Ufw iptables чем отличаются в ubuntu

Обновлено: 07.07.2024

Iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) Netfilter для ядер Linux, начиная с версии 2.4. С её помощью администраторы создают и изменяют правила, управляющие фильтрацией и перенаправлением пакетов. Для работы с семейством протоколов IPv6 существует отдельная версия утилиты — Ip6tables. Для использования утилиты Iptables требуются привилегии суперпользователя (root).

Основные понятия

Ключевыми понятиями iptables являются:

Правило — состоит из критерия, действия и счетчика. Если пакет соответствует критерию, к нему применяется действие, и он учитывается счетчиком. Критерия может и не быть — тогда неявно предполагается критерий «все пакеты». Указывать действие тоже не обязательно — в отсутствие действия правило будет работать только как счетчик. Правила для каждой цепочки срабатывают в порядке их следования, поэтому порядок важен. Критерий — логическое выражение, анализирующее свойства пакета и/или соединения и определяющее, подпадает ли данный конкретный пакет под действие текущего правила. Критерии соединяются логическим «И». Действие — описание действия, которое нужно проделать с пакетом и/или соединением в том случае, если они подпадают под действие этого правила. О действиях более подробно будет рассказано ниже. Счетчик — компонент правила, обеспечивающий учет количества пакетов, которые попали под критерий данного правила. Также счетчик учитывает суммарный объем таких пакетов в байтах. Цепочка — упорядоченная последовательность правил. Цепочки можно разделить на пользовательские и базовые. Базовая цепочка — цепочка, создаваемая по умолчанию при инициализации таблицы. Каждый пакет, в зависимости от того, предназначен ли он самому хосту, сгенерирован им или является транзитным, должен пройти положенный ему набор базовых цепочек различных таблиц. Кроме того, базовая цепочка отличается от пользовательской наличием «действия по умолчанию» (default policy). Это действие применяется к тем пакетам, которые не были обработаны другими правилами этой цепочки и вызванных из нее цепочек. Имена базовых цепочек всегда записываются в верхнем регистре (PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING). Пользовательская цепочка — цепочка, созданная пользователем. Может использоваться только в пределах своей таблицы. Рекомендуется не использовать для таких цепочек имена в верхнем регистре, чтобы избежать путаницы с базовыми цепочками и встроенными действиями. Таблица — совокупность базовых и пользовательских цепочек, объединенных общим функциональным назначением. Имена таблиц (как и модулей критериев) записываются в нижнем регистре, так как в принципе не могут конфликтовать с именами пользовательских цепочек. При вызове команды iptables таблица указывается в формате -t имя_таблицы. При отсутствии явного указания, используется таблица filter.

Архитектура

В системе netfilter, пакеты пропускаются через цепочки. Цепочка является упорядоченным списком правил, а каждое правило может содержать критерии и действие или переход. Когда пакет проходит через цепочку, система netfilter по очереди проверяет, соответствует ли пакет всем критериям очередного правила, и если так, то выполняет действие (если критериев в правиле нет, то действие выполняется для всех пакетов проходящих через правило). Вариантов возможных критериев очень много. Например, пакет соответствует критерию –source 192.168.1.1 если в заголовке пакета указано, что отправитель — 192.168.1.1. Самый простой тип перехода, –jump, просто пересылает пакет в начало другой цепочки. Также при помощи –jump можно указать действие. Стандартные действия доступные во всех цепочках — ACCEPT (пропустить), DROP (удалить), QUEUE (передать на анализ внешней программе), и RETURN (вернуть на анализ в предыдущую цепочку). Например, команды

Цепочки

Существует 5 типов стандартных цепочек, встроенных в систему:

PREROUTING — для изначальной обработки входящих пакетов. INPUT — для входящих пакетов адресованных непосредственно локальному процессу (клиенту или серверу). FORWARD — для входящих пакетов перенаправленных на выход (заметьте, что перенаправляемые пакеты проходят сначала цепь PREROUTING, затем FORWARD и POSTROUTING). OUTPUT — для пакетов генерируемых локальными процессами. POSTROUTING — для окончательной обработки исходящих пакетов.

Также можно создавать и уничтожать собственные цепочки при помощи утилиты iptables.

