¶ О программе
Версия: 24.04
Межсетевой экран - графический пользовательский интерфейс для простого брандмауэра.
UFW предназначен для легкого, интуитивно понятного управления межсетевым экраном. Он поддерживает общие задачи, такие как разрешение или блокирование предварительно настроенных, общих P2P, или отдельных портов.
Основные функции:
- Многопортовые входящие правила;
- Отклонение входящих правил;
- Вставка правила;
- Уровни журнала;
- Ведение журнала по правилам;
- Исходящая фильтрация (наравне с входящей);
- Фильтрация по интерфейсу;
- Улучшенная отчетность;
- Команда сброса;
- Поддержка rsyslog;
- Удаление по номеру правила;
- Расширенная поддержка протокола (ах, esp);
- Ограничение скорости IPv6 с помощью команды limit;
- Политика входящего трафика по умолчанию (разрешить/запретить);
- Разрешить/запретить входящие правила;
- Расширяемая структура;
- Интеграция приложений;
- Ограничение входящих правил (ограничение скорости);
- и т.д.
Контактная информация:
Официальный сайт
Лицензия:
Стандартная общественная лицензия GNU версии 3 (GPLv3)
Запуск программы:
Для того чтобы открыть, следует перейти: Меню приложений > Настройка межсетевого экрана.
Необходимо выбрать программу в разделе меню или ввести в строке поиска часть названия программы.
Данная утилита работает только с правами root, для этого перед запуском будет выведено окно аутентификации.
¶ Интерфейс
Элементы управления межсетевым экраном:
- Профиль
Позволяет выбрать один из предустановленных наборов настроек. Профили отличаются только параметрами входящего и исходящего трафика:- Офис
Входящий трафик запрещен, исходящий разрешен; - Общественное место
Входящий трафик отклонен, исходящий разрешен; - Дом
Входящий трафик запрещен, исходящий разрешен.
- Офис
- Статус
Переключатель активации; - Входящие
Разрешить/запретить входящий трафик; - Исходящие
Разрешить/запретить исходящий трафик;
Сразу после установки и включения весь входящий трафик блокируется, а исходящий — пропускается без проблем.
В большинстве случаев это оптимальное решение.
Запрет входящего и исходящего трафика одновременно блокирует все подключения. Использование такого метода возможно при условии, что будут добавлены правила доверенным процессам и программам
¶ Правила
На вкладке "Правила" перечислены все установленные правила на выбранный профиль.
В нижней части окна расположены кнопки:
- Добавить правило
Позволяет добавить правило в выбранный профиль; - Удалить выбранные правила
Позволяет удалить правило в выбранном профиле. Выбрать несколько правил можно с помощью ctrl. - Изменить выбранное правило
Позволяет изменить правило. Правило, добавленное из ufw, является неизменяемым правилом.
Политики правил:
- Разрешить
Если не найдено соответствующее правило, соединение будет разрешено. - Запретить
Если не найдено разрешающее правило, соединение не удастся. - Отклонить
При отсутствии разрешающего правила пакет будет отклонен, а отправитель получит уведомление об этом. - Ограничить
Ограничивает количество подключений к указанному порту/ip в единицу времени. Разрешается 6 обращений за 30 секунд, все остальное будет заблокировано.
¶ Отчет
На вкладке "Отчет" представлены программы использующие сеть. У каждой программы отображен порт, который можно указать для настройки правил.
В нижней части окна расположены кнопки:
- Приостановить отчет прослушивания
Позволяет остановить запись в отчет прослушивания. - Создать правило из отчета прослушивания
Позволяет создать правило в профиль на основании выбранного из таблицы отчета.
¶ Журнал
На вкладке "Журнал" представлен журнал событий, в который записываются все действия и состояния.
В нижней части окна расположены кнопки:
- Скопировать журнал в буфер обмена - позволяет скопировать все записанные в журнал действия.
- Удалить журнал - позволяет очистить все записанные в журнал действия.
¶ Параметры
Профили можно редактировать, добавлять, удалять и переименовывать. Для этого необходимо перейти: Правка > Параметры.
Двойной щелчок на профиле позволит его переименовать.
Для добавления и удаления необходимо использовать расположенные внизу кнопки и .
¶ Использование
¶ Включение межсетевого экрана
Внимание! Предупреждение актуально для удалённой настройки (потеря соединения):
Во избежание потери соединения с удаленным компьютером при включении правил UFW, необходимо настроить соответствующие правила.
Для включения брандмауэра следует перейти: Меню приложений > Настройка межсетевого экрана.
Необходимо выбрать программу в разделе меню или ввести в строке поиска часть названия программы.
В пункте "Статус" установить переключатель в положение "Включено":
Для добавления брандмауэра (ufw.service) в автозапуск следует воспользоваться графической утилитой "Службы и процесссы systemd".
Если ufw.service не был добавлен в автозапуск, то брандмауэр после перезагрузки будет выключен независимо от режима загрузки операционной системы.
¶ Настройка правил
- Создать новый профиль:
Правка > Параметры; - В нижней части окна
нажать кнопку""; - Дважды щелкнуть по имени нового профиля,
переименоватьизакрыть окно:
- Выбрав созданный профиль, необходимо
активировать статус, а такжезапретить входящий и исходящий трафик:
-
На вкладке "Правила" в нижней части окна
нажать на кнопку"". -
В пункте "Политика"
указать "Разрешить"; -
В пункте "Направление"
указать направление трафика; -
В пункте "Приложение"
указать приложениеилислужбу, для которой нужно разрешать трафик (в примере DNS). Категория, подкатегория и строка поиска предназначены для фильтрации приложений:
- Нажать кнопку
"Добавить";
Правила созданные таким способом не могут контролировать все программы и порты.
- Разрешить работу браузеров: добавить два новых правила с
указанием приложения "http"и"https":
По аналогии следует добавить необходимые приложения в список правил.
При добавлении новых правил на вкладках "Обычные" и "Расширенные" можно указать дополнительные параметры, например исходящего и входящего порта, ip-адреса.
На вкладке "Отчет" отображены все приложения, использующие сеть с номерами портов.
¶ Установка
Установить можно отдельным модулем или пакетом:
Для установки следует воспользоваться утилитой "Установка и удаление программ".
Модуль, необходимый для установки:
- ubm-050-xorg-gtk-app
Внимание! Данный системный модуль может быть уже установлен.
Для установки следует воспользоваться утилитой "Установка и удаление программ".
Пакет, необходимый для установки:
Внимание! Если система загружена в режиме полного сохранения, то внесенные изменения в систему будут сохранены после перезагрузки.
Если режим загрузки другой, то рекомендуется воспользоваться утилитой "Сохранение изменений" до перезагрузки системы.