Настройка брандмауэра linux mint

Обновлено: 06.07.2024

Существует несколько приложений брандмауэра для Linux, но вы, возможно, не понимаете, что в основе всех этих программ лежит одно мощное приложение, встроенное прямо в ядро ​​Linux: iptables. Это брандмауэр Linux. Независимо от того, какую программу вы используете для настройки брандмауэра в Linux, в конечном итоге все сводится к iptables. Все, что делают эти другие программы, это настраивает его.

Итак, возникает вопрос: если эти программы просто настраивают iptables, почему бы просто не настроить его самостоятельно? Это проще, чем вы думаете!

Сеть фон

Если вы знакомы с сетевыми терминами, такими как соединения, IP, TCP и порт, то можете смело переходить к следующему шагу. В противном случае, если вы новичок в сети, читайте дальше, чтобы ознакомиться с условиями, которые вам необходимо понять, чтобы следовать этому учебному пособию.

Обратите внимание, что приведенные ниже термины и определения были преднамеренно упрощены. Они предназначены для повседневных пользователей, а не для системных администраторов. Поэтому, если вы опытный системный администратор или у вас в кармане есть CCNA, прошу прощения за то, что не вдавался в детали.

TCP / IP

Неудача является последним средством.

Некоторые компьютеры могут иметь похожие IP-адреса. Возможно, вы заметили, что как на вашем компьютере, так и на работе есть IP-адреса, которые принимают форму чего-то вроде 192.168.something.something , или 10.0.something.something , или 172.16.something.something . Это так называемые частные IP-адреса, которые могут использоваться только внутри вашей локальной сети. Вы не можете выходить в Интернет с такими IP-адресами. Они сродни внутренним номерам телефонной сети вашей компании.

Шлюз и мост

По сути, эти компьютеры имеют права и возможности общаться друг с другом через Интернет. Но, поскольку между всеми компьютерами в мире нет прямых соединений (что было бы довольно сложно осуществить), мосты отвечают за соединение сегментов Интернета.

Поддерживая нашу телефонную аналогию, вы можете представить, что эти мосты похожи на телефонные центры в вашем городе или районе. Если вы позвоните на другой местный номер (компьютеры слева в нашей схеме), связь могла быть осуществлена ​​непосредственно вашим телефонным центром, физически соединяя вашу линию с соседской. Однако, если вы вместо этого хотите позвонить своему дяде Бобу, ваш вызов должен быть перенаправлен через несколько телефонных центров, пока телефон вашего дяди не будет подключен. Они образуют мост между вашим городом и его городом.

Определение брандмауэра

Проблема, которую мы решим

Чтобы установить контекст, давайте представим очень возможную сетевую архитектуру. Я видел много небольших компаний, управляющих чем-то похожим на это.

То, что мы имеем здесь, на самом деле довольно просто:

Компоненты Iptables

Имя Iptables на самом деле имеет смысл в его функциональности. Это набор таблиц IP-адресов и портов с некоторыми привязанными действиями. В терминах iptable эти таблицы называются цепочками . Не сконфигурированные, пустые iptables могут выглядеть так:

10 сен 2017, 17:31

Столкнулся с настройкой фаерволла через Gufw Firewall. Чисто дотошности ради прошу разъяснить несколько элементарнейших вещей.
Вот открываю программу и мне предлагается выбрать профиль:
Общественное место
Дом
Офис

Gufw Firewall

10 сен 2017, 19:07

Gufw Firewall

10 сен 2017, 19:44

darkfenix писал(а): А для чего вам дома вообще огненая стена? Виндузятник жи, без фаера и АВ в инет ни - ни, ату бабака заберет все файлы и бяку закинет.

Gufw Firewall

10 сен 2017, 20:46

Gufw Firewall

10 сен 2017, 22:05

С одной стороны норм практика "Все что не разрешено - запрещено", как например это по умолчанию предлагается в OpenSuse.
C другой стороны довольно муторно на самом деле для домашнего компа каждый раз что-то разрешать, когда я знаю что мой софт сам не поднимет левых портов(ну и за роутер они не будут проброшены, разумеется) или коннектов куда-то на сторону.