Таблицы

Цепочки организованны в 4 таблицы:

raw — просматривается до передачи пакета системе определения состояний. Используется редко, например для маркировки пакетов, которые НЕ должны обрабатываться системой определения состояний. Для этого в правиле указывается действие NOTRACK. Содержит цепочки PREROUTING и OUTPUT. mangle — содержит правила модификации (обычно заголовка) IP‐пакетов. Среди прочего, поддерживает действия TTL (Time to live), TOS (Type of Service), и MARK (для изменения полей TTL и TOS, и для изменения маркеров пакета). Редко необходима и может быть опасна. Содержит все пять стандартных цепочек. nat — просматривает только пакеты, создающие новое соединение (согласно системе определения состояний). Поддерживает действия DNAT, SNAT, MASQUERADE, REDIRECT. Содержит цепочки PREROUTING, OUTPUT, и POSTROUTING. filter — основная таблица, используется по умолчанию если название таблицы не указано. Содержит цепочки INPUT, FORWARD, и OUTPUT.

Цепочки с одинаковым названием, но в разных таблицах — совершенно независимые объекты. Например, raw PREROUTING и mangle PREROUTING обычно содержат разный набор правил; пакеты сначала проходят через цепочку raw PREROUTING, а потом через mangle PREROUTING.

Состояния

В системе netfilter, каждый пакет проходящий через механизм определения состояний, может иметь одно из четырёх возможных состояний:

NEW — пакет открывает новый сеанс. Классический пример — пакет TCP с флагом SYN. ESTABLISHED — пакет является частью уже существующего сеанса. RELATED — пакет открывает новый сеанс, связанный с уже открытым сеансом. Например, во время сеанса пассивного FTP , клиент подсоединяется к порту 21 сервера, сервер сообщает клиенту номер второго, случайно выбранного порта, после чего клиент подсоединяется ко второму порту для передачи файлов. В этом случае второй сеанс (передача файлов по второму порту) связан с уже существующим сеансом (изначальное подсоединение к порту 21).

Диаграмма прохождения таблиц и цепочек

Упрощённая диаграмма прохождения таблиц и цепочек:

Базовая конфигурация

Ниже приведён пример базовой статической конфигурации iptables. При сохранении и загрузке подобной конфигурации необходимо принимать во внимание возможность внесения в неё изменений со стороны других сервисов, например Fail2ban. Кроме того, при использовании IPv6-адресации конфигурацию для IPv6 следует выполнять независимо от IPv4.

Просмотр текущей конфигурации:

Создаём скрипт с дампом правил iptables:

Копируем следующий код:

Дополняем нужными правилами с учётом iptables-save.

Сохраняем и закрываем: Ctrl + O , Enter , Ctrl + X

Делаем скрипт исполняемым и загружаем правила iptables:

Просмотр текущей конфигурации:

Создаём скрипт с дампом правил ip6tables:

Копируем следующий код:

Дополняем нужными правилами с учётом ip6tables-save.

Сохраняем и закрываем: Ctrl + O , Enter , Ctrl + X

Делаем скрипт исполняемым и загружаем правила iptables:

Дополнительные правила

Ниже приведены некоторые сравнительно часто используемые правила. Цепочки INPUT/OUTPUT применяются для фильтрации локального трафика. Для транзитного трафика необходимо использовать цепочку FORWARD.

и после некоторых исследований по в этой теме я так понимаю:

a. Является ли ufw «инструментом настройки» брандмауэра по умолчанию для Ubuntu? (обратите внимание, что в нем говорится, что инструмент настройки, а не сам брандмауэр) и ufw установлен, но он не работает и вообще не настроен, поэтому для него нет стандартных правил, установленных из коробки.

б. Gufw - это пользовательский интерфейс для ufw, но он не установлен по умолчанию, по крайней мере, так обстоит дело с Ubuntu Desktop 18.04 LTS.

с. iptables - это фактический межсетевой экран, встроенный в ядро ​​как модуль.

На данный момент я знаю, что могу настроить ufw, так как это просто, как abc, отсюда и его название, и чтобы использовать его в качестве отправной точки, вам нужно установить deny (входящий), allow (исходящий) и запустить его, я также понимаю Я мог бы использовать Gufw и для этого. Так что я мог просто оставить это там и сделать именно это.

