はじめに:
ターミナルコマンドベースのファイアウォールであるファイアウォールUFWを使い始めたところです。ツールは最初は少し理解しにくいように見えましたが、少し試行錯誤して、ようやく何かが機能するようになりました。これが私がしたことです。
UFWファイアウォールをインストールします:
apt-get install ufw
前提:
次の条件が必要です:
内部LANから許可するポートのリスト(192.168.100.0/24):ALL
localhost(127.0.0.0/16)から許可するポートのリスト: ALL
インターネットへのアクセスを許可するポートのリスト:ALL
インターネットからのアクセスを許可するポートのリスト:
ssh:22
FTP:21、20、20000-20099(使用者pure-ftp)
HTTP:80
HTTPS:443
Gerrit:2222
結果:上記のポートを除いて、他のすべてのポートはインターネットからブロックする必要があります。
上記のファイアウォールを構成するUFWコマンド:
ufw permit from 192.168.100.0/24
ufw permit from 127.0.0.0/16
ufw permit from any to any port 22
ufw permit from any to any port 21
ufw allow 20000:20099 / tcp
ufw permit from any to any port 80
ufw permit from any to any port 443
ufw permit from any to any port 2222
注: 上記には、アプリケーションからインターネットへのすべてのパケットを許可するためのルールはありません。このファイアウォールのデフォルトの動作は、すべてのアプリケーションがインターネットに何でも送信できるようにするためです。
次のコマンドを発行して、UFWファイアウォールを有効にした後で確認できます。
iptables- L -n -v | grep'チェーン出力'
結果:
Chain OUTPUT(ポリシーACCEPT 0パケット、0バイト)
デフォルトポリシーの設定
これは非常に自明です。ufwデフォルトは着信を拒否します
ufwデフォルトは発信を許可します
ファイアウォールはまだアクティブではありません!
警告: SSH接続を介してこのファイアウォールを構成する場合は、上記のコマンドに次のコマンドが含まれていることを確認してください。そうでない場合は、ファイアウォールをアクティブにするとすぐにサーバーからロックアウトされ、SSHアクセスができなくなります。悪いニュース🙁ufwは任意のポート22から任意のポートを許可します
追加を確認するには ルール前 ファイアウォールを有効にします:
ufw showadded
次に、次のコマンドでファイアウォールをアクティブにします:
ufw enable
次のコマンドを発行して、UFW構成を確認します。
ufw status numbered
次の結果が得られるはずです:
ステータス:アクティブ
。
アクションの開始元
-----------
[1]192.168.100.0/24でどこでも許可
[2]127.0.0.0/16でどこでも許可
[3]22どこでも許可
[4]21で許可どこでも
[5]20000:20099/tcpどこでも許可
[6]80どこでも許可
[7]443どこでも許可
[8]2222どこでも許可
[9] 22どこでも許可(v6)
[10] 21どこでも許可(v6)
[11] 20000:20099 / tcpどこでも許可(v6)
[ 12] 80どこでも許可(v6)
[13] 443どこでも許可(v6)
[14] 2222どこでも許可(v6)
もう一度やり直す必要がある場合は、次のコマンドを実行します。
ufw disable
ufw reset
ポート2222:(ルール8および14)に関するルールなど、一部のルールを削除する必要がある場合は、リスト内で最後に削除したルール番号から始まるルール番号を使用してルールを削除します。ロジックは、最初のルールから開始すると、最初の削除後にルール番号がシフトされ、最後に削除されるのはルール14ではなくルール13などになるというものです。
例:>
ufw delete 14
ufw delete 8
既存のルールの上にルールを挿入する必要がある場合は、新しいルールの後になるルール番号を使用します。たとえば、インターネットからポート20005を拒否するルールを追加する場合。
注。ここでは意味がありません(実用的ではありません)が、単なる例です。ルール11の前に新しい「拒否」ルールを挿入します。コマンドは次のとおりです。ufw insert 11 deny 20005
結果を見てみましょう:
ufw status numbered
結果:
ステータス:アクティブ
。
アクションへ
---------- ----
[1 ]192.168.100.0/24でどこでも許可
[2]127.0.0.0/16でどこでも許可
[3]22どこでも許可
[4]21どこでも許可
[5]20005どこでも拒否
[6]20000:20099/tcpどこでも許可
[7]80どこでも許可
[8]443どこでも許可
[9 ]2222どこでも許可
[10]22どこでも許可(v6)
[11] 21どこでも許可(v6)
[12] 20005どこでも拒否(v6)
[13] 20000:20099 / tcpどこでも許可(v6)
[14] 80どこでも許可( v6)
[15] 443どこでも許可(v6)
[16] 2222どこでも許可(v6)
ご覧のとおり、UFWは、IPv4とIPv6のルールを適切な位置に挿入するのに十分なほどスマートでした。
再起動に関する注意:
UFWファイアウォールが「有効」になって再起動が発生するたびに、すでに保存されているすべてのルールが次の場所に保存されます: /lib/ufw/user.rules
/lib/ufw/user6.rules
または次の場所:
/etc/ufw/user.rules
/etc/ufw/user6.rules
再起動時に再アクティブ化されます。
警告:一部のウォッチドッグはファイルが変更されていないことを確認しており、事前に編集されたバージョンに自動的に戻るため、上記のファイルを変更しようとしないでください。;-(。UFWコマンドを使用して、ファイアウォールに変更を加えます。
Xen DOM0でUFWを使用する:
XEN DOM0でUFWを使用する際に問題が発生しました。これは、デフォルトの動作としてUFWがDOMUへのパケットの転送をブロックするためです。
これを修正するには、ファイル/ etc / default/ufwを編集して変更します。 ACCEPTの次の設定:
DEFAULT_FORWARD_POLICY ="ACCEPT"
これにより、DOM0のみが保護され、他のすべてのトラフィックがDOMUに転送され、各DOMUはそれらのレベルを保護します。
次に、次のようにUFWを再起動します。
ufw disable
ufw enable
このテーマの詳細については、次のリンクをお勧めします:
https://www.digitalocean.com/community/tutorials/how-to-setup-a-firewall-with-ufw-on-an-ubuntu-および-debian-cloud-server
ロギング
UFWのロギングは、標準で / var / log / syslogに行われます。 。このログを無効にするには、次の手順を実行します。
–ファイルを編集します: /etc/rsyslog.d/20-ufw.conf (以下のコンテンツを参照)、最後の行から始まる「#」を削除し、次のコマンドを実行してファイアウォールへの変更を更新します。
ufw disable
ufw enable
/etc/rsyslog.d/20-ufw.confのコンテンツ :
#ログカーネルが生成したUFWログメッセージをファイルに
:msg、contains、 "[UFW" /var/log/ufw.log
#
#コメントを外す次の手順に従って、最後のルールに一致するもののログ記録を停止します。
#これを行うと、カーネルで生成されたUFWログメッセージのファイルへのログ記録が停止します。
#通常はkern。*メッセージ(例:/ var / log / kern)が含まれます。ログ)
#&〜