Теперь к теме самого вопроса.
1,3. прямо смотрящий в глобальную сеть хост с белым адресом - можно считать общественным вполне, если не за провайдерским натом конечн.
2,4. open/closed/filtered в статусе портов. Может быть полезным в некоторых случаях знать на каком этапе отвергнут коннект.
5 - Просто разделение по преднастроенным правилам, насколько жестоко рубить все вокруг.

Gufw Firewall

10 сен 2017, 23:26

darkfenix писал(а): А для чего вам дома вообще огненая стена? А для чего она вообще предустановлена изначально в дистрибутиве Минт да ещё и заточена именно для использования на домашнем ПК? darkfenix писал(а): Виндузятник жи, без фаера и АВ в инет ни - ни. Да, с тех пор как вышла "Семёрка" я Виндовс зауважал. Чего я собственно в своё время на Линукс подсел и до сих пор его хочу по старой памяти? Из-за того, что он не слетал у меня каждый месяц из-за любого неосторожно-случайного "косяка" в отличии от ХР. Но вот появилась Windows-7 и я снова перешёл на "Винду" ибо она стала "на уровне".
А безопасность вообще лишней не бывает. Так что харэ над моей паранойей потешаться и давайте по теме.

Gufw Firewall

11 сен 2017, 00:06

Unat , предустановлен, но не включен. Я его сразу убиваю после установки. Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)

Gufw Firewall

11 сен 2017, 00:37

2. Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите, это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"? А на фига вообще оповещать кого то там об отклонении его запроса?
4. Что предпочтительней, "Запретить" или "Отклонить"?

И наконец "Общественное место" или "Дом"? Разница?

Gufw Firewall

11 сен 2017, 06:11

Безопасность win7 далека от безопасности линукс. А брэндмауэер встроенный в семерку убожество.

Gufw Firewall

11 сен 2017, 10:16

Chocobo писал(а): прямо смотрящий в глобальную сеть хост с белым адресом - можно считать общественным вполне, если не за провайдерским натом конечн. Unat писал(а): И наконец "Общественное место" или "Дом"? Разница? Дом - доверяешь компам, находящимся в этой сети. Общественное место - не доверяешь компам, находящимся в данной сети.

Gufw Firewall

11 сен 2017, 12:40

Firewall в линуксе - это совсем не так, как в винде. Собственно существует один единственный firewall - iptables. Все эти программы которые часто называют фаерволами - на деле таковыми не являются, это GUI для настойки правил, а сами они ничего не фильтруют. Просто графическая обертка над iptables который вшит непосредственно в ядро системы. Соответственно, при всех внешних различиях - работает оно все примерно одинаково, просто правила фильтрации генерятся по клику кнопочки в соответствии с виденьем автора GUI "как должно быть". Это надо учитывать. По настоящему тонко настроить их можно через консоль (man iptables)

Что касается разницы между запретить или отклонить - это хорошо объясняется в документации к iptables, только надо еще перевод правильный к оригинальным названиям. Итак, у правила может быть три "цели", назначения. В скобках оригинальное название:

Разрешить (accept): Тут все просто - принять или выпустить пакет (в зависимости от направления).

Запретить (reject): заблокировать прохождение пакета с отправкой уведомления отправителю. Т.е. отправитель получит информацию о том что пакет дальше не прошел, или наш компьютер, как адресат, его не принимает.

Отклонить (drop): Пакет будет молча уничтожен. Никакого уведомления об этом отправитель не получит.

Обычно, в большинстве случаев, используют drop, т.к. уведомления - лишняя нагрузка на сеть, и даже некоторые виды атак есть использующие такое поведение.

Наверное некоторые шаги по настройке Gufw не очевидны для неподготовленных пользователей.

Решил опубликовать небольшую инструкцию. Возможно некоторые настройки не являются оптимальными и можно сделать иначе. Цель этой заметки показать неискушенному пользователю как можно просто настроить Gufw не залезая в дебри теории.

Вводим пароль администратора:

Этим мы полностью заблокировали весь входящий и исходящий трафик. Ни одно приложение не будет иметь доступа в интернет.

Начнем «исправлять» созданные нами проблемы с доступом в интернет. Нажимаем на значек с плюсиком +:

Откроется окно Добавление правила. В нем открываем вкладку Расширенные и ставим крестик в окошке Отображать дополнительные настройки. Они нам понадобятся.

