Простая настройка фаервола в ufw в ubuntu

Многие говорят и дискутируют на тему нужен ли антивирус в nix системах в частности нужен ли антивирус для ubuntu и в общем мнение восновном всегда все сходятся, для домашней машины он не нужен (в интернете полно информации на эту тему на форумах, по блогам и т.д.) и это хорошо, но вот настроить правила для интернет соединений с помощью файрвола рекомендуют все

Чтобы настроить простой межсетевой экран, не обязательно разбираться с тонкостями работы netfilter или изучать синтаксис iptables. Можно воспользоваться более простой в использовании конфигурационной утилитой ufw, (если пакет не установлен), поставьте его с помощью команды

sudo aptitudet install ufw

Программа очень проста в использовании, для включения межсетевого экрана достаточно отдать команду, выполняется единожды при установке в дальнейшем стартует вместе с системой

sudo ufw enable

Для его отключения:

sudo ufw disable

Далее запретить входящие соединения при помощи команд:

sudo ufw default deny

можно еще

sudo ufw deny ssh

или

sudo ufw allow ssh

Разрешить

sudo ufw default allow

или

Просмотр состояния

sudo ufw status

Просмотр доп. инфы.

sudo ufw status verbose

Отлючение лог ведения файлов

sudo ufw logging off

Включение логов

sudo ufw logging on

Если перезагрузившись status не активен, то можно прописать в

sudo nano /etc/ufw/ufw.conf

ENABLED=yes

вместо no

Так же можно посмотреть файл с дефолтными настройками ufw

nano /etc/default/ufw

не знаю есть ли толк, но статус теперь всегда активен, если добавить программой rcconf или любой подобной утилитой ufw в автостарт

В общем порядок самой простой настройки таков 1) Включение, 2) 3апрет на входящии и все далее можно перезагрузившись посмотреть статус в подробностях.
Обратите внимание, что речь здесь идёт именно о соединениях, а не о входящих пакетах вообще — после команды sudo ufw default deny инициировать входящее соединение с вашей машиной станет невозможно, при этом входящие пакеты для соединений, инициированных вами, приниматься будут. Например, будет работать “аська” или торрент-клиент, но на машину нельзя будет “зайти” по telnet или http. Кроме того, ufw позволяет добавлять собственные правила фильтрации трафика, например команда:

sudo ufw allow from 192.168.0.0/24

открывает полный доступ к вашей машине из сети 192.168.0.0/24 (обычно подобные адреса используются для организации домашней сети, хотя у вас они могут быть другими). Запретить доступ, скажем, к 80-му tcp-порту (его слушает веб-сервер) можно следующим образом:

sudo ufw deny 80/tcp

или с помощью iptables

iptables -I INPUT 1 -p tcp --dport 80 -j DROP

Можно разрешать или запрещать доступ к портам для конкретного диапазона ip-адресов, работать с группой портов, удалять созданные правила и так далее. Притом все изменения применяются немедленно и сохраняются после перезагрузки компьютера. Для получения подробной информации по синтаксису ufw наберите команду:

man ufw

Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp. Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d
Вывести список профилей можно с помощью команды

sudo ufw app list
Доступные приложения:

OpenSSH
Детальную информацию по профилю можно просмотреть с помощью команды

sudo ufw app info OpenSSH
Профиль: OpenSSH

Название: Secure shell server, an rshd replacement

Описание: OpenSSH is a free implementation of the Secure Shell protocol.

Порт: 22/tcp
Добавление правил для приложения, команда

sudo ufw app default allow|deny OpenSSH

После добавления или изменения профиля приложения (в файле) необходимо дать знать файрволу о новом профиле

sudo ufw app update OpenSSH
и готово.

Можно в файле hosts.deny (/etc/hosts.deny) раскоментировать строку #ALL: PARANOID

Предохранение вашей системы от ответов на ping запросы, отключение широковещательных сообщений и включение предупреждений обо всех неправильных сообщениях.

sudo nano /etc/ufw/sysctl.conf

и исправить 0 на 1

# Ignore bogus ICMP errors

net/ipv4/icmp_echo_ignore_broadcasts=1

net/ipv4/icmp_ignore_bogus_error_responses=1

net/ipv4/icmp_echo_ignore_all=1

Затем перезагрузить сеть

sudo /etc/init.d/networking restart

и готово.

Просканировать порты на открытые можно на онлайн сервисах или с помощью программы nmap

sudo nmap -sT 192.168.1.100

или

sudo nmap -p1-65535 192.168.1.100

просканирует все порты системы

ip ставится на который настроен интернет

или

sudo nmap localhost

Взято http://rus-linux.net http://www.opennet.ru и в общем в интернете

http://ubuntulyb.blogspot.com/2010/02/ufw-ubuntu.html

http://joshua14.homelinux.org/blog/?p=1065

How-To: UFW - Ucomplicated Firewall

I looked for a current how-to for UFW and when I did not see one I wanted to add one.