Однако, после всех моих исследований, я нахожу множество статей, вопросов и блогов по этой теме с множеством взглядов и мнений, многие из которых утверждают, что вам не нужен брандмауэр, нет открытых портов, но я думаю, конечно некоторые порты должны открываться при подключении к Интернету? Это означает, что я подключаю свое устройство к сети и открываю двустороннее соединение для трафика, но вся информация, которую я прочитал, служит только для того, чтобы сделать ее неясной и неоднозначной, поэтому я перевариваю всю эту информацию и пытаюсь понять ее, а затем уменьшаю все сводится к одному утверждению, и вкратце я резюмирую:

Пользователи настольных компьютеров Ubuntu не нуждаются в ufw, поскольку это просто инструмент настройки для iptables, который фактически является внутренним межсетевым экраном.

Итак, скажем, я понимаю приведенное выше утверждение буквально, тогда верно ли следующее утверждение?:

iptables - это встроенный брандмауэр для рабочего стола Ubuntu, полностью настроенный, готовый к работе и работающий прямо из коробки с правилами по умолчанию, которых достаточно безопасен для обычного пользователя настольного компьютера.

Потому что, если вышесказанное верно, то какой смысл в ufw, кроме как предоставить несложный интерфейс для iptables, который по всем учетным записям является сложным, и, кроме того, эксперты советуют вам избегать настройки iptables напрямую, поскольку если вы этого не сделаете точно знаете, что делаете, вы можете легко сделать свою систему небезопасной или непригодной для использования, если она неправильно настроена?

Вот nmap сканирование моей системы вместе с моей конфигурацией брандмауэра, показывающее открытые порты на моя система:

Пожалуйста, не могли бы вы дать краткий, актуальный и не основанный на мнении ответ, основанный на фактах :)

3 ответа

Вопрос значительно изменяется

Вопрос о ЗАГОЛОВКЕ

Как новый рабочий стол Ubuntu 18.04 пользователей LTS, сделайте я должен использовать ufw для брандмауэра или iptables достаточный?

Большинство домашних пользователей Ubuntu не должно или использование ufw . Оба ufw и iptables установлены по умолчанию и настроены, чтобы ничего не сделать. То, почему нет никакой потребности, объяснено более подробно ниже.

Другой вопрос 1:

Поэтому скажите, что я беру вышеупомянутый оператор буквально, затем действительно ли следующее утверждение верно?:

iptables является созданным в брандмауэре для Рабочего стола Ubuntu и полностью настроен и и исчерпывание поля с правилами по умолчанию, которые достаточно безопасны для среднего настольного пользователя, а именно, отрицают (поступать), позволяют (исходить).

Оператор является ложью

Оператор является на самом деле двумя операторами, к которым присоединяются и. Таким образом, если всего одна часть целого оператора является ложью, то целый оператор является ложью. Давайте сломаем его:

iptables созданный в брандмауэре для Рабочего стола Ubuntu

Вышеупомянутая часть верна.

Теперь давайте посмотрим на другую часть:

iptables полностью настроен и и исчерпывание поля с правилами по умолчанию, которые достаточно безопасны для среднего настольного пользователя, а именно, отрицают (поступать), позволяют (исходить).

Вышеупомянутая часть является ложью.

Настольная установка Ubuntu по умолчанию не имеет никаких открытых портов, и никакое выполнение серверов. Поэтому даже при том, что iptables приезжайте установленные по умолчанию в настольную Ubuntu, она не настроена, чтобы сделать что-либо. Таким образом, брандмауэр по умолчанию не имеет набора правил.

Таким образом, iptable настроен, чтобы ничего не сделать, когда Вы устанавливаете Ubuntu.

Другой вопрос 2:

Объяснения nmap и изображения gufw (я думаю, что это - то, что Вы хотите),

Ваш nmap показывает, что эти только два открытых порта открыты для 127.0.0.1. Это - специальный IP-адрес, который относится к самому компьютеру. Таким образом, сам компьютер может говорить с собой с помощью этих двух открытых портов.

gufw снимок экрана показывает, что нет никакой установки правил брандмауэра. Однако, так как Вы установили gufw и нажатый это, ufw также установлен (gufw, использует ufw), и ufw активен. Значение по умолчанию ufw конфигурация, которую Вы упомянули выше, отрицайте (поступать) и позвольте (исходить), работает. Однако эти правила не относятся к самому компьютеру, который является 127.0.0.1. Это (не необходимо, но) достаточный для домашнего пользователя.