Все настройки можно осуществить на вкладке Простые.

Я умышленно использовал вкладку Расширенные. Так как была необходимость вводить IP. Сути это не меняет.

• Allow (Разрешить);
• Deny (Запретить);
• Reject (Отказать);
• Limit (Ограничить).

Мы выставляем положение Allow (Разрешить), так как уже заблокировали все входящие и исходящие соединения.

Нам понадобятся оба.

• Don`t Log (Без логов);
• Log (Вести логи);
• Log All (Вести все логи).

Мы оставим в положениии Don`t Log.

• TCP (TCP, протокол управления передачей);
• UDP (протокол пользовательских дейтаграмм);
• Both (Оба протокола).

Ну вот и все настройки интересующие нас на данный момент.

Теперь переходим непосредственно к самой настройке фаервола.

1. Разрешаем DNS.

Любой браузер на любом компьютере при вводе в адресную строку УРЛа прежде всего обращается к файлу Hosts на предмет поиска там введенного доменного имени, и лишь не найдя там нужной записи обращается за этой информацией к ближайшему DNS-серверу (как правило, это сервак вашего интернет-провайдера).

Если не открыть доступ к DNS-серверу мы не сможем подключиться ни к одному сайту.

Начинаем настройку. Выставляем:

Разрешим входящие на порт 53.

Разрешим исходящие с порта 53.

Разрешим входящие на порт 80.

Разрешим исходящие с порта 80.

Разрешим входящие на порт 443.

Разрешим исходящие с порта 443.

Теперь все наши браузеры должны нормально работать.

3. Открываем порты для торент клиента Deluge.

Разрешим входящие на диапозон портов 6881:6891.

Разрешим исходящие с диапозона портов 6881:6891.

Сохраняем наши параметры.

После этих настроек Deluge должен работать без проблем.

3. Настройка фаервола для почтового клиента.

Для нормальной работы почтового клиента, например Thunderbird, нам необходимо открыть ряд портов:

Разрешим входящие на порт 25.

Разрешим исходящие с порта 25.

Разрешим входящие на порт 110.

Разрешим исходящие с порта 110.

Аналогично настраиваем порты 465 и 995.

Теперь осталось настроить порты 143 и 993 IMAP.

Разрешим входящие на порт 143.

Разрешим исходящие с порта 143.

Так же настраиваем порт 993.

После этой настройки почтовый клиент должен работать нормально.

Нажимаем кнопку Закрыть в окне Добавление правил. Все изменения сделанные нами появились в окне Правила.

Для удаления правила нам нужно его выделить и нажать значек минус -.

Дальше мы можем открывать любые необходимые порты. Вот некоторые:

1. Для работы Skype в брандмауэре необходимо открыть следующие порты:

2. Для работы мессенджера Viber в брандмауэре необходимо открыть следующие порты:

3. Для работы TeamViewer в брандмауэре необходимо открыть следующий порт:

4. Для работы FTP клиента (например FileZilla) в брандмауэре необходимо открыть следующие порты:

Количество приложений использующих подключение к сети очень велико. И перечислить их все не представляется возможным. Поэтому выбрав для установки приложение выясните какие порты оно использует и по какому протоколу работает.

Soft Gufw – графический интерфейс для настройки файервола (сетевого экрана) в Linux

Установка Gufw в Debian и производные (Kali, Mint, Ubuntu и др)

Gufw можно установить в Synaptic или из терминала:

Включение файервола в Linux

Самые интересные следующие две строчки:

998 closed ports Nmap done: 1 IP address (1 host up) scanned in 0.53 seconds

Ну и ещё парочка портов открыта:

139/tcp open netbios-ssn 445/tcp open microsoft-ds

По умолчанию брандмауэр отключен. Чтобы запустить Gufw, введите в терминале:

Для начала разблокируем окно. Чтобы включить брандмауэр, просто нажмите кнопку Состояние и правила по умолчанию будут установлены. Deny (Запретить) для входящего трафика и Allow (Разрешить) для исходящего трафика.

