ほとんどすべての高度なユーザーUbuntuは、そのネットワークのセキュリティを確保することに興味があります。さらに、ファイアウォールに特定の規則を作成した後にのみ正しく機能する特定のネットワークユーティリティを使用しています。今日は、UFWの例でファイアウォールを設定することについて話したいです(複雑なファイアウォール)。これはファイアウォールのルールを実装するための最も簡単なツールであるため、初心者ユーザーや複雑なiptables機能に満足していない人におすすめです。ステップバイステップで、セットアップ手順全体を考慮して、できるだけ詳細なすべてのステップを分解してください。
UbuntuでUFWを設定します
デフォルトで存在するため、UFWをオペレーティングシステムにインストールする必要はありません。ただし、標準形式では、それは非アクティブであり、すべての規則はありません。まず、アクティベーションを扱い、その後主な行動を検討します。ただし、優先順位は構文で検討されるべきであり、通常、このファイアウォールを継続的に使用する予定のユーザーに関するものです。ステップ1:構文を研究する
あなたが知っているように、UFWはコンソールユーティリティです。つまり、標準の「ターミナル」または他のユーザーを介して実行されます。この種の相互作用は、特別にインストールされたコマンドの助けを借りて行われます。それらのすべては常にドキュメントにありますが、特に今日の楽器の場合は、巨大な束を読むことは理にかなりません。入力原則は次のようになります.SUDO UFWオプションアクションパラメータ。 sudoはスーパーユーザーに代わって実行されている責任があります、UFWはプログラムを表す標準の引数であり、残りのフレーズとインストールされているルールを定義します。より詳細に止めたいのは彼らのためです。
- 有効は、ファイアウォールをオンにする責任がある標準パラメータです。この場合、自動ロードに自動的に追加されます。
- 無効 - UFWを無効にし、それを自動ロードから削除します。
- Reload - ファイアウォールを再起動するために使用されます。特に新しいルールをインストールした後に関連性があります。
- デフォルト - 次のオプションがデフォルトでインストールされることを示します。
- ロギング - ファイアウォールのアクションに関するすべての基本情報が格納されるログファイルの作成を有効にします。
- リセット - すべての設定を標準にリセットします。
- ステータス - 現在の状態を表示するために使用されます。
- show - ファイアウォールレポートのクイックビュー。このパラメータには追加のオプションが適用されますが、それらについては別のステップで話します。
- 許可規則を追加するときに許可が関与します。
- 拒否は同じですが禁止に適用されます。
- 拒否 - 廃棄ルールを追加します。
- 制限 - 制限規則のインストール
- 削除 - 指定されたルールを削除します。
- 挿入 - ルールを挿入します。
あなたが見ることができるように、たくさんのチームはありません。それらは他の利用可能なファイアウォールよりも正確に少なくなり、UFWと対話しようとした複数の試みの後に構文を覚えています。今日の材料の以下のステップは専念する構成の例に扱うことだけが残っています。
ステップ2:設定を有効/無効/リセットします
私たちは、それらが部分的に相互接続され、実装と同様であるので、いくつかの構成の瞬間を一段階に強調することにしました。すでに知っているように、UFWは最初は切断された状態にありますので、1つのコマンドを適用することによってそれを有効にしましょう。
- アプリケーションでパネルを開き、「ターミナル」を実行します。あなたはあなたにとって便利なコンソールと別の方法を開くことができます。
- アクティベーションを実行する前に、おそらく早く、または別のアプリケーションがすでにファイアウォールをアクティブにしています。これはsudo ufw statusコマンドを入力することによって行われます。
- スーパーユーザー権限を取得してEnterキーを押します。同時に、入力方法の文字はセキュリティ行に表示されません。
- 新しい行には、UFWの現在の状態に関する情報が表示されます。
- ファイアウォールの起動は、すでに上記のパラメータを介して実行され、コマンド全体は次のようになります.Sudo UFW Enable。
