Nekomplikovaný firewall (UFW) poskytuje snadno použitelné rozhraní pro lidi, kteří nejsou obeznámeni s koncepty firewallu. Poskytuje rámec pro správu netfilter a také rozhraní příkazového řádku pro manipulaci s firewallem. Díky své malé sadě příkazů a jednoduchým anglickým parametrům umožňuje UFW rychle a snadno pochopit a nastavit pravidla brány firewall. Zároveň můžete použít UFW ke konfiguraci většiny pravidel, která jsou možná s iptables. UFW je předinstalovaný se všemi instalacemi Ubuntu po verzi 8.04 LTS.
Chcete-li zabezpečit síť nekomplikovaným firewallem, postupujte takto:
1. UFW je předinstalovaný na většině systémů. Pokud není nainstalován, může se zobrazit níže uvedená chyba:
ufw: command not found
2. Pokud tomu tak není, můžete jej nainstalovat pomocí následujícího příkazu podle vaší volby distribuce:
| Distribuce | Příkaz |
|---|---|
| Debian | apt-get install ufw |
| Ubuntu | apt-get install ufw |
| Arch Linux | pacman -S ufw |
| Kali Linux | apt-get install ufw |
| Fedora | dnf install ufw |
| Raspbian | apt-get install ufw |
Vezměme si příklad systému ubuntu:
$ sudo apt-get udpate $ sudo apt-get install UFW
3. Zkontrolujte stav UFW:
$ sudo ufw status
4. Přidejte nové pravidlo pro povolení SSH:
$ sudo ufw allow ssh
5. Případně můžete k otevření konkrétního portu použít číslo portu:
$ sudo ufw allow 22
6. Povolit pouze TCP provoz přes HTTP (port 80):
$ sudo ufw allow http/tcp
7. Odepřít příchozí provoz FTP:
$ sudo ufw deny ftp
8. Před spuštěním brány firewall zkontrolujte všechna přidaná pravidla:
$ sudo ufw show added
9. Nyní povolte bránu firewall:
$ sudo ufw enable
10. Zkontrolujte stav ufw, parametr verbose je volitelný:
$ sudo ufw status verbose
Příklady příkazů ufw
1. Povolte ufw:
# ufw enable
2. Zakázat ufw:
# ufw disable
3. Ukažte pravidla ufw spolu s jejich čísly:
# ufw status numbered
4. Povolte příchozí provoz na portu 5432 na tomto hostiteli s komentářem identifikujícím službu:
# ufw allow 5432 comment "Service"
5. Povolte pouze provoz TCP z adresy 192.168.0.4 na jakoukoli adresu na tomto hostiteli, na portu 22:
# ufw allow proto tcp from 192.168.0.4 to any port 22
6. Odepřít provoz na portu 80 na tomto hostiteli:
# ufw deny 80
7. Odepřít veškerý provoz UDP na porty v rozsahu 8412:8500:
# ufw deny proto udp from any to any port 8412:8500
8. Odstraňte určité pravidlo. Číslo pravidla lze získat z příkazu `ufw status numbered`:
# ufw delete rule_number
9. Získejte očíslovaný seznam přidaných pravidel:
$ sudo ufw status numbered
10. Můžete také povolit všechny porty v rozsahu zadáním rozsahu portů:
$ sudo ufw allow 1050:5000/tcp
11. Pokud chcete otevřít všechny porty pro konkrétní IP adresu, použijte následující příkaz:
$ sudo ufw allow from 10.0.2.100
Případně můžete povolit celou podsíť následovně:
$ sudo ufw allow from 10.0.2.0/24
12. Můžete také povolit nebo zakázat konkrétní port pro danou IP adresu:
$ sudo ufw allow from 10.0.2.100 to any port 2222 $ sudo ufw deny from 10.0.2.100 to any port 5223
13. Chcete-li zadat protokol v předchozím pravidle, použijte následující příkaz:
$ sudo ufw deny from 10.0.2.100 proto tcp to any port 5223
14. Mazání pravidel:
$ sudo ufw delete allow ftp
15. Odstraňte pravidla zadáním jejich čísel:
$ sudo ufw status numbered $ sudo ufw delete 2
16. Přidejte nové pravidlo na konkrétní číslo:
$ sudo ufw insert 1 allow 5222/tcp # Inserts a rule at number 1
17. Pokud chcete odmítnout odchozí připojení FTP, můžete použít následující příkaz:
$ sudo ufw reject out ftp