Давайте ещё раз просканируем нашу систему:

Во-первых, сканирование длилось значительно дольше. А во-вторых, у нас опять две интересные строчки:

All 1000 scanned ports on 192.168.1.33 are filtered Nmap done: 1 IP address (1 host up) scanned in 21.62 seconds

Было опять просканировано 1000 портов и все они теперь фильтруются. Само сканирование заняло почти 22 секунды.

Вывод: файервол уже работает!

Добавление правил в файервол

Чтобы настроить брандмауэр, добавим правила. Просто щелкните кнопку Add (+), и появится новое окно. Для получения подробной информации посетите домашнюю страницу UFW. Правила могут формироваться для TCP и UDP портов. UFW имеет несколько предустановленных правил для конкретных программ/услуг, они убыстряют типичную настройку сетевого экрана.

Доступные варианты для правил Allow (Разрешить), Deny (Запретить), Reject (Отклонить), и Limit (Ограничение):

1. Разрешить: система позволит вход трафика для порта.
2. Запретить: система запретит вход трафика для порта.
3. Отклонить: система запретит вход трафика для порта и будет информировать систему связи, что он было отклонено.
4. Ограничение: система запретит соединения, если IP-адрес пытался инициировать 6 или более соединений за последние 30 секунд.

Использование предустановленных правил дает несколько вариантов для управления параметрами брандмауэра для распространённых программ и услуг.

Предустановленные правила не охватывают все возможные программы и услуги, дополнительные правила можно добавить во вкладке Простые.

Да, всё работает:

Чтобы настроить доступ на основе определенного IP, используем вкладку Расширенные.

Есть несколько настроек, доступных для установки в Gufw. Можно настроить в Изменить->Preferences

Здесь вы можете управлять ведением журнала для UFW и Gufw, создавать профили и установить общие предпочтения интерфейса. По умолчанию включено ведение журнала для UFW и отключено для Gufw.

31.07.2015 в 13:57

Довольно познавательно, но зачем файервол в Linux?

31.07.2015 в 14:30

Почему-то ваш комментарий попал в спам…

Правильная настройка файервола:

• Позволяет сводить на нет некоторые виды флуда (установкой надлежащих правил файервола) и другие виды DoS-атак (с помощью дополнительных программ и скриптов, которые сами добавляют правила в файервол) (актуально для защиты серверов)
• Уведомляет о подозрительной деятельности, попытках зондирования
• Можно контролировать доступ к различным службам: например, закрыть доступ к веб-серверу, SSH и прочему без остановки самих служб. Т.е. сервером на локалхосте можно пользоваться, а другие к нему подключиться не могут.
• Фильтрация доступа к заведомо незащищенным службам.

Файервол лучше иметь, чем не иметь. Конечно, файервол при неправильной настройке никак не поможет (это справедливо и для Linux и для Windows).

19.02.2016 в 14:00

А как настроить белый список: запретить все входящие и исходящие подключения и разрешить выход в интернет только для Firefox, Центра приложений Ubuntu и как разрешить доступ для Samba в диапазоне IP-адресов с 192.168.0.1 по 192.168.0.254?

23.02.2016 в 19:27

И как разрешить входящие и исходящие подключения для qbittorrent только для определенного порта?

Неужели для Linux не существует хороших графических программ для настройки файервола?

01.11.2016 в 12:26

UFW (Uncomplicated Firewall) - это простая в использовании утилита межсетевого экрана с большим количеством опций для большинства пользователей. Это интерфейс для iptables, который является классическим (и сложнее освоиться) способом установки правил для вашей сети.

Вам действительно нужен брандмауэр для рабочего стола?

Брандмауэр - это способ регулирования входящего и исходящего трафика в вашей сети. Хорошо настроенный брандмауэр имеет решающее значение для безопасности серверов.

Но как насчет обычных пользователей настольных компьютеров? Вам нужен брандмауэр в вашей системе Linux? Скорее всего, вы подключены к Интернету через маршрутизатор, связанный с вашим поставщиком интернет-услуг (ISP). Некоторые маршрутизаторы уже имеют встроенный межсетевой экран. Кроме того, ваша действительная система скрыта за NAT. Другими словами, у вас, вероятно, есть уровень безопасности, когда вы находитесь в своей домашней сети.

