UFW(Uncomplicated Firewall) は、ほとんどのユーザーにとって豊富なオプションを備えた使いやすいファイアウォールユーティリティです。 iptablesのインターフェースです 、これは、ネットワークのルールを設定するための古典的な(そして慣れにくい)方法です。
デスクトップ用のファイアウォールが本当に必要ですか?
ファイアウォール ネットワーク上の着信および発信トラフィックを規制する方法です。サーバーのセキュリティには、適切に構成されたファイアウォールが不可欠です。
しかし、通常のデスクトップユーザーはどうでしょうか。 Linuxシステムにファイアウォールが必要ですか?ほとんどの場合、インターネットサービスプロバイダー(ISP)にリンクされたルーターを介してインターネットに接続しています。一部のルーターにはすでにファイアウォールが組み込まれています。その上、実際のシステムはNATの背後に隠されています。つまり、ホームネットワーク上にいるときは、おそらくセキュリティレイヤーがあります。
システムでファイアウォールを使用する必要があることがわかったので、Ubuntuまたはその他のLinuxディストリビューションにファイアウォールを簡単にインストールして構成する方法を見てみましょう。
GUFWを使用したファイアウォールの設定
GUFW Uncomplicated Firewall( UFW )を管理するためのグラフィカルユーティリティです。 )。このガイドでは、 GUFWを使用したファイアウォールの構成について説明します。 さまざまなモードやルールを検討しながら、ニーズに合ったものにします。
ただし、最初に、GUFWをインストールする方法を見てみましょう。
Ubuntuおよびその他のLinuxへのGUFWのインストール
GUFWは、すべての主要なLinuxディストリビューションで利用できます。 GUFWのインストールには、ディストリビューションのパッケージマネージャーを使用することをお勧めします。
Ubuntuを使用している場合は、ユニバースリポジトリが有効になっていることを確認してください。これを行うには、ターミナルを開きます(デフォルトのホットキー: Ctrl + Alt + T)を入力し、次のように入力します:
sudo add-apt-repository universe
sudo apt update -y
これで、次のコマンドを使用してGUFWをインストールできます。
sudo apt install gufw -y
それでおしまい!ターミナルに触れたくない場合は、SoftwareCenterからインストールすることもできます。
Software Centerを開き、 gufwを検索します 検索結果をクリックします。
先に進み、インストールをクリックします 。
gufwを開くには 、メニューに移動して検索します。
これによりファイアウォールアプリケーションが開き、「はじめに」が表示されます 」セクション。
ファイアウォールをオンにする
このメニューについて最初に気付くのは、ステータスです。 トグル。このボタンを押すと、ファイアウォールがオン/オフになります(デフォルト: オフ)、好み(ポリシーとルール)を適用します。
オンにすると、シールドアイコンが灰色から色に変わります。この記事の後半で説明するように、色はポリシーを反映しています。これにより、ファイアウォールが自動的に起動されます。 システムの起動時。
注: ホーム オフになります デフォルトでは。他のプロファイル(次のセクションを参照)はオンになります。
GUFWとそのプロファイルを理解する
メニューに表示されているように、さまざまなプロファイルを選択できます 。各プロファイルには、異なるデフォルトポリシーが付属しています 。これが意味するのは、着信トラフィックと発信トラフィックに対して異なる動作を提供するということです。
デフォルトプロファイル は:
- ホーム
- 公開
- オフィス
現在のプロファイルをクリックすると、別のプロファイルを選択できます(デフォルト:ホーム 。
それらの1つを選択すると、デフォルトの動作が変更されます。さらに下に行くと、着信トラフィックと発信トラフィックの設定を変更できます。
デフォルトでは、両方ともホーム およびオフィス 、これらのポリシーは着信を拒否 および送信を許可する 。これにより、何も入れずにhttp / httpsなどのサービスを使用できるようになります(例 ssh)。
公開の場合 、着信を拒否 および送信を許可する 。 拒否 、拒否と同様 、サービスを許可しませんが、(単に接続を切断/ハングするのではなく)マシンにアクセスしようとしたユーザー/サービスにフィードバックを送信します。
注
平均的なデスクトップユーザーの場合は、デフォルトのプロファイルを使用できます。ネットワークを変更する場合は、プロファイルを手動で変更する必要があります。
したがって、旅行中の場合は、ファイアウォールをパブリックプロファイルに設定してください。これ以降、ファイアウォールは再起動するたびにパブリックモードに設定されます。
ファイアウォールのルールとポリシーの構成[上級ユーザー向け]
すべてのプロファイルは同じルールを使用しますが、ルールに基づいて構築されたポリシーのみが異なります。ポリシーの動作の変更(受信/送信 )選択したプロファイルに変更を適用します。
ポリシーは、ファイアウォールがアクティブな間(ステータス:オン)にのみ変更できることに注意してください。
プロファイルは、設定から簡単に追加、削除、名前変更できます メニュー。
設定
トップバーで、編集をクリックします 。 設定を選択します 。
これにより、設定が開きます メニュー。
ここにあるオプションを見てみましょう!