(important note: UFW is not the firewall. UFW just configures your iptables)

in most cases I recommend doing the following immediately:

Code:






sudo ufw default deny
sudo ufw enable

Then fine tuning can start:

Some basic commands are:

Turn on the firewall

Code:






sudo ufw enable

Turn off the firewall

Code:






sudo ufw disable

To add deny rules:
blocking a port

Code:






sudo ufw deny port <port number>

blocking an ip address

Code:






sudo ufw deny from <ip address>

blocking a specific ip address and port

Code:






sudo ufw deny from <ipaddress> to port <port number>

advanced deny example for denying access from an ip address range 10.120.0.1 - 10.120.0.255 for SSH port 22

Code:






sudo ufw deny from 10.0.0.1/24 to any port 22

To add allow rules:
to allow an ip address

Code:






sudo ufw allow from <ip address>

to allow a port

Code:






sudo ufw <port number>

allow a specific ip address and port

Code:






sudo ufw allow from <ipaddress> to any port <port number>

advanced allow example for allowing access from an ip address range 10.120.0.1 - 10.120.0.255 to port 22

Code:






sudo ufw allow from 10.0.0.0/24 to any port 22

To get the current status of your UFW rules

Code:






sudo ufw status

To remove a deny or allow rule

Code:






sudo ufw delete <rule type> from <ip address> to any port <port number>

(note: you basically match the syntax for the creation of the rule and add 'delete')

You need to be careful with setting up allow and deny rules that 'intersect' because the first rule matched is applied and the remaining are ignored.

SECNARIO:
you want to block access to port 22 from 192.168.0.1 and 192.168.0.7 but allow all other 192.168.0.x IPs to have access to port 22

Code:






sudo ufw deny from 192.168.0.1 to any port 22
sudo ufw deny from 192.168.0.7 to any port 22
sudo ufw allow from 192.168.0.0/24 to any port 22

if you do the allow statement before either of the deny statements it will be matched first and the deny will not be evaluated.

you can check this by checking ufw status

Code:






sudo ufw status
To                         Action  From
--                         ------  ----
22:tcp                     DENY    192.168.0.1
22:udp                     DENY    192.168.0.1
22:tcp                     DENY    192.168.0.7
22:udp                     DENY    192.168.0.7
22:tcp                     ALLOW   192.168.0.0/24
22:udp                     ALLOW   192.168.0.0/24

the allow is at the bottom and will be the last command evaluated if it appeared above the deny rules the deny rules would not be evaluated.

I hope this helps you use ufw to secure your computer.

Link to the documentation wiki

http://ubuntuforums.org/showthread.php?t=823741

https://wiki.ubuntu.com/UncomplicatedFirewall

http://mirspo.narod.ru/firewall.html

https://help.ubuntu.com/community/Gufw

https://answers.launchpad.net/gui-ufw

Gufw – Simple GUI for ufw (Uncomplicated Firewall)

September 15, 2008 · Security · Email This Post

We have already discussed how to use UFW from command line.Gufw is an easy to use Ubuntu / Linux firewall, powered by ufw.Gufw is an easy, intuitive, way to manage your Linux firewall. It supports common tasks such as allowing or blocking pre-configured, common p2p, or individual ports port(s), and many others! Gufw is powered by ufw, runs on Ubuntu, and anywhere else Python, GTK, and Ufw are available.

iptables is already a very powerful tool by itself, but it's syntax can get awkward at times and hard to figure out, so Ubuntu developers decided to make ufw ("The reason ufw was developed is that we wanted to create a server-level firewalling utility that was a little bit more for `human beings`."), which was to be simpler. Now, on the graphical side of things, Firestarer already existed. But why not make an even easier to use GUI for desktop `human beings`, powered by ufw? This is where Gufw comes in.

Install Gufw in Ubuntu
For ubuntu 8.10,9.04,9.10 users use the following command

sudo apt-get install gufw

For Ubuntu 8.04 users download .deb file from here
Install .deb package using the following command

sudo dpkg -i gufw_0.20.7-all.deb

This will complete the installation.
Using Gufw
If you want to open Gufw go to Applications--->Internet--->Gufw Firewall Configuration

Once it opens you should see similar to the following screen here you need to click on checkbox next to firewall enabled

If you use allow all incoming traffic you should see similar to the following screen

If you select Deny incoming traffic with simple configuration screen

You can see some preconfigured ports options

Some examples configured

Gufw version details

Incoming search terms:

http://www.ubuntugeek.com/gufw-simple-gui-for-ufw-uncomplicated-firewall.html

Ubuntu Uncomplicated Firewall

Server Training - Server Management

The uncomplicated firewall for Ubuntu 8.04 not the easiest tool to use, in fact, it is not "uncomplicated". It requires a solid understanding of iptables, ports and networking in order to use effectively. You might say it is easier than using iptables...if the uncomplicated firewall had all the features of iptables, which it does not, yet. For a typical Ubuntu user, "uncomplicated" is what my mom is looking for. Find out what she thought, Click Here.
If you run the ufw command you will see a listing of the most important commands to run the ufw firewall.