Теперь, когда вы знаете, что вы должны использовать брандмауэр в своей системе, давайте посмотрим, как вы можете легко установить и настроить брандмауэр в Ubuntu или любом другом дистрибутиве Linux.

Настройка брандмауэра с GUFW

GUFW - графическая утилита для управления несложным брандмауэром ( UFW ). В этом руководстве я расскажу о настройке брандмауэра с использованием GUFW, который соответствует вашим потребностям, а также о различных режимах и правилах.

Но сначала давайте посмотрим, как установить GUFW.

Установка GUFW в Ubuntu и другом Linux

GUFW доступен во всех основных дистрибутивах Linux. Я советую использовать менеджер пакетов вашего дистрибутива для установки GUFW.

Если вы используете Ubuntu, убедитесь, что у вас включен репозиторий Universe. Для этого откройте терминал (горячая клавиша по умолчанию : CTRL + ALT + T) и введите:

Теперь вы можете установить GUFW с помощью этой команды:

Это оно! Если вы предпочитаете не прикасаться к терминалу, вы также можете установить его из Центра программного обеспечения.

Откройте Центр программного обеспечения и найдите gufw и нажмите на результат поиска.

Поиск gufw в центре программного обеспечения

Идите вперед и нажмите Установить .

Установите GUFW из Центра программного обеспечения

Чтобы открыть gufw, зайдите в свое меню и найдите его.

Откроется приложение брандмауэра, и вас встретит раздел « Начало работы ».

GUFW интерфейс и экран приветствия

Включить брандмауэр

Первое, что нужно заметить в этом меню, это переключение статуса . Нажатие на эту кнопку включает / выключает брандмауэр (по умолчанию: выключен), применяя ваши предпочтения (политики и правила).

Если он включен, значок щита меняется с серого на цветной. Цвета, как указано далее в этой статье, отражают ваши правила. Это также заставит брандмауэр автоматически запускаться при запуске системы.

Примечание. По умолчанию домашняя страница будет отключена . Другие профили (см. Следующий раздел) будут включены .

Понимание GUFW и его профилей

Как вы можете видеть в меню, вы можете выбрать различные профили . Каждый профиль поставляется с различными политиками по умолчанию . Это означает, что они предлагают различное поведение для входящего и исходящего трафика.

Профили по умолчанию :

Вы можете выбрать другой профиль, нажав на текущий (по умолчанию: Home ).

Выбор одного из них изменит поведение по умолчанию. Далее вы можете изменить настройки входящего и исходящего трафика.

Для общего доступа они отклоняют входящие и разрешают исходящие . Отклонить, как и запретить, не пропускает сервисы, но также отправляет отзыв пользователю / сервису, который пытался получить доступ к вашему компьютеру (вместо того, чтобы просто сбросить / повесить соединение).

Если вы обычный пользователь рабочего стола, вы можете придерживаться профилей по умолчанию. Вам придется вручную менять профили, если вы меняете сеть.

Поэтому, если вы путешествуете, установите брандмауэр в общедоступном профиле и далее, брандмауэр будет устанавливаться в общедоступном режиме при каждой перезагрузке.

Настройка правил и политик брандмауэра [для опытных пользователей]

Обратите внимание, что политики могут быть изменены только при активном брандмауэре (Состояние: включено).

Профили могут быть легко добавлены, удалены и переименованы из меню настроек.

предпочтения

В верхней панели нажмите « Изменить» . Выберите Настройки .

Откройте меню настроек в GUFW

Это откроет меню настроек.

Давайте рассмотрим варианты, которые у вас есть здесь!

Ведение журнала означает именно то, что вы думаете: сколько информации брандмауэр записывает в файлы журнала.

Варианты под Gufw довольно очевидны.

В разделе « Профили» можно добавлять, удалять и переименовывать профили. Двойной щелчок по профилю позволит вам переименовать его. Нажатие Enter завершит этот процесс, а нажатие Esc отменяет переименование.

Чтобы добавить новый профиль, нажмите на + под списком профилей. Это добавит новый профиль. Тем не менее, он не будет уведомлять вас об этом. Вам также придется прокрутить список вниз, чтобы увидеть созданный вами профиль (с помощью колесика мыши или полосы прокрутки в правой части списка).

Примечание . Недавно добавленный профиль запретит входящий и разрешенный исходящий трафик.