- ファイアウォールが有効になっており、オペレーティングシステムとともに実行されることを通知します。
- SUDO UFWを使用してシャットダウンしてください。
- 無効化はほぼ同じメッセージに通知します。
- 将来的には、ルールをリセットするか、これを行う必要がある場合は、sudo ufw resetコマンドを挿入してEnterキーを押します。
- 適切な回答を選択してリセットを確認してください。
- バックアップアドレスを持つ6つの異なる行が表示されます。この場所にいつでも移動してパラメータを復元できます。
今、あなたは検討中のファイアウォールの一般的な行動を管理する責任があるのかを知っています。他のすべてのステップは設定に焦点を合わせるでしょう、そしてパラメータ自体は例として与えられます、つまり、あなたはそれらを変更しなければならず、あなたのニーズからの斥力を変更する必要があります。
ステップ3:デフォルトのルールを設定します
必須では、別途記載されていないすべての着信および発信コンパウンドに関連するデフォルトの規則を適用してください。これは、手動で示されていないすべての着信接続がブロックされ、発信が成功することを意味します。スキーム全体は次のように実装されています。
- コンソールの新しいセッションを実行して、sudo ufwデフォルトdeny着信コマンドを入力します。 Enterキーを押してそれを有効にします。上記の構文規則をすでに慣れている場合は、これがすべての着信接続をブロックすることを意味していることがわかります。
- 必須では、スーパーユーザーパスワードを入力する必要があります。新しいコンソールセッションを開始するたびに指定します。
- コマンドを適用した後、デフォルトのルールがフォースに入力されたことを通知されます。
- したがって、発信化合物を解決する第2のコマンドを設定する必要があります。これは次のようになります.Sudo UFWのデフォルトで発信が許可されています。
- もう一度メッセージがルールのアプリケーションに表示されます。
今、あなたは未知の着信接続の試みが成功するという事実を心配することはできず、誰かがあなたのネットワークにアクセスできるようになるでしょう。絶対にすべての着信接続の試みをブロックしない場合は、上記の規則をスキップして、次のステップを詳細に検討したことを確認してください。
ステップ4:ファイアウォールの独自のルールを追加する
ファイアウォールのルール - ユーザーとUFWを使用する主な調整可能なオプション。アクセスからの許可の一例、ならびにポートによるブロッキングを忘れないで、OpenSSHツールを見てください。まず、ルールの追加を担当する追加の構文コマンドを覚えておく必要があります。
- ufw allow_name_
- UFWはポートを許可します
- UFWはポート/プロトコルを許可します
その後、安全に許可または法外な規則の作成を開始できます。政治家の各タイプを順番に扱わせましょう。
- opensshを使用してサービスポートへのアクセスを開くことを許可します。
- あなたはルールが更新されていることが通知されます。
- あなたはこのようになります。これは、ポートではなく、サービス名の名前を指定することで、アクセスを開くことができます。sudo UFWは、22を許可します。
- 同じことは、ポート/プロトコルを介して起こる - 須藤UFWは、22 / TCPを許可します。
- ルールを作った後、須藤UFWアプリのリストを入力すると、使用可能なアプリケーションのリストを確認してください。すべてが正常に適用された場合は、必要なサービスは、次のいずれかの行に表示されます。
- ポート上のトラフィックの送信を禁止する権限についてと、これはUFWが構文方向を許可する入力することによって行われます。スクリーンショットでは、あなたがして(須藤UFWは、80 / TCPでdeny)(須藤UFWは、80 / TCPをOUTを許可する)だけでなく、一部に同じ方向のポリシーを禁止するポートに発信トラフィックの解像度の例を参照してください。
- あなたは、より広い構文の指定を入力してポリシーを追加する例に興味がある場合は、UFWはIP_NAGEのport_nameへIP_ソフトウェアからプロト例のプロトコルを許可します。
ステップ5:リミットルールをインストールします
