Kategorie | Bezpieczeństwo, Linux, Poradniki, Programy, Ubuntu

  

ufw czyli nieskomplikowany firewall w Ubuntu

Opublikowano 18 sierpnia 2010 przez Franek

ufw (Uncomplicated Firewall) jest zaporą sieciową, która w bardzo prosty sposób pozwala skonfigurować Iptables. ufw obsługuje się z poziomu linii poleceń, jednak polecenia używane do konfiguracji programu są o wiele prostsze i bardziej z zrozumiałe niż te używane bezpośrednio w Iptables. Przez co nawet początkujący użytkownik poradzi sobie z konfiguracją ściany ogniowej.

Instalacja

ufw znajduje się domyślnie w Ubuntu od wersji 8.04, jeśli jednak nie posiadasz go w systemie to zainstaluj go teraz:

sudo apt-get install ufw

Użytkowanie

Domyślnie ufw jest wyłączony, po włączeniu zapora będzie uruchamiała się z domyślnymi ustawieniami (odrzucanie wszystkich połączeń przychodzących i akceptowanie wszystkich połączeń wychodzących) i startowała razem z systemem. ufw włącza i się następująco:

sudo ufw enable
A wyłącza:
sudo ufw disable

Aby zobaczyć status zapory należy wpisać:
sudo ufw status
Szczegółowe informacje odnośnie statusu uzyskuje się poprzez:
sudo ufw status verbose

Podstawowe reguły
Listę już użytych reguł uzyskuje się wpisując:
sudo ufw status numbered
Kasowanie reguły numer jeden:
sudo ufw delete 1
Blokowanie wszystkich przychodzących połączeń:
sudo ufw default deny incoming
Akceptowanie wszystkich przychodzących połączeń:
sudo ufw default allow incoming
Blokowanie wszystkich wychodzących połączeń:
sudo ufw default deny outgoing
Akceptowanie wszystkich wychodzących połączeń:
sudo ufw default allow outgoing
Blokowanie portu 80:
sudo ufw deny 80
Akceptowanie połączeń na porcie 80:
sudo ufw allow 80
Otwarcie 80 portu TCP:
sudo ufw allow 80/tcp
Zamknięcie portu 80 TCP:
sudo ufw delete allow 80/tcp
Otwarcie 80 portu UDP:
sudo ufw allow 80/udp
Zamknięcie portu 80 UDP:
sudo ufw delete allow 80/udp
Akceptowanie połączeń z danej rangi portów TCP:
sudo ufw allow 800:900/tcp
Akceptowanie połączeń z danej rangi portów UDP:
sudo ufw allow 800:900/udp
Akceptowanie połączeń z konkretnego numeru IP:
sudo ufw allow from 192.168.0.13
Wyłączenie akceptacji połączeń z konkretnego numeru IP:
sudo ufw delete allow from 192.168.0.13

Nakładka graficzna

Istnieje również nakładka graficzna na ufw która umożliwia konfigurację zapory z poziomu graficznego interfejsu użytkownika. Mowa tutaj o Gufw, aplikacja ta została napisana a Pythonie przy użyciu GTK. Jest bardzo prosta, a co ważne posiada pre konfigurowane reguły na przykład dla różnych sieci p2p, co dla niektórych może być ważne. Instalacja sprowadza się do wpisania:

sudo apt-get install gufw

Więcej informacji wiki.ubuntu.com

  

5 Comments For This Post

  1. Klucha aka Rakowaty Says:

    ufw = kolejna nakładka na wysłużony iptables
    Gufw = nakładka na nakładkę iptables

    jako graficzną alternatywę polecam firestarter firewall http://www.fs-security.com/,
    prosty w obsłudze małpa nawet da rade zdziałać wszystko (konfig DHCP, p2p, przechodzenie NAT, wszystko co ip tables = wiele więcej)

    Nie poleca się kompilować z debianami , przyswarza problemów z kompilacja, trzeba ręcznie cały plik configure edytować, ale dla chcącego nic trudnego, ma też powiadomienia wyskakujące w przypadku ataku, a po dolinkowaniu specjalnych pluginów moze robić za tzw " honeypot" zakładany dynamicznie podczas ddosa :) to tyle z mojej strony
    pozdro dla Franka (Klucha z górnego)

  2. Franek Says:

    To ma być prosta zapora dla każdego, czujesz różnice? =D

  3. rakowaty Says:

    czuje :)

  4. Tom Says:

    @Franek, jeśli tego ktoś nie skuma to już prościej się nie da. Ufw używam na Mint'cie z nakładką graficzną i jest przyjazne dla user'a

  5. df69 Says:

    Cześć, właśnie testuję Minta 'Qiana' i pierwsze co zrobiłem to zainstalowałem gufw. Przyznam że jest bardzo prosty ale przydałoby się podobne narzędzie z możliwością tworzenia blacklisty ipków np w zewnętrznym pliku lub możliwość importu listy. Szukam czegoś na wzór Peerblocka z winzgrozy gdzie mogłem sobie zaimportować listy z iblocklist.com.
    Dla ścisłości napiszę że podoba mi sie nowy mint i zostałbym przy nim gdybym mógł wywalić/zablokować szpiega amazonu (który jest m.in. sponsorem ubuntu i minta). Chcesz wiedzieć o co mi chodzi to wyszukaj coś w przeglądarce i od razu w konsoli wbij "netstat -t -W". Jeśli macie jakiś sposób na to ustrojstwo to dajcie znać.
    BTW pozdrowienia dla wszystkich linuksiarzy z Piły ;)

    p.s. Blokowanie bezpośrednio na iptables kolejnych ip to nie rozwiązanie – życzę powodzenia jeśli nie znasz puli adresowej serwerów amazonu. Na iblocklist istnieje takowa lista dostępna w płatnej subskrypcji.

Leave a Reply

Polityka komentarzy

     
     
Green Dog Says

MiniBlog

Przeczytaj poprzedni wpis:
SteamBox jeszcze w tym roku

O konsoli do gier której producentem ma być Valve plotkuje się w internetach już od dłuższego czasu. Co raz więcej...

Zamknij