Нажав на профиль, выделите его. Нажатие кнопки - удалит выделенный профиль.

Примечание: Вы не можете переименовать / удалить текущий выбранный профиль .

Теперь вы можете нажать на Закрыть . Далее я займусь настройкой других правил .

правила

Вернуться в главное меню, где-то посередине экрана вы можете выбрать различные вкладки ( Главная, Правила, Отчет, Журналы) . Мы уже рассмотрели вкладку « Главная » (это краткое руководство, которое вы видите при запуске приложения).

Идите вперед и выберите Правила .

Это будет основная часть конфигурации вашего брандмауэра: сетевые правила. Вы должны понимать концепции, на которых основан UFW. Это разрешает, запрещает, отклоняет и ограничивает трафик.

Примечание. В UFW правила применяются сверху вниз (сначала действуют верхние правила, а поверх них добавляются следующие).

Разрешить, запретить, отклонить, ограничить. Это доступные политики для правил, которые вы добавляете в брандмауэр.

Давайте посмотрим, что конкретно означает каждый из них:

• Разрешить: разрешает любой входящий трафик в порт
• Запретить: запрещает любой входящий трафик в порт
• Отклонить: запрещает любой входящий трафик в порт и сообщает запрашивающей стороне об отклонении
• Ограничение: запрещает входящий трафик, если IP-адрес пытался инициировать 6 или более подключений за последние 30 секунд.

Правила добавления

Есть три способа добавить правила в GUFW. Я представлю все три метода в следующем разделе.

Примечание. После добавления правил изменение их порядка становится очень сложным процессом, и их проще просто удалить и добавить в правильном порядке.

Но сначала нажмите на + в нижней части вкладки Правила .

Это должно открыть всплывающее меню ( Добавить правило брандмауэра ).

В верхней части этого меню вы можете увидеть три способа добавления правил. Я проведу вас по каждому методу: предварительно настроенному, простому, расширенному . Нажмите, чтобы развернуть каждый раздел.

Предустановленные правила

Это наиболее удобный способ добавления правил.

Первым шагом является выбор политики для правила (из приведенных выше).

Выбор категории и подкатегории достаточно. Они сужают приложения, которые вы можете выбрать

При выборе приложения будет настроен набор портов на основе того, что необходимо для этого конкретного приложения. Это особенно полезно для приложений, которые могут работать на нескольких портах, или если вы не хотите вручную создавать правила для написанных вручную номеров портов.

Если вы хотите дополнительно настроить правило, вы можете нажать на значок оранжевой стрелки . Это скопирует текущие настройки (приложение с его портами и т. Д.) И приведет вас в меню расширенных правил. Я расскажу об этом позже в этой статье.

Для этого примера я выбрал приложение Office Database : MySQL . Я буду запрещать весь входящий трафик на порты, используемые этим приложением.

Чтобы создать правило, нажмите « Добавить» .

Теперь вы можете закрыть всплывающее окно (если вы не хотите добавлять какие-либо другие правила). Вы можете видеть, что правило было успешно добавлено.

Порты были добавлены GUFW, и правила были автоматически пронумерованы. Вы можете задаться вопросом, почему существуют два новых правила вместо одного; Ответ заключается в том, что UFW автоматически добавляет как стандартное правило IP, так и правило IPv6 .

Простые правила

Хотя настройка предварительно настроенных правил удобна, есть еще один простой способ добавить правило. Снова нажмите значок + и перейдите на вкладку Простые .

Варианты здесь просты. Введите имя для вашего правила и выберите политику и направление. Я добавлю правило для отклонения входящих попыток SSH.

Вы можете выбрать протоколы TCP, UDP или оба .

Теперь вы должны ввести порт, для которого вы хотите управлять трафиком. Вы можете ввести номер порта (например, 22 для ssh), диапазон портов с включенными концами, разделенными : ( двоеточие ) (например, 81:89) или именем службы (например, ssh). Я буду использовать ssh и выберу как TCP, так и UDP для этого примера. Как и раньше, нажмите кнопку Добавить, чтобы завершить создание правила. Вы можете щелкнуть значок красной стрелки, чтобы скопировать настройки в расширенное меню создания правил.