これについてもっと話をする必要がありますので、私たちは、別の段階で制限ルールのインストールのトピックをもたらしました。このルールは、1つのポートに接続されているIPアドレスの数を制限します。このパラメータの最も明白な使用は、パスワードに意図した攻撃から保護することです。このような標準的な政策のインストール:
- コンソールでは、UFWリミットSSH / TCPをSUDOし、ENTERをクリックしてください。
- あなたのスーパーユーザーアカウントのパスワードを入力します。
- あなたはルールの更新が正常に通過したことが通知されます。
同様に、制限やその他のアプリケーションのポリシーが確立されています。このサービス名、ポートまたはポート/プロトコルのために使用します。
ステップ6:ビューUFWのステータス
時には、あなただけでなく、活動の観点から、だけでなく、確立されたルールにファイアウォールの現在の状態を監視する必要があります。このために、我々が以前に言ったことを、別のチームがあり、そして今、我々はより詳細にさせて頂きます。
- 日曜日のsudo UFWステータスは、標準の情報を取得します。
- 新ラインは、アドレス、プロトコル、およびサービス名にすべての設定ポリシーを表示します。右のショーのアクションと方向で。
- 追加の引数を使用するときにより詳細な情報が表示され、コマンドはsudo UFWステータスのタイプを冗長に取得します。
- ユーザの初心者のための非公式のルールのリストは、sudo ufw show rawを通して表示されます。
ファイアウォールの既存のルールと状態に関する特定の情報を表示する他のオプションがあります。それらのすべてについて簡単に実行しましょう。
- RAW - IPTables送信形式を使用して、すべてのアクティブなルールを表示します。
- 組み込み - デフォルトとして追加されたルールのみを含みます。
- 前のルール - 外部ソースからパッケージを受け入れる前に実行されたポリシーを表示します。
- ユーザー規則 - それぞれ、ユーザーが追加するポリシーを示します。
- ルールの後のルールはルールの前に同じですが、パッケージを作成した後にすでにアクティブになっているルールのみを含みます。
- logging-rules - ログインしているイベントに関する情報を表示します。
- リスニング - アクティブな(Listened)ポートを表示するために使用されます。
- 最近追加されたルールを表示するときに追加されました。
必要な時点で、これらのオプションのいずれかを使用して希望の情報を入手して自分の目的のために使用することができます。
ステップ7:既存のルールを削除します
一部のユーザーは、既存のルールに関する必要な情報を受け取った、接続を確立するか、新しいポリシーを設定するためにそれらのいくつかを削除したいと考えてください。直面したファイアウォールでは、このような利用可能な瞬間にこれを行うことができます。
- sudo ufw deleteを挿入する80 / tcpコマンドを許可します。ポート/プロトコル80 / TCPを介した接続を許可するルールを自動的に削除します。
- ポリシーがIPv4とIPv6の両方に正常に削除されることを通知されます。
- 例えば、80 / TCPのSUDO UFW DELETE DENYなど、法外接続についても同様です。
ステータスビューのオプションを使用して、必要なルールをコピーして例の説明と同じ方法で削除します。
ステップ8:ロギングをオンにします
今日の記事の最後の段階では、UFW動作情報を別のファイルに自動的に保存するオプションのアクティブ化を意味します。すべてのユーザーではなく、次のように適用されます。
- sudo ufwログオンを書き込み、Enterキーを押します。
- ログが保存されるように通知を待ちます。
- Sudo UFWロギングメディアなど、別のオプションを適用できます。まだ低い(ブロックされたパッケージについてのみ情報を保存)とハイ(すべての情報を保存)します。平均オプションはマガジンロックされたパケットに書き込みます。
上記は、UbuntuオペレーティングシステムでUFWファイアウォールを設定するために使用される8つのステップを調べました。ご覧のとおり、これは非常に単純なファイアウォールです。構文の探索の容易さのため、初心者のユーザーにも適しています。 UFWは、それがあなたに適していない場合は、良い交換標準のiptablesを呼び出すためにまだボルダーになることができます。