Средним домашним пользователям не нужен брандмауэр

Настольная установка Ubuntu по умолчанию не имеет никаких открытых портов, и никакое выполнение серверов. Поэтому, если Вы не выполняете демона сервера, такого как сервер ssh, Вам не нужен никакой брандмауэр. Таким образом, iptable настроен, чтобы ничего не сделать, когда Вы устанавливаете Ubuntu. Посмотрите, что я должен активировать брандмауэр? Я только использую Ubuntu для домашнего настольного использования? для деталей.

При выполнении серверов, Вам нужен брандмауэр

Если Вы не средний домашний пользователь и хотите сделать, некоторые усовершенствованные вещи, такой как удаленно получают доступ к Вашему рабочему столу ssh или выполняют некоторые другие сервисы, то Вам нужен брандмауэр. Ваша конфигурация брандмауэра будет зависеть, на которых демонах сервера Вы планируете работать.

Даже если Вы не планируете выполнить сервер, из которого можно хотеть брандмауэр с конфигурацией по умолчанию, отклоняют все входящие соединения от всех портов. Это должно быть вдвойне безопасно, в случае, если, однажды Вы хотите установить и выполнить сервер, не понимая то, что Вы делаете. Не изменяя конфигурацию брандмауэра по умолчанию сервер не будет работать как ожидалось. Вы будете царапать голову в течение многих часов прежде, чем помнить активацию брандмауэра. Затем можно хотеть удалить программное обеспечение сервера, поскольку это не может стоить риска. Или можно хотеть настроить брандмауэр, чтобы позволить серверу работать.

gufw является самым легким

gufw является графическим интерфейсом для ufw , который в свою очередь настраивает iptables . Так как Вы использовали Linux с 1990-х, можно быть довольны командной строкой, или можно предпочесть визуальные индикаторы GUI. Если Вам нравится GUI, то используйте gufw . Легко понять и настроить даже для новичка.

ufw легко

Если Вам нравится командная строка, ufw достаточно легко.

iptables не так легко

Причина мы не хотим, чтобы любой играл непосредственно с iptables и использованием ufw или gufw то, потому что, очень легко испортить iptables и после того как Вы делаете, система может повредиться так плохо, что это может быть неприменимо. iptables-apply команда имеет некоторые встроенные гарантии для защиты пользователей от их ошибок.

Надеюсь, это поможет

iptables является частью сетевого стека TCP/IP. Если Вы имеете *, Отклоняют Вас, имеют IPTABLES. Если Вы находитесь в сети IP, брандмауэр включил или отключил, Вы используете iptables, независимо.

ufw *, Отклоняют приложение сверху (значение использования iptables). Это - базирующаяся консоль оболочки, но не так трудно использовать. Это может быть превращено включения - выключения. Вы не можете отключить iptables, поскольку должны быть маршруты по умолчанию для Интернета (0.0.0.0), локальная обратная петля (127.0.0.0), localhost (192.168.0.0) и автообращение (169.254.0.0). Как Вы видите, iptables испекся в сетевой стек. Вы не можете избежать его, даже если Вы хотели.

ufw может изменить iptables записи в матрице от комфорта консоли оболочки. Возможно отредактировать iptables маршруты IP вручную, но я не рекомендую это, поскольку это подвержено ошибкам в лучшем случае Думайте о ufw как об инструменте для редактирования таблиц маршрутизации IP.

Удобный, как я могу быть с консолью оболочки, я все еще рекомендую простоту gufw, который является графической "оберткой" для ufw, который находится на iptables.

Я люблю его простоту, особенно добавляющую профили брандмауэра приложений, такие как медиасерверы или bittorrent приложения. То, независимо от того, что делает мою жизнь легче, зарабатывает мою престижность.

Таким образом для ответа на измененный вопрос IPTABLES не защитит сеть, если оставлено в покое отдельно. Это не разработано, чтобы заблокировать, отфильтровать, отключить или позволить определенные порты, который пересекает таблицы маршрутизации IP. Используйте ufw + gufw, если Вы хотите только позволять/блокировать определенные порты или диапазон портов, которые в свою очередь динамично редактируют таблицу маршрутизации IP.

Я предоставляю этот ответ сам, так как я не был убежден людьми, которые настаивают, чтобы Вам не был нужен брандмауэр, у Вас нет открытых портов. и меня метка привычки, которую он принял, хотя я принимаю его сам, я предоставлю сообществу право голосовать по тому, должно ли это быть ответом.