Usage: ufw COMMAND

Commands:
enable Enables the firewall
disable Disables the firewall
default ARG set default policy to ALLOW or DENY
logging ARG set logging to ON or OFF
allow|deny RULE allow or deny RULE
delete allow|deny RULE delete the allow/deny RULE
status show firewall status
version display version information

It makes sense to set up a default policy of DROP with this command.

# ufw default deny
Default policy changed to 'deny'
(be sure to update your rules accordingly)

The man page says it will set default policies of DROP, which it does for the INPUT and FORWARD chain, but as you can see by looking at the iptables output it does not set a default DROP for the OUTPUT chain. This may be a serious problem if you are trying to stop any attempts to connect to insecure ports or to prevent the machine from "calling home" if it has malware installed. The blocking of most outgoing ports can add significant security.

Here is the iptables output. The Chain OUTPUT (policy ACCEPT)
means that everything is allowed to go out by default.

# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ufw-before-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-input all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-forward all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-output all -- 0.0.0.0/0 0.0.0.0/0

Create Rules for Specific Situations
You can create a rules that you need by using the ufw command followed by the port number and the protocol you want to allow to connect.
# ufw allow 22/tcp
You can delete the rule you created by placing delete in front of the command you used to create the rule.

# ufw delete allow 22/tcp
Rule deleted

If you want to see how to set up an FTP Server with UFW: CLICK HERE

Here are some wrong ways to do things!
~# ufw allow 22/tcp from 192.168.5.100
ERROR: Wrong number of arguments

# ufw allow from 192.168.5.100 port 22/tcp
ERROR: Bad port '22/tcp'

Here is how you control access to one IP Address only on a specific port.

# ufw allow from 192.168.5.100 port 22
Rule added

Chain ufw-user-input (1 references)
target prot opt source destination

http://translate.google.com/translate?hl=ru&sl=en&u=http://beginlinux.com/server_training/server-managment-topics/983-ubuntu-804-uncomplicated-firewall&prev=/search%3Fq%3Dhttp://beginlinux.com/server_training/server-managment-topics/983-ubuntu-804-uncomplicated-firewall%26hl%3Dru%26client%3Diceweasel-a%26tbo%3Dd%26rls%3Dorg.mozilla:ru:unofficial%26biw%3D1025%26bih%3D422&sa=X&ei=ejm8UNDfDMfctAb-xYDIDA&ved=0CC4Q7gEwAAl

http://beginlinux.com/server_training/server-managment-topics/983-ubuntu-804-uncomplicated-firewall

How to Set up the Firewall Using UFW On Ubuntu 10.04 Lucid Lynx Server

April 29, 2010
Mike
6 comments

Today I learned a different way to configure the firewall on my Ubuntu 10.04 Lucid Lynx Server: the ufw command. UFW stands for “Uncomplicated FireWall,” and it’s just that. It provides a simpler interface to add or remove firewall rules to iptables, the default Linux firewall. It’s installed on Ubuntu Server by default (and has been, since Ubuntu 8.04), and I find a little simpler than the application I used to use to configure my firewall: Firehol. (Here’s how to set up Firehol, if you are interested. It’s more difficult than ufw, in my opinion, but a lot easier than setting up iptables manually!)

http://1000umbrellas.com/2010/04/29/how-to-set-up-the-firewall-using-ufw-on-ubuntu-lucid-lynx-server
Как настроить фаервол в Linux - OSmaster.org.ua
...............................

Список основных портов

Исходящие соединения:

80/tcp HTTP (для веб-браузеров)
53/udp DNS (для обновления и получения доменных имен)
443/tcp HTTPS (защищённый HTTP)
21/tcp FTP (протокол передачи файлов)
465/tcp SMTP (отправка emails)
25/tcp Insecure SMTP (незащищённый SMTP)
22/tcp SSH (защищённое соединение компьютер-компьютер)
993/tcp&udp IMAP (получение emails)
143/tcp&udp Insecure IMAP (незащищённый IMAP)
9418/tcp GIT (version control system)

Входящие соединения:

993/tcp&udp IMAP (получение emails)
143/tcp&udp Insecure IMAP (незащищённый IMAP)
110/tcp POP3 (старый способ получения emails)
22/tcp SSH (защищённое соединение компьютер-компьютер)
9418/tcp GIT (version control system)

Этот список конечно же не полный, только начальный. Поэтому если у вас после включения фаервола некоторые приложения или службы не могут получить доступ в интернет или в сеть, то ищите информацию о том какой протокол и порт использует эта программа, чтобы добавить её в правила.

Некоторые службы, такие как IMAP, требуют и исходящего, и входящего соединения для нормальной работы. А в некоторых случаях шифрованные соединения требуют других портов.

На вкладке “Расширенные” (Advanced) к всем предыдущим настройкам добавляется возможность ввести IP-адреса и порты хостов откуда и куда может устанавливаться данное соединение............

http://osmaster.org.ua/?p=4308