Огляд UFW: Керування брандмауером на Ubuntu

Нескладний брандмауер Ubuntu (UFW) - це зручний інструмент для керування правилами брандмауера. Розроблений для спрощення роботи з iptables, UFW допомагає захистити вашу систему, контролюючи вхідний і вихідний мережевий трафік. 

Цей посібник крок за кроком проведе вас через процес налаштування та керування UFW.

<H2> Системні вимоги

Перш ніж почати, переконайтеся, що ваша система відповідає цим вимогам:

• Встановлено Ubuntu 16.04 або новішої версії.
• Привілеї root або sudo.
• Базове розуміння концепцій SSH і брандмауера.

Якщо ви готові, давайте почнемо.

Налаштування брандмауера Ubuntu за допомогою UFW

Тепер давайте зануримося в налаштування брандмауера за допомогою UFW. 

Ми пройдемося по кроках один за одним, щоб переконатися, що ви розумієте обґрунтування кожної дії.

Крок 1 - Перевірка функціональності IPv6

UFW здатний обробляти як IPv4, так і IPv6 трафік. За замовчуванням він підтримує обидва протоколи, але вам може потрібно переконатися, що IPv6 правильно налаштовано і ввімкнено. Перевірте, чи активна функція IPv6 у вашій системі:

• Відкрий термінал.
• Перевірте системні налаштування для IPv6: 

sudo ufw show raw

• Якщо IPv6 увімкнено, ви побачите його у списку результатів. Якщо ні, ви можете увімкнути його вручну, відредагувавши файл конфігурації UFW.

sudo nano /etc/default/ufw

• Переконайтеся, що встановлено IPV6=yes. Збережіть файл і закрийте редактор.

Примітка: Якщо ви не використовуєте IPv6, ви можете вимкнути його, встановивши IPv6=n.

Крок 2 - Налаштування політик за замовчуванням

Далі настав час визначити поведінку брандмауера за замовчуванням. Рекомендується заборонити вхідний трафік і дозволити вихідний трафік, дозволяючи системі ініціювати з'єднання, але блокуючи вхідні з'єднання, якщо це не дозволено.

1. Встановіть політики за замовчуванням:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Ці налаштування гарантують, що будь-який небажаний трафік ззовні буде заблоковано, а вихідний трафік з вашого сервера буде дозволено. Ви завжди можете додати правила пізніше, щоб дозволити певні вхідні з'єднання (наприклад, для SSH або HTTP)

Крок 3 - Дозволити доступ по SSH

Однією з перших служб, яку ви захочете дозволити, є SSH (Secure Shell). Якщо ви керуєте своїм сервером віддалено, це необхідно для підтримки доступу до вашої системи.

Дозвольте SSH (порт 22), щоб забезпечити віддалений доступ до сервера:

sudo ufw allow ssh

Або використовуючи певний номер порту:

sudo ufw allow 22

Це правило дозволяє вхідний трафік на порт 22, який є портом за замовчуванням для SSH.

Крок 4 - Активація брандмауера UFW

Коли політики за замовчуванням і необхідні правила встановлено, настав час активувати брандмауер.

• Увімкніть UFW:

sudo ufw enable

• UFW буде активовано, і налаштування брандмауера буде застосовано.

Важливо: Переконайтеся, що ви дозволили доступ по SSH, перш ніж вмикати UFW, інакше ви можете заблокувати себе в системі, якщо керуєте нею віддалено.

Крок 5 - Налаштуйте додаткові правила підключення

Вам можуть знадобитися додаткові з'єднання на основі служб, які ви хочете запустити на вашому сервері, наприклад, веб-сервери (HTTP/HTTPS) або інші служби.

Наприклад, щоб дозволити HTTP (порт 80) і HTTPS (порт 443), скористайтеся наступними командами:

• Дозволити HTTP (порт 80):

sudo ufw allow http

• Дозволити HTTPS (порт 443):

sudo ufw allow https

Ви також можете вказати користувацькі порти або служби за номером або назвою, наприклад, так:

sudo ufw allow 8080/t

Крок 6 - Блокування небажаного трафіку

Іноді вам може знадобитися блокування трафік з певних IP-адрес або діапазонів. Наприклад, якщо ви помітили зловмисну активність або спроби доступу до вашої системи з небажаних IP-адрес, ви можете заблокувати їх за допомогою:

• Заборонити IP-адресу:

sudo ufw deny from 192.168.1.100

• Це заблокує весь вхідний трафік з IP-адреси 192.168.1.100.

Ви також можете блокувати трафік на певних портах або навіть за країною (за допомогою додаткових інструментів)

Крок 7 - Видаліть непотрібні правила

У міру розвитку системи у вас можуть накопичуватися правила брандмауера, які більше не потрібні. Важливо видаляти застарілі правила, щоб підтримувати конфігурацію брандмауера в порядку.

• Перелік усіх активних правил:

sudo ufw status verbose

• Щоб видалити правило, скористайтеся командою delete. Наприклад, щоб видалити правило SSH:

sudo ufw delete allow ssh

• Ви також можете видалити певні правила портів, використовуючи номер порту або назву служби.

Крок 8 - Перегляд стану та конфігурацій UFW

Рекомендується періодично переглядати стан брандмауера і переконуватися, що правила відповідають вашим очікуванням.

• Перевірка статусу UFW:

sudo ufw status verbose

Ця команда надає детальний огляд поточних налаштувань UFW, включаючи активні правила і політики за замовчуванням.

• Якщо ви внесли зміни, перегляньте та відкоригуйте правила, щоб переконатися, що в них немає прогалин у безпеці

Крок 9 - Вимкнення або скидання налаштувань UFW

Якщо в будь-який момент ви захочете вимкнути брандмауер (наприклад, для усунення несправностей), ви можете легко це зробити:

• Відключення UFW:

sudo ufw disable

• Скинути UFW до конфігурації за замовчуванням (видалити всі правила):

sudo ufw reset

• Після скидання вам потрібно буде знову увімкнути UFW і знову налаштувати необхідні правила.

Заключні думки

UFW пропонує простий і ефективний спосіб захисту вашої системи Ubuntu за допомогою керування правилами брандмауера. Налаштувавши політики за замовчуванням, дозволивши необхідні служби і заблокувавши небажані з'єднання, ви можете значно зменшити поверхню атаки на ваш сервер або комп'ютер.

Не забувайте регулярно переглядати конфігурацію брандмауера, щоб вона відповідала потребам вашої мережі та найкращим практикам безпеки. З UFW керування брандмауером в Ubuntu стає спрощеним і керованим завданням, що дозволяє вам зосередитися на своїх основних завданнях, не турбуючись про складні конфігурації брандмауера.