21.09.2024

Установка Межсетевого Экрана (Firewall) UFW на Debian

Оглавление:

Всем привет! Сегодня я расскажу вам, как установить и настроить UFW (Uncomplicated Firewall) на Debian, а также поделюсь информацией о том, что такое межсетевой экран (firewall) и какие существуют альтернативы.

Что такое Межсетевой Экран (Firewall)?

Межсетевой экран, или firewall, — это система, которая защищает сеть или устройство, блокируя несанкционированный доступ к ним. Он выполняет роль фильтра, который определяет, какие входящие и исходящие пакеты данных можно пропускать, а какие — блокировать. Firewall помогает защитить операционную систему от внешних угроз, таких как хакерские атаки, вирусы и другие виды вторжений.

Firewall бывает как программным, так и аппаратным. Аппаратные — это отдельные устройства, которые устанавливаются между сетью и компьютерами, а программные — это программы, работающие на самих компьютерах. В нашем случае речь идет именно о программном firewall’е, таком как UFW.

Какие бывают другие Firewall’ы?

В мире Linux есть несколько популярных межсетевых экранов. Вот некоторые из них:

iptables — это мощный и гибкий инструмент для управления фильтрацией пакетов в Linux. Хотя iptables предоставляет широкий спектр возможностей, его настройка может быть довольно сложной, особенно для начинающих пользователей.
nftables — это современная замена iptables, которая имеет более эффективную архитектуру и предназначена для облегчения работы с правилами фильтрации. Однако, как и iptables, nftables также требует глубоких знаний для правильной настройки.
firewalld — это динамический daemon, который управляет iptables и nftables. Он позволяет добавлять и изменять правила без необходимости перезагружать firewall. Firewalld чаще используется в дистрибутивах, таких как Fedora и CentOS.

Теперь давайте разберемся, почему UFW — это отличный выбор.

Почему я выбираю UFW?

UFW расшифровывается как Uncomplicated Firewall, что в переводе на русский означает “несложный межсетевой экран”. И это действительно так! Его основная цель — упростить настройку iptables для обычных пользователей. С помощью UFW можно легко управлять правилами безопасности, не вдаваясь в сложные технические детали.

Преимущества UFW:

Простота в установке и настройке.
Дружественный интерфейс командной строки.
Можно быстро разрешать или блокировать порты.
Прекрасно подходит для новичков, которые хотят минимальных усилий для защиты системы.

Теперь давайте перейдем к самому интересному — установке UFW на Debian.

Установка UFW на Debian

Для начала убедитесь, что у вас есть привилегии суперпользователя (root) или права выполнения команд через sudo.

Установите UFW: Откройте терминал и выполните следующую команду:

sudo apt update
sudo apt install ufw

Проверьте статус UFW: После установки проверьте, включен ли UFW:

sudo ufw status

Если вы видите сообщение “Status: inactive”, это значит, что UFW установлен, но пока не активирован.

Настройка и включение UFW:

Перед включением UFW стоит настроить некоторые правила. Например, если на вашем сервере есть служба SSH, важно разрешить доступ к порту 22 (по умолчанию):

sudo ufw allow ssh

После этого можно активировать firewall:

sudo ufw enable

Теперь UFW будет фильтровать трафик на основе установленных правил. Любые изменения вы можете проверять, снова выполнив:

sudo ufw status

Простое управление правилами:

Чтобы разрешить доступ к определенному порту (например, к порту 80 для HTTP), выполните:

sudo ufw allow 80

Чтобы заблокировать порт:

sudo ufw deny 80

Если вам нужно удалить правило:

sudo ufw delete allow 80

Как отключить IPv6 в UFW и добавить правила для TCP и UDP отдельно

Иногда возникает необходимость отключить поддержку IPv6 на системе или настроить правила межсетевого экрана для разных протоколов, таких как TCP и UDP. Сегодня я расскажу, как отключить IPv6 в UFW и добавить отдельные правила для TCP и UDP.

Отключение IPv6 в UFW

По умолчанию UFW поддерживает как IPv4, так и IPv6. Если вы хотите отключить поддержку IPv6, это можно сделать очень просто:

Откройте файл конфигурации UFW с правами суперпользователя:

sudo nano /etc/default/ufw

Найдите строку:

IPV6=yes

Измените значение yes на no, чтобы отключить IPv6:

IPV6=no

Сохраните изменения и закройте файл (в редакторе nano нажмите Ctrl+O для сохранения, затем Ctrl+X для выхода).
Перезапустите UFW, чтобы изменения вступили в силу:

sudo ufw disable
sudo ufw enable

Теперь UFW будет фильтровать только трафик по IPv4, а IPv6 будет игнорироваться.

Добавление правил для TCP и UDP отдельно

UFW позволяет добавлять правила как для TCP, так и для UDP. Иногда нужно разрешить или заблокировать доступ к определенным портам для одного протокола, оставив другой нетронутым.

Примеры добавления правил:

Разрешить порт для TCP:

Если вам нужно разрешить доступ к определенному порту только для TCP, вы можете использовать следующую команду:

sudo ufw allow 80/tcp

В данном случае мы разрешаем трафик по TCP на порту 80 (HTTP).

Разрешить порт для UDP:

Чтобы разрешить доступ к порту только для UDP, выполните такую команду:

sudo ufw allow 53/udp

Это правило разрешает трафик на порт 53 (DNS) по протоколу UDP.

Запретить порт для TCP:

Для блокировки порта для TCP:

sudo ufw deny 22/tcp

Эта команда запретит доступ к SSH (порт 22) по TCP.

Запретить порт для UDP:

Для блокировки порта для UDP:

sudo ufw deny 123/udp

Это правило запретит доступ к порту 123 (NTP) по UDP.

Просмотр активных правил:

Чтобы убедиться, что правила применены правильно, выполните команду:

sudo ufw status

Вы увидите список активных правил с указанием протоколов.

Заключение

UFW позволяет гибко управлять сетевыми правилами как для IPv4, так и для IPv6, а также дает возможность легко добавлять правила для отдельных протоколов (TCP или UDP). Отключение IPv6 может быть полезным, если ваша сеть не использует этот протокол, а работа с TCP и UDP отдельно может потребоваться в случае специфических требований к безопасности или работе сервисов.

Оглавление: