Какие правила использовать для UFW?

7

Я решил включить UFW, который поставляется с Ubuntu, чтобы сделать мою систему еще более безопасной (особенно после просмотра видео человека, компьютер которого действительно заразился!), и я включил UFW и установил GUFW, но я не уверен, что делать дальше. Когда я проверяю состояние брандмауэра, он говорит, что он активен. Каковы некоторые правила, которые я должен настроить для фактического использования брандмауэра, так как сейчас я предполагаю, что он разрешает все, в основном действуя так, как будто этого нет.     

задан Icedrake 29.11.2011 в 20:24
источник

4 ответа

9

Если вы установили ufw в включен , тогда вы включили пресетные правила, поэтому он означает, что ufw (через iptables ) активно блокирует пакеты.

Если вы хотите получить более подробную информацию, запустите

sudo ufw status verbose

и вы увидите что-то вроде этого

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

, что в основном означает, что все входящие отклоняются и все исходящие разрешены. Это немного сложнее, чем это (например, ESTABLISHED - request - разрешены пакеты), и если вас интересует полный набор правил, см. Вывод sudo iptables -L .

Если у вас есть общедоступный IP-адрес, вы можете использовать онлайн-тест, чтобы понять, насколько хороша фильтрация, например www.grc.com (найдите ShieldsUP ) или nmap-online .

Вы также должны видеть сообщения о заблокированных / разрешенных пакетах в журналах ( / var / log / syslog и /var/log/ufw.log ).

    
ответ дан arrange 29.11.2011 в 23:00
источник
1

Брандмауэр может обеспечить два совершенно разные уровни защиты.

  
    

ОДИН: - Он может блокировать любую внешнюю попытку подключения к данному хосту.

         

TWO: - Он может управлять, ограничивать и обфускать любые доступные соединения.

  

Вам нужно начать с ONE и подумать о ДВЕ позже.

ШАГОВ:

а. Создайте файл сценария

gedit ~/ufw-MyRules.sh

черновик:

#!/bin/sh

# -------------------------------------
#
#  firewall settings  
#
#    ver: 00.01
#    rev: 30-Nov-2011
#
#  for Ubuntu 11.10
#
# -------------------------------------

# -------------------------------------
#  reset rules

# disable firewall
sudo ufw disable

# reset all firewall rules
sudo ufw reset --force

# set default rules: deny all incoming traffic, allow all outgoing traffic
sudo ufw default deny incoming
sudo ufw default allow outgoing


# -------------------------------------
#  My rules  (CURRENTLY DISABLED)

# open port for SSH (remote support)
#  from: 111.222.333.444, port OpenSSH, limit
#sudo ufw limit log from 111.222.333.444 to any port 22

# open port for network time protocol (ntpq)
#sudo ufw allow ntp



# -------------------------------------
#  re-start

# enable firewall
sudo ufw enable

# list all firewall rules
sudo ufw status verbose

В. Установить разрешение файла (необходимо только один раз)

chmod a+x ufw-MyRules.sh

С. Запустите сценарий

./ufw-MyRules.sh
    
ответ дан david6 29.11.2011 в 22:10
источник
1

См. Ссылка .

Особенности

ufw имеет следующие функции:

Начало работы с ufw легко. Например, чтобы включить брандмауэр, разрешить доступ ssh, включить ведение журнала и проверить состояние брандмауэра, выполните:

$ sudo ufw allow ssh/tcp
$ sudo ufw logging on
$ sudo ufw enable
$ sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   Anywhere

Это устанавливает брандмауэр по умолчанию deny (DROP) для входящих подключений, при этом все исходящие подключения разрешены с отслеживанием состояния.

Расширенная функциональность

Как уже упоминалось, инфраструктура ufw способна делать все, что может сделать iptables. Это достигается с помощью нескольких наборов файлов правил, которые являются не более чем iptables-восстанавливать совместимые текстовые файлы. Точная настройка ufw и / или добавление дополнительных команд iptables, которые не предлагаются с помощью команды ufw, - это редактирование различных текстовых файлов:

  • /etc/default/ufw : конфигурация высокого уровня, такая как политики по умолчанию, поддержка IPv6 и модули ядра для использования
  • /etc/ufw/before[6].rules : правила в этих файлах оцениваются до того, как любые правила добавлены через команду ufw
  • /etc/ufw/after[6].rules : правила в этих файлах оцениваются после любых правил, добавленных с помощью команды ufw
  • /etc/ufw/sysctl.conf : сетевые настройки ядра
  • /var/lib/ufw/user[6].rules или /lib/ufw/user[6].rules (0.28 и новее): правила добавляются с помощью команды ufw (обычно не редактируются вручную)
  • /etc/ufw/ufw.conf : устанавливает, включена ли при запуске функция ufw, а в 9.04 (ufw 0.27) и более поздняя - устанавливает LOGLEVEL

После изменения любого из вышеуказанных файлов активируйте новые параметры с помощью:

$ sudo ufw disable
$ sudo ufw enable
    
ответ дан Pedro Diniz 01.12.2012 в 19:52
источник
0

Вставить ufw -h вот так:

terminal@terminal: ufw -h
Invalid syntax

Usage: ufw COMMAND

Commands:
 enable                          enables the firewall
 disable                         disables the firewall
 default ARG                     set default policy
 logging LEVEL                   set logging to LEVEL
 allow ARGS                      add allow rule
 deny ARGS                       add deny rule
 reject ARGS                     add reject rule
 limit ARGS                      add limit rule
 delete RULE|NUM                 delete RULE
 insert NUM RULE                 insert RULE at NUM
 reset                           reset firewall
 status                          show firewall status
 status numbered                 show firewall status as numbered list of RULES
 status verbose                  show verbose firewall status
 show ARG                        show firewall report
 version                         display version information

Application profile commands:
 app list                        list application profiles
 app info PROFILE                show information on PROFILE
 app update PROFILE              update PROFILE
 app default ARG                 set default application policy
    
ответ дан Pedro Diniz 01.12.2012 в 19:58
источник

Ознакомьтесь с другими вопросами по меткам