Один из аспектов настройки безопасности в Linux - настройка фильтра сетевых соединений (netfilter, firewall). В большинстве популярных дистрибутивах Linux используется iptables или его форк.
Настроить iptables можно через командную строку, добавляя правила напрямую в файл конфигурации iptables, или через кастомный интерфейс. В Ubuntu по умолчанию ставится утилита UFW, которая позволяет настроить iptables и получать информацию в более удобном виде.
Управление сервисом
- Включение UFW
-
ufw enable
- Выключение UFW
-
ufw disable
Просмотр правил
- Список известных портов для сервисов
-
cat /etc/services | grep <port>
http 80/tcp www # WorldWideWeb HTTP domain-s 853/udp # DNS over DTLS [RFC8094] socks 1080/tcp # socks proxy server http-alt 8080/tcp webcache # WWW caching service nbd 10809/tcp # Linux Network Block Device amanda 10080/tcp # amanda backup services canna 5680/tcp # cannaserver zope-ftp 8021/tcp # zope management by ftp tproxy 8081/tcp # Transparent Proxy omniorb 8088/tcp # OmniORB
- Список доступных сервисов
-
ufw app list
Available applications: OpenSSH
- Список прослушиваем портов
-
ufw show listening
tcp: 22 * (sshd) [ 1] allow 22/tcp tcp6: 22 * (sshd) [ 2] allow 22/tcp udp:
- Получить нумерованный список правил
-
ufw status numbered
Status: active To Action From -- ------ ---- [ 1] 22/tcp ALLOW IN Anywhere [ 2] 22/tcp (v6) ALLOW IN Anywhere (v6)
Добавление правил
- Правила по умолчанию
-
ufw default <allow|deny|reject> <incoming|outgoing|routed>
- Правило для сервиса
-
ufw allow <servicename>[/<tcp|udp>]
- Правило для порта
-
ufw allow <port>[/<tcp|udp>]
- Разрешить данные на указанный порт из указанной ip-подсети
-
ufw allow from 192.168.100.0/24 to any port <port> [proto <tcp|udp>]
Удаление правил
- Удаление правила по его номеру
-
ufw delete <номер_правила>
Комментарии
Отправить комментарий