Uncomplicated Firewallとも呼ばれるUFWは、ファイアウォールを管理するためのLinuxベースのツールです。コマンドラインインターフェイスを使用し、使いやすいように特別に設計されています。 UFWはiptablesのフロントエンドであり、netfilterを管理するためのフレームワークを提供します。
UFWは、ファイアウォールを構成するプロセスを簡素化するiptablesの代替ツールです。 iptablesは非常に優れた柔軟なツールですが、初心者がファイアウォールを適切に構成するためにiptablesを使用する方法を学ぶのは難しい場合があります。
ネットワークを保護するためのツールを探していて、使用するツールがわからない場合は、UFWがおそらく正しい選択です。
このチュートリアルでは、Ubuntu18.04でUFWを使用してファイアウォールを構成する方法を示します。
前提条件
- Atlantic.Netクラウドプラットフォーム上の新しいUbuntu18.04VPS。
ステップ1-Atlantic.Netクラウドサーバーを作成する
まず、Atlantic.Netクラウドサーバーにログインします。オペレーティングシステムとしてUbuntu18.04を選択し、少なくとも2GBのRAMを搭載した新しいサーバーを作成します。 SSH経由でクラウドサーバーに接続し、ページの上部で強調表示されているクレデンシャルを使用してログインします。
Ubuntu 18.04サーバーにログインしたら、次のコマンドを実行して、ベースシステムを最新の利用可能なパッケージで更新します。
apt-get update -y
ステップ2–UFWをインストールする
UFWはデフォルトでUbuntu18.04にインストールされます。そうでない場合は、次のコマンドを実行してインストールできます。
apt-get install ufw -y
UFWをインストールした後、最初に行う必要があるのは、ヘルプマニュアルを確認することです。次のコマンドを実行して、UFWヘルプマニュアルを表示できます。
ufw --help
次の出力が得られるはずです:
Usage:ufw COMMANDCommands:enable enables the firewall disable disables the firewall default ARG set default policy logging LEVEL set logging to LEVEL allow ARGS add allow rule deny ARGS add deny rule reject ARGS add reject rule limit ARGS add limit rule delete RULE| NUM delete RULE insert NUM RULE insert RULE at NUM route RULE add route RULE route delete RULE|NUM delete route RULE route insert NUM RULE insert route RULE at NUM reload reload firewall reset reset firewall status show firewall status status numbered show firewall status as numbered list ofRULESステータス冗長表示詳細ファイアウォールステータス表示ARGファイアウォールレポートのバージョンを表示するバージョン情報を表示するアプリケーションプロファイルコマンド:アプリリストアプリケーションプロファイルを一覧表示するアプリ情報プロファイルステップ3–UFWデフォルトポリシーの設定
最初に行う必要があるのは、デフォルトのポリシーを定義することです。これらのポリシーは、他のファイアウォールルールを明示的に満たさないトラフィックの処理方法を制御します。デフォルトでは、UFWはすべての発信接続を許可し、すべての着信接続を拒否するように設定されています。
UFWの設定をデフォルトに戻すことから始めましょう。次のコマンドで設定できます:
ufwデフォルト拒否incomingufwデフォルト許可送信ステップ4–SSH接続を許可する
クラウドサーバーを使用している場合は、UFWファイアウォールを有効にする前にSSH接続を許可する必要があります。これにより、SSH経由でサーバーに接続して管理できるようになります。そうしないと、クラウドサーバーに接続できなくなります。
次のコマンドを実行して、着信SSH接続を許可するようにUFWファイアウォールを構成します。
ufw allow ssh上記のコマンドは、ポート22でのすべての着信接続を許可します。
別のポートでリッスンするようにSSHサーバーを構成した場合は、UFWで適切なポートを許可する必要があります。
次に、次のコマンドを実行してUFWファイアウォールを有効にします。
ufw enable次のコマンドを使用して、UFWファイアウォールのステータスを確認できるようになりました。
ufwステータス次の出力が得られるはずです:
Status:activeTo Action From-- ------ ----22/tcp ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6)ステップ5–UFW基本ルール
このセクションでは、UFWファイアウォールルールを許可、拒否、削除する方法を学びます。
UFWで着信トラフィックを許可する方法は2つあります。
HTTPサービスの着信トラフィックを許可する場合は、サービス名を指定して次のコマンドを実行します。
ufw allow httpまたは、ポート番号を指定して次のコマンドを実行します。
ufw allow 80ポート443でHTTPSを許可するには、次のコマンドを実行します。
ufw allow httpsまたは:
ufw allow 443 / tcp次のコマンドを実行して、TCP/UDPに基づいてパケットをフィルタリングすることもできます。
ufw allow 80 / tcpufw allow 21 / udp次のコマンドを使用して、ルールを拒否することもできます。
ufw deny 80または:
ufw deny httpHTTPルールを削除するには、次のコマンドを実行します。
ufw delete allow httpまたは:
ufw delete allow 80ステップ6–UFWアドバンストルール
このセクションでは、UFWの高度なルールについて学習します。
ある範囲のポート8080-8090で実行するアプリケーションがある場合。次のコマンドを実行して、これらのポートを許可できます。
ufw allow 8080:8090 / tcp特定のIPアドレス(192.168.0.3)を追加して、すべての着信接続へのアクセスを許可する場合は、次のコマンドを実行します。
192.168.0.3からのufw許可特定のIPアドレス(192.168.0.4)からのすべての着信接続を拒否するには、次のコマンドを実行します。
ufwは192.168.0.4から拒否します特定のポート(80)で特定のIPアドレス(192.168.0.5)を許可する場合は、次のコマンドを実行します。
ufwは192.168.0.5から任意のポート80までを許可します特定のネットワークインターフェイス(eth1)へのすべての着信接続を許可するには、次のコマンドを実行します。
ufwはeth2で許可します特定のネットワークサブネット(192.168.0.1/24)へのすべての着信接続を許可するには、次のコマンドを実行します。
192.168.1.0/24からのufw許可すべてのルールを削除(リセット)する場合は、次のコマンドを実行します。
ufwリセットUFWを停止してすべてのルールを無効にする場合は、次のコマンドを実行します。
ufw disable結論
上記のチュートリアルでは、Ubuntu18.04でUFWファイアウォールを設定する方法を学びました。また、UFWで許可、拒否、削除、およびいくつかの高度なルールを使用する方法も学びました。 UFWを使い始める準備ができたら、Atlantic.NetのVPSホスティングプランをご覧ください。