadat IP adresu s možností odmítnout, jak je uvedeno níže:
$ sudo ufw deny from 1.03.03.025
Přidá tuto IP adresu na černou listinu.
Jak odepřít konkrétní IP adresy na konkrétním portu?
Pokud chcete zakázat připojení z konkrétní IP adresy pouze pro konkrétní porty, můžete to udělat spuštěním níže uvedeného příkazu:
$ sudo ufw deny from 1.03.03.025 to any port 22
Můžete vidět, že ve výše uvedeném příkazu jsme za IP adresou zadali číslo portu, který má být pro konkrétní port zakázán. Připojení od 1.03.03.025 jsou tedy zakázána pouze pro port 22.
Jak zakázat UFW na Ubuntu?
Pokud máte požadavek deaktivovat UFW, můžete to jednoduše provést spuštěním níže uvedeného příkazu:
$ sudo ufw disable
Jak se přihlásit do UFW?
Přihlášení do UFW můžete povolit nebo zakázat ve třech úrovních. Výchozí úroveň protokolu je nízká, střední a vysoká.
Chcete-li povolit protokolování, zadejte níže příkaz:
$ sudo ufw logging on