Все, что я сказал бы любому использующему Рабочий стол Ubuntu, кто сталкивается с этим вопросом, если Вы не уверены в брандмауэре, потому что как я, Вы лично убедились, является таким количеством конфликтующих представлений об этом предмете, затем мой совет является просто разрешением, и используйте брандмауэр, я рекомендую ufw и если Вы хотите UI, затем используют Gufw, потому что то, когда все сказано и сделано, даже если все это делает, дают Вам часть ума, можно не причинить вреда в использовании его.

Я в конечном счете обратился к официальной документации Ubuntu для разъяснения и нашел следующую статью и после моего опыта, пытающегося найти ответы, я рекомендую прочитать эту статью, потому что это имеет большой смысл, и это отвечает на мой вопрос и sub вопросы, и я думаю, что собираюсь быть OK теперь ;)

Вот отрывок из вышеупомянутой статьи:

У меня нет открытых портов, таким образом, мне не нужен брандмауэр, правильно?

Ну, не действительно. Это - распространенное заблуждение. Во-первых, давайте поймем, каков открытый порт на самом деле. Открытый порт является портом, который имеет сервис (как SSH) связанный и слушание его. Когда клиент SSH попытается связаться с сервером SSH, он отправит пакет SYN TCP в порт SSH (22 по умолчанию), и сервер Подтвердит это, таким образом создавая новое соединение. Неправильное представление в том, как брандмауэр может помочь Вам, начинается здесь. Некоторые пользователи предполагают, что, так как Вы не выполняете сервисов, связь не может быть установлена. Таким образом, Вам не нужен брандмауэр. Если бы они были единственными вещами, то необходимо было думать о, это было бы совершенно приемлемо. Однако это - только часть изображения. Существует два дополнительных фактора, которые играют роль там. Один, если Вы не используете брандмауэр на основании, что у Вас нет открытых портов, Вы наносите вред своей собственной безопасности, потому что, если приложение, которое Вы действительно имеете, используется и выполнение кода происходит, новый сокет может быть создан и связан с произвольным портом. Другой важный фактор здесь - то, что, если Вы не используете брандмауэр, Вы также не имеете никакого контроля исходящим трафиком вообще. В связи с использованным приложением, вместо нового создаваемого сокета и связываемый порт, другая альтернатива, которую может использовать взломщик, должна создать обратное соединение назад со злонамеренной машиной. Без любых правил брандмауэра на месте это соединение пройдет беспрепятственный.

Ядро линукс включает подсистему Netfilter (сетевой фильтр), который используется для манипулирования или решения судьбы сетевого трафика передаваемого в или через ваш сервер. Все современные решения линукс по сетевой защите используют эту систему пакетной фильтрации.

Система пакетной фильтрации на уровне ядра была бы малоиспользуема администраторами без пользовательского интерфейса для ее управления. Для этого предназначен iptables. Когда пакет попадает на ваш сервер, он передается подсистеме Netfilter для одобрения, изменения или отказа на основе правил, которые она получает от интерфейса пользователя через iptables. Таким образом iptables - это все, что вам нужно для управления вашей сетевой защитой, если вы хорошо с ним знакомы, однако множество внешних интерфейсов доступны для упрощения этой задачи.

ufw - простой Firewall

Инструмент для настройки сетевой защиты Ubuntu по умолчанию - это ufw. Он разработан для легкой настройки iptables и предоставляет дружественный способ создания сетевой защиты для IPv4 и IPv6.

По умолчанию изначально ufw выключен. Со страницы man руководства ufw:

«ufw не предназначен для обеспечения полной функциональности брандмауэра через свой командный интерфейс, но он предоставляет легкий способ добавления или удаления простых правил. Сейчас в большинстве случаев он используется для централизованных брандмауэров.»

Далее следуют несколько примеров использования ufw:

1. Для начала требуется разрешить ufw. Наберите в терминале:

2. Открыть порт (в данном примере SSH ):

3. Правила могут быть добавлены с использованием нумерованного формата:

4. Подобным образом можно закрыть открытый порт:

5. Для удаления правила используйте delete:

6. Также можно разрешить доступ к порту с определенных компьютеров или сетей. Следующий пример разрешает на этом компьютере доступ по SSH с адреса 192.168.0.2 на любой IP адрес:

Замените 192.168.0.2 на 192.168.0.0/24 чтобы разрешить доступ по SSH для всей подсети.

