Uncomplicated Firewall (UFW) は、ファイアウォールの概念に慣れていない人にも使いやすいインターフェイスを提供します。 netfilter を管理するためのフレームワークと、ファイアウォールを操作するためのコマンドライン インターフェイスを提供します。小さなコマンド セットと平易な英語のパラメーターを備えた UFW を使用すると、ファイアウォール ルールをすばやく簡単に理解して設定できます。同時に、UFW を使用して、iptables で可能なほとんどのルールを構成できます。 UFW は、バージョン 8.04 LTS 以降のすべての Ubuntu インストールにプリインストールされています。
シンプルなファイアウォールでネットワークを保護するには、次の手順に従ってください:
1. UFW はほとんどのシステムにプリインストールされています。インストールされていない場合、以下のエラーが発生する可能性があります:
ufw: command not found
2. そうでない場合は、ディストリビューションの選択に従って、次のコマンドでインストールできます:
| 分布 | コマンド |
|---|---|
| Debian | apt-get インストール ufw |
| Ubuntu | apt-get インストール ufw |
| Arch Linux | pacman -S ufw |
| カリ Linux | apt-get インストール ufw |
| Fedora | dnf インストール ufw |
| Raspbian | apt-get インストール ufw |
ubuntu システムの例を見てみましょう:
$ sudo apt-get udpate $ sudo apt-get install UFW
3. UFW のステータスを確認します:
$ sudo ufw status
4. SSH を許可する新しいルールを追加します:
$ sudo ufw allow ssh
5. あるいは、ポート番号を使用して特定のポートを開くこともできます:
$ sudo ufw allow 22
6. HTTP (ポート 80) 経由の TCP トラフィックのみを許可する:
$ sudo ufw allow http/tcp
7.着信 FTP トラフィックを拒否する:
$ sudo ufw deny ftp
8. ファイアウォールを開始する前に、追加されたすべてのルールを確認してください:
$ sudo ufw show added
9. ファイアウォールを有効にします:
$ sudo ufw enable
10. ufw ステータスを確認します。verbose パラメータはオプションです:
$ sudo ufw status verbose
ufw コマンドの例
1. ufw を有効にします:
# ufw enable
2. ufw を無効にします:
# ufw disable
3. ufw ルールとその番号を表示:
# ufw status numbered
4. サービスを識別するコメントを使用して、このホストのポート 5432 で着信トラフィックを許可します。
# ufw allow 5432 comment "Service"
5. ポート 22 で、192.168.0.4 からこのホストの任意のアドレスへの TCP トラフィックのみを許可します:
# ufw allow proto tcp from 192.168.0.4 to any port 22
6. このホストのポート 80 でトラフィックを拒否します:
# ufw deny 80
7. 範囲 8412:8500 のポートへのすべての UDP トラフィックを拒否します:
# ufw deny proto udp from any to any port 8412:8500
8. 特定のルールを削除します。ルール番号は `ufw status numbered` コマンドから取得できます:
# ufw delete rule_number
9. 追加されたルールの番号付きリストを取得します:
$ sudo ufw status numbered
10. ポート範囲を指定して、範囲内のすべてのポートを許可することもできます:
$ sudo ufw allow 1050:5000/tcp
11. 特定の IP アドレスのすべてのポートを開く場合は、次のコマンドを使用します:
$ sudo ufw allow from 10.0.2.100
または、次のようにサブネット全体を許可することもできます:
$ sudo ufw allow from 10.0.2.0/24
12. 特定の IP アドレスに対して特定のポートを許可または拒否することもできます。
$ sudo ufw allow from 10.0.2.100 to any port 2222 $ sudo ufw deny from 10.0.2.100 to any port 5223
13. 前述のルールでプロトコルを指定するには、次のコマンドを使用します:
$ sudo ufw deny from 10.0.2.100 proto tcp to any port 5223
14. ルールの削除:
$ sudo ufw delete allow ftp
15. 番号を指定してルールを削除します:
$ sudo ufw status numbered $ sudo ufw delete 2
16. 特定の番号に新しいルールを追加します:
$ sudo ufw insert 1 allow 5222/tcp # Inserts a rule at number 1
17. 送信 FTP 接続を拒否する場合は、次のコマンドを使用できます:
$ sudo ufw reject out ftp