Если вы выберете Закрыть, вы увидите, что новое правило (вместе с соответствующим правилом IPv6) было добавлено.

Расширенные правила

Теперь я расскажу, как настроить более сложные правила, обрабатывать трафик с определенных IP-адресов и подсетей и ориентироваться на разные интерфейсы.

Давайте снова откроем меню « Правила» . Выберите вкладку « Дополнительно ».

К настоящему времени вы уже должны быть знакомы с основными параметрами: имя, политика, направление, протокол, порт . Они такие же, как и раньше.

Примечание. Вы можете выбрать и порт приема, и порт запроса.

Что изменится, так это то, что теперь у вас есть дополнительные опции для дальнейшей специализации наших правил.

Я упоминал ранее, что правила автоматически нумеруются GUFW. С помощью расширенных правил вы определяете положение своего правила, вводя число в опцию « Вставка» .

Примечание: ввод позиции 0 добавит ваше правило после всех существующих правил.

Интерфейс позволяет выбрать любой сетевой интерфейс, доступный на вашем компьютере. Таким образом, правило будет влиять только на трафик к этому конкретному интерфейсу и от него.

Журнал изменений именно так: что будет, а что не будет записано.

Вы также можете выбрать IP-адреса для запрашивающего и принимающего порта / услуги ( От, До ).

Все, что вам нужно сделать, это указать IP-адрес (например, 192.168.0.102) или всю подсеть (например, 192.168.0.0/24 для адресов IPv4 в диапазоне от 192.168.0.0 до 192.168.0.255).

В моем примере я настрою правило, разрешающее все входящие TCP-запросы SSH из систем моей подсети на определенный сетевой интерфейс компьютера, на котором я сейчас работаю. Я добавлю правило после всех моих стандартных правил IP, чтобы оно вступило в силу поверх других правил, которые я установил.

Закройте меню.

Правило было успешно добавлено после других стандартных правил IP.

Изменить правила

Нажав на правило в списке правил, оно будет выделено. Теперь, если вы щелкнете по маленькому значку шестеренки внизу, вы можете редактировать подсвеченное правило.

Это откроет меню, похожее на расширенное меню, которое я объяснил в предыдущем разделе.

Примечание. Редактирование любых параметров правила переместит его в конец списка.

Теперь вы можете выбрать « Применить», чтобы изменить правило и переместить его в конец списка, или нажать « Отмена» .

Удалить правила

После выбора (выделения) правила вы также можете нажать на значок - .

Отчеты

Выберите вкладку « Отчет ». Здесь вы можете увидеть сервисы, которые в данный момент работают (вместе с информацией о них, такой как протокол, порт, адрес и имя приложения). Отсюда вы можете приостановить отчет о прослушивании (значок паузы) или создать правило из выделенного сервиса из отчета о прослушивании (+ значок) .

бревна

Выберите вкладку Журналы . Здесь вам нужно будет проверить, нет ли ошибок на наличие подозрительных правил. Я попытался создать несколько недопустимых правил, чтобы показать вам, как они могут выглядеть, когда вы не знаете, почему не можете добавить определенное правило. В нижней части есть две иконки. Нажатие на первый значок копирует журналы в буфер обмена, а нажатие на второй значок очищает журнал .

Завершение

Правильно настроенный брандмауэр может значительно улучшить работу с Ubuntu, делая вашу машину более безопасной в использовании и позволяя вам полностью контролировать входящий и исходящий трафик.

Я рассмотрел различные варианты использования и режимы GUFW, а также расскажу о том, как устанавливать различные правила и настраивать брандмауэр в соответствии с вашими потребностями. Я надеюсь, что это руководство было полезно для вас.

Если вы новичок, это должно быть всеобъемлющее руководство; даже если вы лучше разбираетесь в мире Linux и, возможно, начинаете понимать серверы и сети, я надеюсь, что вы узнали что-то новое.

Дайте нам знать в комментариях, если эта статья помогла вам и почему вы решили, что брандмауэр улучшит вашу систему!

Читайте также:

  
• Как проверить состояние батареи windows 7
  
• Как установить андроид на виртуальную машину windows
  
• Windows 11 не работает клавиатура
  
• Отключить второй монитор в linux
  
• Что лучше 95 или 98 виндовс