8. ufw можно выключить командой:

9. Чтобы посмотреть статус сетевой защиты:

10. Для более полного отображения информации введите:

11. Для отображения в виде формата numbered:

Если порт, который вы хотите открыть или закрыть определен в файле /etc/services, вы можете использовать имя порта вместо его номера. В приведенных выше примерах можете заменить 22 на ssh.

Это лишь краткое описание использования ufw. Пожалуйста обратитесь к странице man ufw для более подробной информации.

Интеграция Приложений в ufw

Приложения, которые открывают порты, можно включать в профили ufw, которые детализируют какие порты необходимы этому приложению для корректной работы. Профили содержатся в /etc/ufw/applications.d, и могут быть отредактированы, если порты по умолчанию были изменены.

1. Чтобы посмотреть для каких приложений установлен профиль введите следующую команду в терминале:

2. Аналогично, разрешить трафик по порту, используя профиль приложения, можно следующей командой:

3. Также доступен расширенный синтаксис:

Замените Samba и 192.168.0.0/24 на используемый вами профиль приложения и IP диапазон вашей сети.

Нет необходимости в определении протокола, поскольку эта информация детализирована в профиле. Также обратите внимание, что имя app заменило номер port.

4. Для просмотра деталей какие порты, протоколы и пр. определены для приложения введите:

Не для всех приложений, которые требуют открытие сетевого порта, поставляется профиль ufw, но если у вас есть профиль для приложения, и вы хотите чтобы этот файл был включен в пакет приложения, зарегистрируйте ошибку о пакете на сайте Launchpad.

Маскировка IP

Цель маскировки ip-адреса состоит в том, чтобы компьютеры с частными, немаршрутизируемыми ip-адресами в вашей сети могли иметь доступ к Интернету через компьютер выполняющий маскировку. Трафик из вашей частной сети попадающий в Интернет должен быть правильно выпущен для корректного ответа, отправленного именно тому компьютеру, который послал запрос. Чтобы сделать это, ядро модифицирует заголовок каждого пакета так, чтобы ответ приходил нужному компьютеру, а не частному ip-адресу, который послал запрос, что невозможно в рамках сети Интернет. Линукс использует Трассировку Соединений (conntrack) для трассировки каждого из соединений принадлежащих соответствующим компьютерам и перенаправляет каждый возвращенный пакет. Трафик, покидает вашу частную сеть «маскируясь» таким образом, будто исходит от вашего шлюза Ubuntu. Этот процесс обозначен в документации Microsoft как Internet Connection Sharing (Общий доступ к Интернет-Соединению).

Маскировка ufw

Эти правила разбиты на два разных файла команд, одни должны быть выполнены ufw перед списком правил, а другие выполняются после списка правил.

1. Во-первых, в ufw должно быть активировано перенаправление. Для этого нужно изменить конфигурацию двух файлов, в /etc/default/ufw измените DEFAULT_FORWARD_POLICY на “ACCEPT”:

Затем отредактируйте /etc/ufw/sysctl.conf следующим образом:

Аналогично для IPv6:

Комментарии не обязательны, но считается хорошим тоном документировать свою конфигурацию. Также при изменении каких-либо rules файлов в каталоге /etc/ufw, убедитесь, что данные строки являются последними для каждой измененной таблицы:

Для каждой таблицы обязательно присутствие соответствующего ей оператора COMMIT (применение изменений). В данных примерах показаны только таблицы nat и filter, но вы можете также добавлять правила для таблиц raw и mangle.

В примерах выше замените eth0, eth1 и 192.168.0.0/24 на соответствующие интерфейсы и IP диапазон вашей сети.

3. Наконец, выключите и повторно включите ufw для применения изменений:

Маскировка iptables

Iptables также может быть использован для маскировки соединений.

