UFW общие правила и команды брандмауэра

Автор Itworkroom

UFW общие правила и команды брандмауэра

Введение

UFW-это инструмент настройки брандмауэра для iptables, который по умолчанию входит в состав Ubuntu. Это руководство по стилю шпаргалки содержит краткую ссылку на команды UFW, которые будут создавать правила брандмауэра iptables, полезные в обычных повседневных сценариях. Это включает в себя примеры UFW разрешения и блокировки различных служб по порту, сетевому интерфейсу и исходному IP-адресу.

Помните, что вы можете проверить свой текущий набор правил UFW с помощью команд:

   sudo ufw status
   sudo ufw status verbose

Чтобы заблокировать все сетевые подключения, исходящие от определенного IP-адреса, например 15.15.15.51, выполните следующую команду:

   sudo ufw deny from 15.15.15.51

В этом примере from 15.15.15.51указывается исходный IP-адрес “15.15.15.51”. Если вы хотите, подсеть, например15.15.15.0/24, может быть указана здесь вместо этого. Исходный IP-адрес может быть указан в любом правиле брандмауэра, включая правило allow.

Блокировать подключения к сетевому интерфейсу

Чтобы заблокировать соединения с определенного IP-адреса, например15.15.15.51, с определенным сетевым интерфейсом, напримерeth0, используйте эту команду:

   sudo ufw deny in on eth0 from 15.15.15.51

Это то же самое, что и в предыдущем примере, с добавлением in на eth0. Сетевой интерфейс может быть указан в любом правиле брандмауэра, и это отличный способ ограничить правило определенной сетью.

Сервис: SSH

Если вы используете облачный сервер, вы, вероятно, захотите разрешить входящие SSH-соединения (порт 22), чтобы вы могли подключаться к своему серверу и управлять им. В этом разделе описывается, как настроить брандмауэр с помощью различных правил, связанных с SSH.

Разрешить SSH

Чтобы разрешить все входящие SSH соединения выполните эту команду:

   sudo ufw allow ssh

Альтернативный синтаксис заключается в указании номера порта службы SSH:

   sudo ufw allow 22

Разрешить входящий SSH с определенного IP адреса или подсети

Чтобы разрешить входящие SSH-соединения с определенного IP-адреса или подсети, укажите источник. Например, если вы хотите разрешить всю 15.15.15.0/24подсеть, выполните эту команду:

   sudo ufw allow from 15.15.15.0/24 to any port 22

Разрешить входящую Rsync с определенного IP-адреса или подсети

Rsync, работающий на порту 873, может использоваться для передачи файлов с одного компьютера на другой.

Чтобы разрешить входящие rsync-соединения с определенного IP-адреса или подсети, укажите исходный IP-адрес и порт назначения. Например, если вы хотите разрешить всей 15.15.15.0/24подсети иметь возможность rsync к вашему серверу, выполните эту команду:

sudo ufw allow from 15.15.15.0/24 to any port 873

Сервис: Веб-Сервер

Веб-серверы, такие как Apache и Nginx, обычно прослушивают запросы на порты 80 и 443 для соединений HTTP и HTTPS соответственно. Если для политики по умолчанию для входящего трафика задано значение drop или deny, необходимо создать правила, которые позволят серверу отвечать на эти запросы.

Разрешить все входящие HTTP

Чтобы разрешить все входящие соединения HTTP (порт 80), выполните эту команду:

   sudo ufw allow http

Альтернативным синтаксисом является указание номера порта службы HTTP:

   sudo ufw allow 80

Разрешить все входящие HTTPS

Чтобы разрешить все входящие соединения HTTPS (порт 443), выполните эту команду:

   sudo ufw allow https

Альтернативным синтаксисом является указание номера порта службы HTTPS:

   sudo ufw allow 443

Разрешить все входящие HTTP и HTTPS

Если вы хотите разрешить как HTTP, так и HTTPS трафик, вы можете создать одно правило, которое разрешает оба порта. Чтобы разрешить все входящие соединения HTTP и HTTPS (порт 443), выполните эту команду:

   sudo ufw allow proto tcp from any to any port 80,443

Обратите внимание, что при указании нескольких портов необходимо указать протокол

Сервис: MySQL

MySQL прослушивает клиентские соединения на порту 3306. Если ваш сервер баз данных MySQL используется клиентом на удаленном сервере, вы должны быть уверены, что разрешите этот трафик.

