サーバーに UFW ファイアウォールを簡単にインストールして構成する方法

サーバーを管理する場合、セキュリティを低下させるために最初に設定する必要があるのはファイアウォールの設定です。幸いなことに、Linux には Iptables と呼ばれるデフォルト設定が含まれており、多くの人はこのファイアウォールの設定と管理が少し難しいと感じています。複雑。 UFW など、より簡単な代替手段を利用できます。

UFW は実際には、Linux 用 Iptables ファイアウォールを含む CLI またはコマンド ライン インターフェイスであり、Iptables をより簡単に管理および設定する方法を提供します。 UFW の場合は、デスクトップ PC またはラップトップでファイアウォールの管理と構成に使用できる GUFW と呼ばれる GUI またはグラフィカル インターフェイスもあります。

サーバーにUFWをインストールします

インストールするにはLinuxでファイアウォールを表示する方法、ターミナルにコマンドを書くだけです -

linuxidc@linuxidc:~/$sudoapt-getinstallufw

デフォルトでは、UFW はインストール後に無効になります Linux でファイアウォールを表示する方法 そのため、コマンドを使用してそのステータスを表示できます -

linuxidc@linuxidc:~/$sudoufwstatusverbose

ステータス: 非アクティブ

UFWの基本構成

サーバーを保護するために UFW で使用できるいくつかの基本構成。

デフォルトのルール:

名前が示すように、Linux がどのようなシステムであるかを確認してください。デフォルトのルールは、ファイアウォールを簡単に設定できる一連の標準ルールです。このタイプのルールでは、受信トラフィックまたは送信トラフィックを許可するか拒否するかを指定できます。その他のルールも同様です。

実際、GUFW を使用するための特に優れた構成は、PC にインストールされることはほとんどなく、すべての受信トラフィックを拒否し、送信トラフィックを許可することです。

次のコマンドを使用して調整できます:

linuxidc@linuxidc:~/$sudoufwdefaultdenyincoming

デフォルトの受信ポリシーが「拒否」に変更されました

(それに応じてファイアウォールルールを更新してください)

すべての受信トラフィックを拒否します。

linuxidc@linuxidc:~/$sudoufwdefaultallowoutcoming

デフォルトの送信ポリシーが「許可」に変更されました

(それに応じてファイアウォールルールを更新してください)

これら 2 つの構成により、PC は十分に保護されます。また、セキュリティを向上させたい場合は、より高いセキュリティを得るために送信トラフィックを拒否することもできます。実際、その欠点は、アプリケーションには送信トラフィック ルールが必要であることを知っておく必要があります。適切に機能します。

接続を許可:

サーバー上にファイアウォールを設定し、すべての受信トラフィックを拒否するとします。 SSH 経由でリモートに接続するにはどうすればよいですか?ポート 22 への接続を許可するルールを適用する必要があります。

そこで、allow オプションを使用して、受信トラフィックを許可するポートと、それらが使用する TCP コントラクトを指定します。

linuxidc@linuxidc:~/$sudoufwallow22/tcp

ファイアウォールルールが更新されました

ルールが更新されました (v6)

UFW には、その名前で使用できるいくつかのプリセット ルールが付属しています。たとえば、前のコマンドは、SSH 接続のポートとして使用されることが知られているポート 22 を開こうとします。このルールは、次のコマンドを使用して有効にすることもできます。

linuxidc@linuxidc:~/$sudoufwallowssh

既存のルールの追加をスキップします

既存のルールの追加をスキップする (v6)

同様に、他の事前構築ルールを使用して、ポート 80 を使用する HTTP、ポート 443 を使用する HTTPS などの既知のサービスを処理できます。

ポート範囲:

ポートへの受信トラフィックだけでなく、ポート内の受信トラフィックの範囲も許可することもできます。たとえば、Mosh アプリケーションでは、ポート 60000 から契約された 61000 までのポート範囲が必要な場合があります。 UDPを開きます。

次のコマンドを入力して適用できます:

linuxidc@linuxidc:~/$sudoufwallow60000:61000/udp

ファイアウォールルールが更新されました

ルールが更新されました (v6)

接続が拒否されました:

受信接続を許可するのと同じ方法で、そのような接続を拒否できます。

すべての受信トラフィックを許可するデフォルトのルールがあるとします (推奨されません)が、特定のポートの受信トラフィックのみを拒否したい場合は、次のような構成を適用できます:

linuxidc@linuxidc:~/$sudoufwdeny22/tcp

ファイアウォールルールが更新されました

ルールが更新されました (v6)

同様に、ポート範囲を拒否できます。

linuxidc@linuxidc:~/$sudoufwdeny60000:61000/udp

ファイアウォールルールが更新されました

ルールが更新されました (v6)

ルールの削除:

最初に開いたポート 22 の代わりにポート 2222 を使用するように SSH サーバーを設定したと仮定すると、ポート 22 を許可する元のルールを削除する必要があります。これは、次のコマンドを使用して実行できます。

sudoufwdeleteallow22/tcp

同様の形式で、一連のポートの場合、これを行うことができます:

sudoufwdeleteallow60000:61000/udp

たとえば、UFW で完成されたルールのセットがあり、それらを削除したいが、ある種の複雑なルールであるため削除の実行方法がわからない場合、次のコマンドでそれらを列挙できます:

linuxidc@linuxidc:~/$sudoufwstatusnumbered

ステータス:アクティブ化

から行動へ

-----

[1]22/tcpDENYINAどこでも

[2]60000:61000/udpDENYINAどこでも

[3]22/tcp(v6)DENYINAnywhere(v6)

[4]60000:61000/udp(v6)DENYINAnywhere(v6)

これにより、次のような一連の番号付けルールが得られます:

ufwルールステータス

上で述べたように、ルールには番号が付けられているため、その番号を使用して特定のルールを削除できます。

linuxidc@linuxidc:~/$sudoufwdelete4

まもなく削除されます:

deny60000:61000/udp

続行しますか (y|n)?やあ

ルールは削除されました(v6)

UFW をアクティブ化および非アクティブ化する:

すべてのルールが設定され、すべてが正しくなったら、次のコマンドを使用してファイアウォールのアクティブ化に進みます:

linuxidc@linuxidc:~/$sudoufwenable

これにより、UFW がアクティブになり、指定されたルールを使用して接続が保護されます。

UFW を無効にする場合は、次のコマンドを入力してください:

linuxidc@linuxidc:~/$sudoufwdisable

何らかの理由で適用されるすべてのルールのキャンセルをリクエストした場合 -

linuxidc@linuxidc:~/$sudoufwreset

まとめ

これは、PC とサーバーに適切なセキュリティ層を追加できる UFW の基本構成にすぎません。セキュリティをさらに強化したり、特定のタスクを実行したりするために使用できる中間レベルの構成もあります。

Weitere Informationen zu Linux-Befehlen finden Sie auf der speziellen Seite der Linux-Befehle

RSS-Adresse der Linux-Gemeinde:

以上がサーバーに UFW ファイアウォールを簡単にインストールして構成する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。