1. Подобно ufw, первым делом нам необходимо включить форвардинг для IPv4 отредактировав следующий файл /etc/sysctl.conf и убрав комментарий со строки:

Если вы хотите включить форвардинг для IPv6 также удалите комментарий:

2. Далее выполните команду sysctl для применения новых настроек в файле конфигурации:

3. Теперь настройка маскировки ip-адреса может быть завершена с выполнением лишь одной команды, которая может немного отличатся в зависимости от вашей конфигурации сети:

После выполнения этой команды можно считать, что ваша частная сеть имеет адрес 192.168.0.0/16, а сетевая карта с выходом в Интернет - ppp0. Синтаксис определен следующим образом:

1. -t nat – правило применяется к таблице nat

2. -A POSTROUTING – правило добавлено (-A) в цепочку POSTROUTING

3. -s 192.168.0.0/16 – правило применено к трафику, исходящему из этого адресного пространства

5. -j MASQUERADE – трафик подпадающий под это правило выполняет «прыжок» («jump») (-j) в цепочку MASQUERADE для дальнейшей манипуляции с ним как описаны выше

4. Также каждая цепочка таблицы filter (цепочка, где происходит фильтрация большинства пакетов) по умолчанию имеет правило ACCEPT, но если вы настраиваете ваш firewall с целью создания шлюза, вы должны выбрать либо политику DROP либо REJECT, в этом случае ваш «замаскированный» трафик должен быть пропущен через цепочку FORWARD для срабатывания предыдущих правил:

Вышеперечисленные команды разрешают форвардинг всех соединений из локальной сети в Интернет, а весь трафик относящийся к этим соединениям возвращается к компьютерам, пославшим запрос.

Если вы хотите, чтобы маскировка работала после перезагрузки ПК, отредактируйте файл /etc/rc.local и добавьте туде вышеперечисленные команды. Например, добавьте первую команду без опций фильтрации:

Журналы

Журналы firewall крайне необходимы для обнаружения атак, возникающих проблем с правилами, а также обнаружения повышенной активности в вашей сети. В настройках firewall необходимо включить журналирование для правил, которое должно быть указано перед списком правил (правил, которые решают дальнейшую судьбу пакета, такие как ACCEPT, DROP или REJECT).

Если вы используете ufw, журналирование можно включить следующей командой:

Чтобы выключить журналирование в ufw просто замените значение on на off.

Для iptables введите:

В этом случае в начале поступит запрос на порт 80 от компьютера в локальной сети, затем будет сгенерирован файл журнала в dmesg который выгдлядит примерно так (одна строка разделена на три для корректного отображения на экране):

Этот текст журнала также появится в файле /var/log/messages, /var/log/syslog и /var/log/kern.log. Эти настройки можно изменить отредактировав файл /etc/syslog.conf аналогично или при установке и настройке ulogd, а также используя ULOG вместо LOG. Демон ulogd это пользовательский сервер который слушает инструкции ядра для дальнейшего журналирования, в частности для firewall, и может вести журналирование даже в PostgreSQL или MySQL базы данных. Для того, чтобы легко разобраться в файлах журнала можно использовать их анализаторы, такие как logwatch, fwanalog, fwlogwatch или lire.

Другие инструменты

Существует множество утилит для помощи в построении полноценного firewall без углубленных навыков в iptables.

Для работы с интерфейсом:

1. fwbuilder очень мощная утилита, которая настраивается подобно проприетарным продуктам вроде Checkpoint FireWall-1.

Если вы предпочитаете утилиты с поддержкой командной строки и списком файлов конфигураций:

2. Shorewall - мощное решение, которое поможет вам создать серьезный firewall для любого типа вашей сети.

Ссылки

1. Вики страница Ubuntu Firewall содержит необходимую информацию о работе над ufw.

2. Также посмотрите man страницу ufw, которая содержит много полезной информации: man ufw.

3. Для более подробной информации об использовании iptables смотрите packet-filtering-HOWTO.

4. Руководство nat-HOWTO содержит полное описание о маскировке соединений.

Мануал

Это руководство объясняет, что такое UFW, как установить UFW на Linux и как настроить брандмауэр UFW в различных операционных системах Linux.

Введение

На самом деле, серверы, работающие в корпоративной среде, будут хорошо защищены.

Большинство корпоративных компаний инвестируют миллионы долларов в защиту своей инфраструктуры.

Там будет отдельная сетевая команда, множество брандмауэров, команда безопасности для защиты вашей среды и серверов Linux.

Этого не произойдет, если вы используете Linux на своих настольных компьютерах или серверах.

Вы должны знать, как защитить свои Linux-машины с помощью правильных инструментов.

Одним из таких инструментов является UFW.

Что такое UFW?