ロギング 正確にあなたが考えることを意味します:ファイアウォールがログファイルに書き留める情報の量。
Gufwの下のオプション 非常に自明です。
プロファイルの下のセクション ここで、プロファイルを追加、削除、および名前変更できます。プロファイルをダブルクリックすると、名前を変更できます それ。 Enterを押す このプロセスを完了し、 Escを押します 名前の変更をキャンセルします。
追加するには 新しいプロファイルについては、 +をクリックしてください プロファイルのリストの下。これにより、新しいプロファイルが追加されます。ただし、それについては通知されません。また、リストを下にスクロールして、作成したプロファイルを表示する必要があります(マウスホイールまたはリストの右側にあるスクロールバーを使用)。
注: 新しく追加されたプロファイルは着信を拒否します および送信を許可する トラフィック。
プロファイルをクリックすると、そのプロファイルが強調表示されます。 –を押す ボタンは削除します 強調表示されたプロファイル。
注: 現在選択されているプロファイルの名前を変更/削除することはできません 。
閉じるをクリックできるようになりました 。次に、さまざまなルールの設定について説明します。 。
ルール
メインメニューに戻り、画面の中央のどこかで、さまざまなタブ( [ホーム]、[ルール]、[レポート]、[ログ])を選択できます 。 ホームについてはすでに説明しました タブ(アプリを起動したときに表示されるクイックガイドです)。
先に進み、ルールを選択します 。
これは、ファイアウォール構成の大部分、つまりネットワークルールになります。 UFWが基づいている概念を理解する必要があります。それは許可、拒否、拒否です および制限 トラフィック。
注: UFWでは、ルールは上から下に適用されます(一番上のルールが最初に有効になり、その上に次のルールが追加されます)。
許可、拒否、拒否、制限: これらは、ファイアウォールに追加するルールで使用可能なポリシーです。
それぞれの意味を正確に見てみましょう:
- 許可: ポートへのすべてのエントリトラフィックを許可します
- 拒否: ポートへのエントリトラフィックを拒否します
- 拒否: ポートへのエントリトラフィックを拒否し、拒否についてリクエスターに通知します
- 制限: IPアドレスが過去30秒間に6つ以上の接続を開始しようとした場合、エントリトラフィックを拒否します
ルールの追加
GUFWにルールを追加する方法は3つあります。次のセクションでは、3つの方法すべてを紹介します。
注: ルールを追加した後、ルールの順序を変更するのは非常に難しいプロセスであり、ルールを削除して正しい順序で追加する方が簡単です。
ただし、最初に +をクリックします ルールの下部にあります タブ。
これにより、ポップアップメニューが開きます(ファイアウォールルールの追加 。
このメニューの上部に、ルールを追加する3つの方法が表示されます。 事前設定済み、シンプル、高度などの各方法について説明します 。クリックして各セクションを展開します。
事前設定されたルール
これは、ルールを追加するための最も初心者に優しい方法です。
最初のステップは、ルールのポリシーを選択することです(上記のポリシーから)。
次のステップは、ルールが影響を与える方向(着信、発信、両方)を選択することです。 。
カテゴリ およびサブカテゴリ 選択肢はたくさんあります。これらはアプリケーションを絞り込みます 選択できます
アプリケーションの選択 その特定のアプリケーションに必要なものに基づいて、一連のポートを設定します。これは、複数のポートで動作する可能性のあるアプリや、手書きのポート番号のルールを手動で作成する必要がない場合に特に便利です。
ルールをさらにカスタマイズする場合は、オレンジ色の矢印アイコンをクリックします。 。これにより、現在の設定(ポートを備えたアプリケーションなど)がコピーされ、詳細に移動します。 ルールメニュー。これについては、この記事の後半で説明します。
この例では、Officeデータベースを選択しました アプリ: MySQL 。このアプリが使用するポートへのすべての着信トラフィックを拒否します。
ルールを作成するには、追加をクリックします 。
これで、閉じることができます ポップアップ(他のルールを追加したくない場合)。ルールが正常に追加されたことがわかります。
ポートはGUFWによって追加され、ルールには自動的に番号が付けられています。なぜ1つではなく2つの新しいルールがあるのか不思議に思うかもしれません。答えは、UFWが標準の IPの両方を自動的に追加することです ルールとIPv6 ルール。
簡単なルール
事前設定されたルールを設定するのは良いことですが、ルールを追加する別の簡単な方法があります。 +をクリックします アイコンをもう一度押して、シンプルに移動します タブ。