Разрешить MySQL с определенного IP-адреса или подсети

Чтобы разрешить входящие соединения MySQL с определенного IP-адреса или подсети, укажите источник. Например, если вы хотите разрешить всю 15.15.15.0/24 подсеть, выполните эту команду:

   sudo ufw allow from 15.15.15.0/24 to any port 3306

Разрешить MySQL к определенному сетевому интерфейсу

Чтобы разрешить подключения MySQL к определенному сетевому интерфейсу, скажем у вас есть частный сетевой интерфейс eth1, используйте эту команду:

   sudo ufw allow in on eth1 to any port 3306

Сервис: PostgreSQL

PostgreSQL прослушивает клиентские соединения на порту 5432. Если ваш сервер баз данных PostgreSQL используется клиентом на удаленном сервере, вы должны быть уверены, что разрешите этот трафик.

PostgreSQL с определенного IP адреса или подсети

Чтобы разрешить входящие соединения PostgreSQL с определенного IP-адреса или подсети, укажите источник. Например, если вы хотите разрешить всю 15.15.15.0/24 подсеть, выполните эту команду:

   sudo ufw allow from 15.15.15.0/24 to any port 5432

Вторая команда, которая разрешает исходящий трафик установленных подключений PostgreSQL, необходима только в том случае, если OUTPUT политика не настроена ACCEPT.

Разрешить PostgreSQL для конкретного сетевого интерфейса

Чтобы разрешить подключение PostgreSQL к определенному сетевому интерфейсу-скажем, у вас есть частный сетевой интерфейс eth1 используйте команду:

   sudo ufw allow in on eth1 to any port 5432

Вторая команда, которая разрешает исходящий трафик установленных подключений PostgreSQL, необходима только в том случае, если OUTPUT политика не настроена ACCEPT.

Сервис: Почта

Почтовые серверы, такие как Sendmail и Postfix, прослушивают различные порты в зависимости от протоколов, используемых для доставки почты. Если вы используете почтовый сервер, определите, какие протоколы вы используете, и разрешите соответствующие типы трафика. Мы также покажем вам, как создать правило для блокировки исходящей SMTP-почты.

Блокировать исходящую SMTP почту

Если ваш сервер не должен отправлять исходящую почту, вы можете заблокировать такой трафик. Чтобы заблокировать исходящую SMTP-почту, использующую порт 25, выполните следующую команду:

   sudo ufw deny out 25

Это настраивает ваш брандмауэр, чтобы отбросить весь исходящий трафик на порт 25. Если вам нужно отклонить другую службу по ее номеру порта, а не по порту 25, просто замените ее.

Разрешить все входящие SMTP

Чтобы разрешить серверу отвечать на SMTP-соединения, порт 25, выполните эту команду:

   sudo ufw allow 25

Примечание: обычно SMTP-серверы используют порт 587 для исходящей почты.

Разрешить все входящие IMAP

Чтобы разрешить серверу отвечать на IMAP-соединения, порт 143, выполните эту команду:

   sudo ufw allow 143

Разрешить все входящие IMAP-файлы

Чтобы разрешить серверу отвечать на IMAP-соединения, порт 993, выполните эту команду:

   sudo ufw allow 993

Разрешить все входящие POP3

Чтобы разрешить серверу реагировать на подключения POP3, порт 110, выполните эту команду:

   sudo ufw allow 110

Разрешить все входящие POP3S

Чтобы позволить вашему серверу реагировать на подключения POP3S, порт 995, выполните эту команду:

   sudo ufw allow 995

Вывод

Это должно охватывать многие команды, которые обычно используются при использовании UFW для настройки брандмауэра. Конечно, UFW-это очень гибкий инструмент, поэтому не стесняйтесь смешивать и сопоставлять команды с различными опциями в соответствии с вашими конкретными потребностями, если они здесь не рассматриваются.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *