Ufw - программа, контролирующая доступ компьютера к сети. Такой класс программ называют фаерволлами или брандмауэрами.
С помощью ufw можно разрешать, запрещать или ограничивать доступ по транспортному протоколу (udp или tcp или оба), по имени службы (ssh, ftp и т.п.), по ip адресу, по номеру порта или диапазону портов, а также применять правила по названию программы, что существенно облегчает настройку.
Установка производится командой
sudo pacman -Sy ufw
или
yay -Sy ufw
Базовая настройка - запрещаем входящие, разрешаем исходящие, затем включаем сервис, ставим его в автозагрузку, переводим фаервол в активное состояние
ufw default deny incoming
ufw default allow outgoing
systemctl enable ufw.service
systemctl start ufw.service
ufw enable
Проверяем, что фаервол активен
sudo ufw status
активен значит active, если не активен будет inactive, не путаем
Можно посмотреть детализацию статуса фаервола
sudo ufw status verbose
Для применения новых правил перезапустите службу
sudo systemctl restart ufw
Правила можно разделить в целом на 2 основные группы - разрешающие и запрещающие.
Рассмотрим разрешающие доступ. При использовании таких правил разрешается как входящий, так и исходящий трафик.
Если какая-то служба нужна, разрешаем ее
ufw allow название_службы
,
например,
ufw allow ftp
Можно согласно настроек пользовательской программы ввести диапазон адресов
ufw режим начальный_порт:конечный_порт/протокол
пример
ufw allow 6000:8000/tcp
если протокол не имеет значения
ufw allow 6000:8000
Поскольку номера портов соответствуют именам служб одно и тоже означают
ufw allow 80
и ufw allow http
ufw allow 443
и ufw allow https
и т.д.
Можно прописать доверенные адреса
ufw allow from IP (в формате xxx.xxx.xxx.xxx)
Можно ограничить входящие с доверенного IP определенным портом
ufw allow from IP to any port номер порта
Ufw умеет работать с подсетями
ufw allow from IP/подсеть
ufw allow from IP/подсеть to any port номер порта
Можно указать на каком сетевом интерфейсе действует правило
ufw allow in on название_интерфейса правило
интерфейсы получаем командой ip addr
Можно выключить журналирование
ufw logging off
Открываем порт для программы
sudo ufw allow номер/протокол
номер берется из настроек программы,
протокол либо udp, либо tcp
ufw allow номер
для обоих протоколов
Чтобы отменить правило
ufw delete правило
(например, ufw delete allow ssh
)
Удаление правил возможно по номеру
ufw status numbered
- вывод правил с нумерацией
ufw delete номер
- удалить с заданным номером
Удаление всех правил сразу
ufw reset
Можно ограничить службу
ufw limit SSH
Теперь рассмотрим запрещающие правила
Вместо allow необходимо указывать deny, примеры:
ufw deny протокол
ufw deny from ip-адрес
Список известных программ с предустановленными правилами
sudo ufw app list
Открываем порты для программы
ufw allow название_программы
пример - ufw allow qBittorrent
Отключение ufw
ufw disable
sudo systemctl stop ufw
sudo systemctl disable ufw
Теги документа