ここでのオプションは簡単です。ルールの名前を入力し、ポリシーと方向を選択します。着信SSH試行を拒否するためのルールを追加します。
プロトコル 選択できるのはTCP、UDP または両方 。
ここで、ポートを入力する必要があります トラフィックを管理したい対象。 ポート番号を入力できます (例:sshの場合は22)、ポート範囲 で区切られた包括的端: (コロン )(例:81:89)またはサービス名 (例:ssh)。 sshを使用します TCPとUDPの両方を選択します この例では。前と同じように、追加をクリックします ルールの作成を完了します。 赤い矢印アイコンをクリックできます 設定を詳細にコピーします ルール作成メニュー。
閉じるを選択した場合 、(対応するIPv6ルールとともに)新しいルールが追加されたことがわかります。
高度なルール
次に、より高度なルールを設定して、特定のIPアドレスとサブネットからのトラフィックを処理し、さまざまなインターフェースをターゲットにする方法について説明します。
ルールを開いてみましょう 再びメニュー。 詳細を選択します タブ。
これで、基本的なオプション(名前、ポリシー、方向、プロトコル、ポート)について既に理解しているはずです。 。これらは以前と同じです。
注: 受信ポートと要求ポートの両方を選択できます。
変更点は、ルールをさらに専門化するための追加オプションがあることです。
ルールはGUFWによって自動的に番号が付けられることを前に述べました。 詳細を使用 ルール挿入に数値を入力して、ルールの位置を指定します オプション。
注: 入力位置0 既存のすべてのルールの後にルールを追加します。
インターフェース マシンで使用可能なネットワークインターフェイスを選択しましょう。そうすることで、ルールはその特定のインターフェースとの間のトラフィックにのみ影響します。
ログ 正確にそれを変更します:何がログに記録され、何がログに記録されないか。
要求側と受信側のポート/サービス( From )のIPを選択することもできます 、宛先 。
IPアドレスを指定するだけです。 (例:192.168.0.102)またはサブネット全体 (例:192.168.0.0から192.168.0.255の範囲のIPv4アドレスの場合は192.168.0.0/24)
私の例では、サブネット上のシステムから現在実行しているマシンの特定のネットワークインターフェースへのすべての着信TCPSSH要求を許可するルールを設定します。すべての標準IPルールの後にルールを追加して、設定した他のルールの上に適用されるようにします。
閉じる メニュー。
このルールは、他の標準IPルールの後に正常に追加されました。
ルールの編集
ルールリストでルールをクリックすると、そのルールが強調表示されます。ここで、小さな歯車のアイコンをクリックすると 下部で、編集できます 強調表示されたルール。
これにより、詳細のようなメニューが開きます。 前のセクションで説明したメニュー。
注: ルールのオプションを編集すると、ルールがリストの最後に移動します。
適用でエーテル選択できるようになりました ルールを変更してリストの最後に移動するか、キャンセルを押します 。
ルールの削除
ルールを選択(強調表示)した後、 –をクリックすることもできます アイコン。
レポート
レポートを選択します タブ。ここでは、現在実行中のサービスを確認できます(プロトコル、ポート、アドレス、アプリケーション名などのサービスに関する情報も表示されます)。ここから、リスニングレポートの一時停止(アイコンの一時停止)を実行できます またはリスニングレポート(+アイコン)から強調表示されたサービスからルールを作成します 。
ログ
ログを選択します タブ。ここで、エラーが疑わしいルールであるかどうかを確認する必要があります。特定のルールを追加できない理由がわからない場合に、これらがどのように表示されるかを示すために、いくつかの無効なルールを作成してみました。下のセクションには、2つのアイコンがあります。 最初のアイコンをクリックすると、ログがコピーされます クリップボードに移動し、2番目のアイコンをクリックします ログをクリアします 。
まとめ
適切に構成されたファイアウォールを使用すると、Ubuntuエクスペリエンスに大きく貢献し、マシンをより安全に使用できるようになり、着信トラフィックと発信トラフィックを完全に制御できるようになります。
GUFWのさまざまな使用法とモードについて説明しました 、さまざまなルールを設定し、ニーズに合わせてファイアウォールを構成する方法について説明します。このガイドがお役に立てば幸いです。
初心者の場合、これは包括的なガイドになるはずです。 Linuxの世界に精通していて、サーバーやネットワークに足を踏み入れたとしても、何か新しいことを学んだことを願っています。
この記事が役に立ったかどうか、またファイアウォールがシステムを改善すると決めた理由をコメントでお知らせください。