sudo apt install ufw
Ця команда створить правила брандмауера, які дозволять усі з'єднання на порту 22, який демон SSH прослуховує за замовчуванням. UFW знає, який порт має на увазі команда allow ssh, тому що він вказаний як послуга у файлі /etc/services.
Однак ми можемо записати еквівалентне правило, вказавши номер порту замість імені служби. Наприклад, ця команда працює так само, як показана вище:
sudo ufw allow ssh sudo ufw allow 22
Щоб активувати UFW, використовуйте таку команду:
sudo ufw enable
За допомогою UFW ви можете вказувати діапазони портів. Деякі додатки використовують для з'єднань не один порт, а кілька.
Наприклад, щоб дозволити з'єднання X11, які використовують порти 6000-6007, потрібно використовувати такі команди:
sudo ufw allow 6000:6007/tcp sudo ufw allow 6000:6007/udp
Під час роботи з UFW ви також можете вказувати конкретні IP-адреси. Наприклад, якщо ви хочете дозволити з'єднання з певної IP-адреси, наприклад з робочої або домашньої адреси 203.0.113.4, вам потрібно використати опцію from, а потім вказати IP-адресу:
sudo ufw allow from 203.0.113.4
Також ви можете вказати певний порт, до якого IP-адресі дозволено підключатися. Для цього потрібно додати опцію to any port, а потім вказати номер порту. Наприклад, якщо ви хочете дозволити IP-адресі 203.0.113.4 підключатися до порту 22 (SSH), потрібно використовувати таку команду:
sudo ufw allow from 203.0.113.4 to any port 22
Якщо ви хочете дозволити підмережу IP-адрес, ви можете вказати маску мережі за допомогою нотації CIDR. Наприклад, якщо ви хочете дозволити всі IP-адреси в діапазоні від 203.0.113.1 до 203.0.113.254, ви можете використовувати таку команду:
sudo ufw allow from 203.0.113.0/24
Також ви можете вказувати порт призначення, до якого дозволено підключатися підмережі 203.0.113.0/24. Як приклад ми використовуємо порт 22 (SSH):
sudo ufw allow from 203.0.113.0/24 to any port 22
Якщо ви не змінювали політику за замовчуванням для вхідних з'єднань, UFW налаштований на заборону всіх вхідних з'єднань. Це спрощує процес створення захищеної політики брандмауера, оскільки вам потрібно створювати правила, які прямо дозволяють з'єднання через конкретні порти та IP-адреси.
Однак у деяких випадках вам може знадобитися заборонити певні з'єднання за IP-адресою джерела або підмережі, наприклад, у разі атаки з цієї адреси. Якщо ви захочете змінити політику за замовчуванням для вхідних з'єднань на allow (що не рекомендується), вам потрібно буде створити правила deny для будь-яких служб або IP-адрес, яким ви не хочете дозволяти підключення.
Для запису правил deny можна використовувати описані вище команди, замінюючи allow на deny.
Наприклад, щоб заборонити з'єднання за протоколом HTTP, ви можете використовувати таку команду:
sudo ufw deny http
Якщо ви захочете заборонити всі підключення з IP-адреси 203.0.113.4, ви можете використовувати таку команду:
sudo ufw deny from 203.0.113.4
1. Спочатку подивитись всі правила
sudo ufw status numbered
2. Використати команду для видалення по номеру
sudo ufw delete <номер>