UFW, расшифровывается как Uncomplicated Firewall, это программа межсетевого экрана, которая по умолчанию предустановлена в дистрибутивах на базе Ubuntu.

Почему UFW, а не iptables?

Вы можете задаться этим вопросом.

Освоение iptables может занять много времени и оказаться сложной задачей.

Чтобы упростить управление брандмауэром, было создано множество дополнений к iptables.

UFW является одним из них.

UFW является интерфейсом командной строки для управления iptables.

Он обеспечивает основу для управления и манипулирования брандмауэром netfilter.

UFW доступен по умолчанию во всех установках Ubuntu после версии 8.04 LTS.

Существует также графический интерфейс для UFW под названием Gufw.

О нем мы расскажем в отдельном руководстве.

В этой статье мы сосредоточимся на использовании ufw из командной строки.

Без лишних слов, давайте посмотрим, как установить и настроить брандмауэр UFW в Linux.

1. Установка UFW на Linux

UFW поставляется предустановленным в большинстве дистрибутивов на базе Debian и Arch.

Чтобы проверить, установлен UFW или нет, выполните следующую команду:

Если он не установлен в вашем дистрибутиве, вы можете установить его с помощью менеджера пакетов по умолчанию вашего дистрибутива.

Чтобы установить UFW в Alpine Linux, выполните:

Установка UFW в Arch Linux и его разновидности, такие как EndeavourOS и Manjaro Linux:

Установка ufw в Debian, Ubuntu и их производных:

Установка UFW в Fedora:

UFW доступен в репозитории [EPEL] для операционных систем Enterprise Linux, таких как RHEL, CentOS, AlmaLinux и Rocky Linux.

Включите репозиторий [EPEL] и установите UFW в RHEL, CentOS, AlmaLinux, Rocky Linux, как показано ниже:

Установка UFW на openSUSE:

1.1. Включение, запуск и остановка службы UFW

В системах на базе Debian демон UFW будет запущен и включен автоматически.

Выполните следующую команду, чтобы проверить состояние службы UFW:

Если служба UFW не запускается автоматически после установки, выполните следующую команду для запуска службы UFW:

Ufw также должен быть включен для автоматического запуска между перезагрузками системы.

Или вы можете объединить обе команды в одну, чтобы включить и запустить службу UFW одним движением, как показано ниже:

Чтобы остановить службу UFW, просто выполните команду:

3. Настройка брандмауэра с помощью UFW в Linux

3.1. Получение помощи

Если вы новичок в UFW, первое, что нужно сделать после его установки, это обратиться к разделу справки и man-странице UFW, чтобы получить базовое представление об использовании UFW.

Если вы забыли синтаксис или вам нужна справка по определенной функции ufw, эти две команды будут очень кстати.

3.2. Установка правил по умолчанию

Используя UFW, вы можете создавать правила брандмауэра (или политики) для разрешения или запрета определенной службы.

С помощью этих политик вы указываете UFW, какие порты, службы, IP-адреса и интерфейсы должны быть разрешены или запрещены.

Существуют политики по умолчанию, которые поставляются с ufw.

Политика по умолчанию отбрасывает все входящие соединения и разрешает все исходящие соединения.

ВАЖНО: Если вы настраиваете ufw на удаленном сервере, убедитесь, что вы разрешили порт или службу ssh перед включением брандмауэра ufw.

Политика входящих соединений по умолчанию будет запрещать все входящие соединения.

Поэтому если вы не настроили правила для разрешения SSH, вы будете заблокированы в удаленной системе и не сможете войти в нее.

Этого не произойдет, если вы запустите ufw на локальной системе.

Политики по умолчанию определяются в файле /etc/default/ufw.

Вот содержимое этого файла:

В качестве альтернативы можно использовать команду ufw allow, чтобы установить политики по умолчанию для входящих и исходящих команд:

3.2.1. Проверка состояния правил межсетевого экрана UFW

Чтобы проверить, активны ли политики по умолчанию, выполните следующую команду:

Вывод:

А для получения более подробной информации о состоянии используйте эту команду:

Читайте также:

  
• Windows 2000 и windows me отличия
  
• Нет поддержки thunderbolt ubuntu
  
• Проверить аппаратное ускорение linux
  
• Средство dism не поддерживает обслуживание среды предустановки windows с использованием online
  
• Windows 10 домашняя для одного языка что это