はじめに
システムを保護するための最初のステップは、ファイアウォールを構成することです。ファイアウォールを設定および管理するために、Linuxは iptablesを設計しました 、柔軟なファイアウォールユーティリティ。
ネットワークセキュリティに不慣れなユーザーは、iptablesを少し怖がらせるかもしれません。そのため、UFWから始めることをお勧めします。 UFW (Uncomplicated Firewall)は、iptablesの上に実装されたユーザーフレンドリーなインターフェースです。ファイアウォールを構成する簡単な方法を提供します。
このチュートリアルでは、UFWを使用してUbuntu18.04システムのファイアウォール保護を設定する方法を学習します。
前提条件
- sudoのユーザーアカウント 特権
- コマンドライン/ターミナルウィンドウへのアクセス( Ctrl – Alt – T )
コマンドラインからUFWを設定する
UbunutuにUFWをインストールする
UFWにはUbuntu18.04がプリインストールされています。
万が一、UFWがない場合は、次のコマンドを実行してインストールします。
sudo apt install ufwIPv6をサポートするようにUFWを設定する
システムにIPv4とIPv6の両方がある場合は、両方のプロトコルをサポートするようにUFW構成ファイルを変更する必要があります。
Nanoまたはその他のテキストエディタを使用してファイルを開きます:
sudo nano /etc/default/ufw
IPv6 値ははいに設定する必要があります 。
保存 および閉じる ファイル。
デフォルトのUFWポリシーを設定する
デフォルトのUFW設定は、すべての発信接続を許可し、すべての着信接続を拒否するように設定されています。
これらのルールは、着信要求に応答する必要のないパーソナルコンピュータで正常に機能します。
デフォルト設定に戻したい場合は、次のコマンドを実行します。
sudo ufw default deny incomingsudo ufw default allow outgoing
SSH接続を許可する
リモートの場所からサーバーに接続する場合は、着信SSH接続を許可するようにUFWを設定する必要があります。
次のコマンドでSSH接続を許可するようにUFWを設定します:
sudo ufw allow ssh
UFWを有効にする
SSH接続を許可するようにファイアウォールを構成した後、次の方法でファイアウォールを有効にできます。
sudo ufw enable出力は、ファイアウォールを有効にすることで既存のSSH接続が中断される可能性があることを通知します。 y と入力して、続行することを確認します Enterを押します 。
次の画像のように、出力はファイアウォールがアクティブになったことを通知するはずです。
UFWステータスの確認
UFWステータスを確認してからルールを設定するには、次のコマンドを実行します。
sudo ufw status verbose下の画像のように、そのステータス、デフォルト設定、および接続用に開いているポートが表示されます。
UFWルールの追加
さらにルールを追加して、サーバーとの通信範囲をさらに定義できます。
許可する接続と拒否する接続を指定します。
他のポートでの着信接続を許可する
サーバーの用途によっては、特定の着信接続を許可するために他のポートを開く必要がある場合があります。追加のUWFルールを作成して、これらの接続をファイアウォール構成に追加します。
サーバーをHTTPをリッスンするように設定します (ポート80)次のように入力します:
sudo ufw allow httpまたは:
sudo ufw allow 80HTTPS接続を有効にする 、次の2つのコマンドのいずれかを使用します。
sudo ufw allow httpssudo ufw allow 443ホームシステムから完全にアクセスしたいリモートマシンとしてサーバーを使用している可能性があります。 特定のIPからのすべてのポートへのアクセスを許可するルールを設定するには アドレス、実行:
sudo ufw allow from [IP.address]特定のマシンから特定のポートへのアクセスを許可する コマンドを実行します:
sudo ufw allow from [IP.address] to any port [port number]さまざまなポートへのアクセスを許可する 、範囲の値とプロトコルのタイプ(TCPまたはUDP)を指定します。たとえば、次のコマンドは、TCPおよびUDPのポート2000から2004への接続を許可します。
sudo ufw allow 2000:2004/tcpsudo ufw allow 2000:2004/udp他のポートでの着信接続を拒否する
特定のIPからの接続を禁止する拒否ルールを作成するには アドレスコマンドを実行します:
sudo ufw deny from [IP.address]特定のポートへのアクセスを拒否することもできます 次のように入力します:
sudo ufw deny from [IP.address] to any port [number]UFWルールの削除
不要になったルールを削除する場合は、2つの方法があります。
1つのオプションは、すべてのルールのリストを表示し、ルールの割り当てられた番号を見つけることです。まず、次のコマンドを実行します:
sudo ufw status numbered
上の画像のように、出力にはこれまでに定義したルールが一覧表示されます。各ルールには、設定された順序に従って番号が付けられています。
ルールを削除するには、適切なルール番号を使用して次の構文を使用します。
sudo ufw delete [rule_number]ルールを削除する別の方法は、(追加したとおりに)単語ごとにルールを指定することです。
sudo ufw delete [rule]たとえば、ポート2000への接続を許可するルールを削除するには、次のコマンドを使用します。
sudo ufw delete allow 2000アプリケーションプロファイル
aptでインストールされた各パッケージ コマンドの/etc/ufw/applications.dにアプリケーションプロファイルがあります ディレクトリ。プロファイルは、ソフトウェアとそのUFW設定に関する情報を提供します。
すべてのアプリケーションプロファイルのリストを表示するには、次のコマンドを使用します。
sudo ufw app list次のように入力して、特定のパッケージ(および開いているポート)の詳細を表示します。
sudo ufw app info '[package name]'
以下の例では、アプリケーションプロファイルはCUPSの1つだけです。 app info オプションは、パッケージがポート631を開くことを示します。
GUIを介してUFWを設定する
UbuntuにGUFWをインストールする
グラフィカルユーザーインターフェイスよりもUFWファイアウォールを管理したい場合は、GUFWをインストールできます。
これは、ターミナルでいくつかのコマンドを実行するか、システムソフトウェアセンターを使用して実行できます。
オプション1:ターミナル経由でGUFWをインストールする
1. GUFWを設定するには、最初に大学リポジトリを有効にする必要があります。これを行うには、ターミナルで次のコマンドを入力します。
sudo add-apt-repository universe2.次に、リポジトリを更新します。
sudo apt update -y3.すべてを設定したら、次のコマンドを実行してGUFWをインストールできます。
sudo apt install gufw -yオプション2:ソフトウェアセンター経由でGUFWをインストールする
ターミナルから完全に離れたいユーザーのために、GUFWをインストールする別のオプションはソフトウェアセンターからダウンロードすることです。
1.ソフトウェアセンターを開き、 GUFWと入力します 検索バーで。
2.検索結果にファイアウォール構成が表示されます パッケージ。アイコンを選択し、インストールをクリックします 。
GUFWを開いて開始する
ファイアウォール構成を開くには、Ubuntuシステムの検索バーを使用して、 GUFWと入力します。 。
下の画像のように表示されるアイコンをクリックします。
これにより、ファイアウォールウィンドウが起動します。その中には、必要に応じて設定できるさまざまなパラメータのメニューがあります。
手順が示すように、通常のユーザーの場合は基本 構成で十分です。これには以下が含まれます:
- プロフィール:自宅(または提供されている他の名前)
- ステータス:オン
- 受信:拒否
- 送信:許可
ルールを追加して将来使用するためにラベルを付ける場合は、[ルール]をクリックします 次にプラス記号( + 。
ポップアップウィンドウファイアウォールルールの追加 現れる。新しいルールを設定し、[追加]をクリックします 。