Версия: 0.36.2
UFW (Uncomplicated Firewall) - интерфейс для управления сетевыми фильтрами, основанными на системе iptables в Linux. Он предназначен для облегчения настройки и управления брандмауэром.
Контактная информация:
Официальный сайт
Лицензия:
GPL3
Синтаксис:
ufw КОМАНДА
Команды:
| Команда | Описание |
|---|---|
| enable | включает брандмауэр |
| disable | выключает брандмауэр |
| default ARG | устанавливает политику по умолчанию |
| logging LEVEL | устанавливает уровень логирования на LEVEL |
| allow ARGS | добавляет правило разрешения |
| deny ARGS | добавляет правило запрета |
| reject ARGS | добавляет правило отклонения |
| limit ARGS | добавляет правило ограничения |
| delete ПРАВИЛО|НОМЕР | удаляет ПРАВИЛО |
| insert НОМЕР ПРАВИЛО | вставляет ПРАВИЛО на позицию НОМЕР |
| prepend ПРАВИЛО | добавляет ПРАВИЛО в начало списка |
| route ПРАВИЛО | добавляет маршрутное ПРАВИЛО |
| route delete ПРАВИЛО|НОМЕР | удаляет маршрутное ПРАВИЛО |
| route insert НОМЕР ПРАВИЛО | вставляет маршрутное ПРАВИЛО на позицию НОМЕР |
| reload | перезагружает брандмауэр |
| reset | сбрасывает настройки брандмауэра |
| status | показывает статус брандмауэра |
| status numbered | показывает статус брандмауэра как пронумерованный список ПРАВИЛ |
| status verbose | показывает подробный статус брандмауэра |
| show ARG | показывает отчет брандмауэра |
| version | отображает информацию о версии |
Команды профиля:
| Команда | Описание |
|---|---|
| app list | выводит список профилей приложений |
| app info ПРОФИЛЬ | показывает информацию о ПРОФИЛЕ |
| app update ПРОФИЛЬ | обновляет ПРОФИЛЬ |
| app default ARG | устанавливает политику по умолчанию для приложений |
Внимание! Предупреждение актуально для удалённой настройки (потеря соединения):
Во избежание потери соединения с удаленным компьютером при включении правил UFW, необходимо настроить соответствующие правила.
Для включения брандмауэра следует открыть терминал и ввести команду:
sudo ufw enable
Для добавления брандмауэра (ufw.service) в автозапуск следует воспользоваться графической утилитой "Службы и процессы systemd" или выполнить команду в терминале:
sudo ubconfig set [system] SERVICES_ENABLE++=ufw.service
Если ufw.service не был добавлен в автозапуск, то брандмауэр после перезагрузки будет выключен независимо от режима загрузки операционной системы.
Проверить добавление сервиса следует командой:
sudo systemctl status ufw.service
Примерный вывод:
ufw.service - CLI Netfilter Manager
Loaded: loaded (/usr/lib/systemd/system/ufw.service; enabled; preset: disabled)
Active: active (exited) since Mon 2025-01-13 09:05:53 +06; 1h 32min ago
Main PID: 6483 (code=exited, status=0/SUCCESS)
CPU: 86ms
Для выключения UFW следует открыть терминал и ввести:
sudo ufw disable
Для проверки состояния UFW следует открыть терминал и ввести:
sudo ufw status
Если UFW не был включен, то вывод:
Status: inactive
Если UFW включен, то вывод показывает текущее состояние UFW и список активных правил. В данном случае, вывод содержит следующую информацию:
Status: active
To Action From
-- ------ ----
SSH LIMIT Anywhere
WWW Full ALLOW Anywhere
SSH (v6) LIMIT Anywhere (v6)
WWW Full (v6) ALLOW Anywhere (v6)
Где:
Для проверки правил ufw следует открыть терминал и ввести (команда работает только при status:active):
sudo ufw status verbose
Примерный вывод:
Status: active
To Action From
-- ------ ----
SSH LIMIT Anywhere
WWW Full ALLOW Anywhere
445/tcp ALLOW Anywhere
SSH (v6) LIMIT Anywhere (v6)
WWW Full (v6) ALLOW Anywhere (v6)
445/tcp (v6) ALLOW Anywhere (v6)
Для проверки правил, которые были настроены, следует ввести (команда работает и при status:active и при status:inactive):
sudo ufw show added
Примерный вывод:
Added user rules (see 'ufw status' for running firewall):
ufw limit SSH
ufw allow 'WWW Full'
ufw allow 445/tcp
Где:
Для добавления правила позволяющего разрешать ssh соединения следует открыть терминал и ввести команду:
sudo ufw allow ssh
Для защиты от brute-force атак входа следует ввести команду ограничения:
sudo ufw limit ssh
HTTP (порт 80) и HTTPS (порт 443) используются для веб-сервисов. Разрешение этих портов необходимо для работы веб-серверов.
Для разрешения только HTTP следует открыть терминал и ввести:
sudo ufw allow http
Для разрешения только HTTPS следует ввести:
sudo ufw allow https
Для разрешения обоих портов (HTTP и HTTPS) следует ввести:
sudo ufw allow 'WWW Full'
Для разрешения FTP (21 порт) следует открыть терминал и ввести:
sudo ufw allow ftp
Для добавления разрешений диапазону портов следует открыть терминал и ввести:
sudo ufw allow 3000:3100/tcp
sudo ufw allow 3000:3100/udp
Для добавления разрешения необходимому IP-адресу следует открыть терминал и ввести:
sudo ufw allow from 192.168.1.100
Чтобы указать доступ к конкретному порту следует ввести:
sudo ufw allow from 192.168.1.100 to any port 22
Для добавления диапазона IP-адресов следует ввести:
sudo ufw allow from 192.168.1.0/24 to any port 22
Для ограничения подключений с определенных портов следует открыть терминал и ввести:
sudo ufw deny http
Для запрета соединений с IP-адреса следует ввести:
sudo ufw deny from 123.45.67.89
Для удаления правил следует вывести номер правила в таблице правил командой:
sudo ufw status numbered
Примерный вывод:
Status: active
To Action From
-- ------ ----
[ 1] SSH LIMIT IN Anywhere
[ 2] WWW Full ALLOW IN Anywhere
[ 3] 445/tcp ALLOW IN Anywhere
[ 4] SSH (v6) LIMIT IN Anywhere (v6)
[ 5] WWW Full (v6) ALLOW IN Anywhere (v6)
[ 6] 445/tcp (v6) ALLOW IN Anywhere (v6)
Выбрав необходимый номер правила следует ввести команду:
sudo ufw delete 3
Где:
Для настройки уровней ведения журнала UFW следует открыть терминал и ввести:
sudo ufw logging <level>
Где:
Для просмотра файлов относящихся к журналам UFW следует ввести:
ls /var/log/ufw*
Установить можно отдельным модулем или пакетом:
Для установки следует воспользоваться утилитой "Установка и удаление программ".
Модуль, необходимый для установки:
Внимание! Данный системный модуль может быть уже установлен.
Для установки следует воспользоваться утилитой "Установка и удаление программ".
Пакет, необходимый для установки:
Внимание! Если система загружена в режиме полного сохранения, то внесенные изменения в систему будут сохранены после перезагрузки.
Если режим загрузки другой, то рекомендуется воспользоваться утилитой "Сохранение изменений" до перезагрузки системы.