Linux является одной из самых безопасных настольных и серверных платформ. Большинство дистрибутивов Linux гораздо безопаснее, чем Windows или macOS. На самом деле, для большинства случаев безопасности, предлагаемой в дистрибутивах Linux, будет вам достаточно. Однако это не означает, что вы должны полностью забыть про безопасность операционной системы, которой доверили свои данные. На самом деле, вам следует знать, как работать с брандмауэром Linux.

Что такое брандмауэр?

Брандмауэр – это программа, которая блокирует входящий или исходящий сетевой трафик на ваш компьютер.

Брандмауэры могут быть созданы как ограничивающие (пропускающие довольно мало входящего и/или исходящего трафика) или разрешающие (пропускающие довольно много входящего и/или исходящего трафика). Брандмауэры бывают двух разных типов:

1. Аппаратное обеспечение – физические устройства, которые служат для защиты вашей сети (и компьютеров в том числе).
2. Программное обеспечение – подсистемы на отдельных компьютерах, которые защищают только сам хост-компьютер.

Защита большинства домашних сетей зависят от их топологии. Аппаратным решением обычно является модем/маршрутизатор, развернутый провайдером. Однако эти устройства часто настроены как ограничивающие. Что касается программного обеспечения, ваш настольный компьютер может использовать программный брандмауэр. Одним из таких брандмауэров, который можно установить и использовать во многих дистрибутивах Linux (таких как Ubuntu и его производные), является Uncomplicated Firewall (UFW). Это простой инструмент, который делает управление блокировкой/разрешением сетевого трафика довольно простым. UFW – это инструмент для командной строки, который отлично справляется с задачей защиты вашего компьютера с Linux.

Установка UFW в Ubuntu

Как на Ubuntu, так и на большинстве производных Ubuntu UWF уже установлен. Чтобы узнать, установлен ли UFW на вашем компьютере, откройте окно терминала и введите команду:

Эта команда (скорее всего) сообщит, что UFW неактивен. Если вы обнаружите, что UFW не установлен, введите команду:

Существует четыре политики по умолчанию:

• INPUT – входящий трафик;
• OUTPUT – исходящий трафик;
• FORWARD – трафик, который пересылается из одного пункта назначения в другой;
• APPLICATION POLICY – трафик, который определяется приложением (а не сетевым портом).

Для большинства пользователей будут важны только политики INPUT и OUTPUT. Политики UFW по умолчанию задаются в файле /etc/default/ufw. Выполните команду:sudo nano /etc/default/ufwи посмотрите на эти четыре строки:

• DEFAULT_INPUT_POLICY=”DROP”
• DEFAULT_OUTPUT_POLICY=”ACCEPT”
• ​DEFAULT_FORWARD_POLICY=”DROP”
• ​DEFAULT_APPLICATION_POLICY=”SKIP”

Важно знать, что каждая из вышеперечисленных политик может быть скорректирована.

• INPUT/OUTPUT/FORWARD можно установить на ACCEPT, DROP, or REJECT
• APPLICATION можно установить на ACCEPT, DROP, REJECT, or SKIP

Разница между ACCEPT, DROP и REJECT:

• ACCEPT – разрешить трафик через брандмауэр.
• REJECT – не разрешать трафик через брандмауэр и отправлять сообщение о недоступности получателя ICMP обратно отправляющему источнику.
• DROP – запретить прохождение пакета через брандмауэр и не отправлять ответ.

Вы можете настроить политики по умолчанию в соответствии с вашими потребностями. Если вы измените политики в файле, перезагрузите правила UFW с помощью команды:

sudo ufw reload

Разрешение входящего трафика

Поскольку вам, вероятно, не потребуется изменять политику исходящего трафика по умолчанию, давайте сосредоточимся на разрешении входящего трафика. Скажем, например, вы хотите иметь возможность защищать оболочку на своем рабочем столе (используя команду ssh) с другого компьютера. Для этого вам нужно указать UFW разрешить входящий трафик через стандартный порт SSH (порт 22). Команда для этого будет следующая:

sudo ufw allow ssh

Приведенная выше команда позволит любому компьютеру в сети (или даже вне вашей сети, если маршрутизатор настроен на пропуск внешнего трафика) получить доступ к вашему компьютеру через порт 22.

Это все хорошо, если только вы не хотите разрешить доступ к определенным компьютерам в вашей сети. Скажем, например, вы хотите разрешить только один компьютер – компьютер с IP-адресом 192.168.1.162. Для этой цели нужна команда:

sudo ufw allow from 192.168.1.162 to any port 22

Оператор allow from указывает UFW, что ниже следует адрес, с которого разрешается трафик. В приведенном выше примере единственным компьютером в сети, которому будет разрешено защищать оболочку на вашем компьютере, будет компьютер с IP-адресом 192.168.1.162.

Вы также можете запретить трафик на указанный сетевой интерфейс. Скажем, например, ваша машина имеет два сетевых интерфейса:

• INTERNAL – с использованием сетевого интерфейса ens5 со схемой IP-адресов 192.168.1.x.
• EXTERNAL – использование сетевого интерфейса enp0s3 со схемой IP-адресов 172.217.1.x

Что если вы хотите оставить правило, разрешающее входящий трафик ssh на 192.168.1.162, но запретить весь входящий трафик от внешнего интерфейса? Для этого команда будет:

Удаление правил

Если вы обнаружите, что создали правила, вызывающие проблемы с подключением компьютеров к вашему компьютеру, вы можете удалить созданные вами правила. Первое, что нужно сделать, – это чтобы UFW перечислил ваши правила по порядку. Для этого выполните команду:

Допустим, вы хотите удалить правило номер 1. Для этого введите команду:

sudo ufw delete 1

Помогла ли вам статья?

Да Нет Стоп

Спасибо! Ваш голос учтен.