Главная >> Безопасность >> Настройка gufw в Ubuntu

Настройка gufw в Ubuntu

Фаервол - это один из самых важных инструментов для управления безопасностью вашей системы Linux. Если ваш компьютер подключен к сети, вы не можете считать его безопасным, несмотря на то, что Linux - это более безопасная система, не стоит игнорировать правила безопасности.

Операционная система Linux известна своим мощнейшим фаерволом - iptables. Но несмотря на свою мощность, этот фаервол очень сложный, им нужно управлять с помощью длинных и сложных консольных команд. Просматривать информацию о соединениях здесь тоже нужно в консоли. Поэтому он недоступен для большинства новых пользователей.

В Ubuntu, ситуация еще хуже, потому что здесь фаервол отключен по умолчанию и нет простого способа запустить его. Для управления фаерволом необходимо будет настроить несколько скриптов, а это непростая задача для начинающего пользователя. Вы можете вручную искать и создавать правила iptables, или же найти инструмент, с помощью которого будет облегчена настройка firewall ubuntu.

Чтобы обеспечить более легкую настройку firewall в linux был создан Uncomplicated Firewall или простой firewall, ufw. Затем была создана графическая утилита - gufw, чтобы настройка ufw была еще легче.

В этой инструкции мы рассмотрим как выполняется настройка фаервола ubuntu. Мы рассмотрим запуск и остановку службы, создание правил и просмотр сетевых журналов и все это без использования терминала. Gufw сделает iptables более простым, как и любой фаервол в операционной системе Windows. Все что вам понадобится - это базовое понимание принципов работы сетей.


Содержание статьи

Установка Gufw в Ubuntu

По умолчанию в Ubuntu не поставляется со встроенным фаерволом Gufw, но вы можете его очень просто установить из официальных репозиториев. Установка gufw ubuntu выполняется командой:

sudo apt install gufw

Когда установка gufw ubuntu будет завершена, вы можете найти и запустить программу из главного меню Dash или с помощью настроек системы.

gufw1

Для запуска программы необходимо ввести пароль:

gufw

Чтобы настройка firewall ubuntu применялась и после перезагрузки необходимо добавить его в автозагрузку, для этого выполните:

sudo ufw enable

Настройка фаервола Ubuntu

Главное окно программы выглядит вот так, здесь, кроме главных инструментов есть небольшая справка пр работе с программой:

gufw2

Здесь есть все необходимые функции, чтобы настройка gufw ubuntu была удобной, но в то же время очень простой. Для начала нужно включить работу фаервола переключив переключатель статус в положение включен. Окно программы сразу изменится и станут доступными все функции:

gufw5

Здесь вы можете менять общие режимы работы для дома, общественного места и офиса. С различными параметрами для трафика и правилами. Режим для дома блокирует входящий трафик и разрешает исходящий. Профили отличаются только параметрами входящего и исходящего трафика.

Открыв меню Правка, Параметры, вы можете настроить общую работу Gufw linux, здесь вы также можете создавать свои профили. Для каждого профиля вы можете добавлять свои правила.

gufw1

Настройка правил gufw

Запрет и разрешение трафика для входящих и исходящих подключений ничего бы не значило, если бы не было возможности настройки правил для определенных приложений и сервисов. Настройка правил программы выполняется в главном окне.

В самом низу есть три кнопки, добавить правило +, удалить правило - и кнопка в виде бутерброда для редактирования правила.

Давайте сначала запретим весь входящий и исходящий трафик:

gufw8

Затем попытайтесь выполнить в терминале ping запрос к какому либо сайту. Ничего не получится. Это так называемая строгая блокировка, когда мы разрешаем только нужные процессы, все остальное запрещено:

ping ya.ru

gufw2

Gufw ubuntu блокирует весь трафик, теперь разрешим dns с помощью правила. Для этого нажмите +. В открывшимся окне вы можете выбрать политику разрешить или запретить, в нашем случае нужно разрешать.

gufw3Во второй строчке можно указать направление трафика - входящий или исходящий, а также можно выбрать оба направления.

Дальше мы должны выбрать приложение или службу, для которой нужно мы будем разрешать трафик. Вы можете выбрать категорию и под категорию чтобы облегчить поиск или же воспользоваться фильтром приложений, нас сейчас интересует DNS.

Осталось нажать кнопку Добавить, чтобы правило было добавлено:

gufw9

После завершения добавления правила окно не закроется и настройка gufw ubuntu может быть продолжена. Вы можете добавлять другие правила. Но перед тем, давайте проверим действительно ли работает DNS:

ping ya.ru

gufw4

DNS работает IP адрес был получен, но ICMP все еще не разрешен. Подобно тому как мы это сделали, можно настроить правило для любого из доступных приложений.

Но правила созданные таким способом не могут контролировать все программы и порты. Поэтому существуют расширенные способы создания правил.

В окне создать правило, кроме вкладки Предустановленные, вы можете выбрать Обычные или Расширенные. На вкладке Обычные нет выбора приложения, здесь вы можете выбрать только порт и протокол:

gufw5

А на вкладке расширенные есть также настройка входящего и исходящего IP адреса:

gufw10

Теперь давайте разрешим работу браузеров Chromium, Firefox и т д. Для этого нам понадобится разрешить работу исходящий трафик на порт 80 и из порта 80, а также 443, или же мы можем воспользоваться предустановленным набором правил для сервисов HTTP и HTTPS:

gufw7

gufw6

gufw11

После добавления этих правил браузеры будут работать. Таким образом, может быть выполнена настройка gufw ubuntu, для всех необходимых вам приложений. Кроме разрешающих правил, вы можете создавать запрещающие, просто установив главное поведение программы все разрешить, а потом создавайте правила для запрета тех или иных служб.

Но здесь есть еще одно но, чтобы знать как и что разрешать и запрещать возможно вам понадобятся журналы программы.

Посмотрев какие программы пытаются проникнуть в сеть вы сможете понять что нужно разрешить и нет.

Посмотреть какие программы работают с сетью вы можете на вкладке отчет в главном окне:

gufw12

А на вкладке журнал вы найдете информацию по работе программы, переключению режимов и удалению правил.

gufw13

С этой информацией настройка фаервола Ubuntu будет более эффективной и вы сможете решить возникшие проблемы.

Выводы

Вот и все. Настройка фаервола gufw в Ubuntu завершена, теперь вы сможете правильно выполнить настройку программы и сделать свою систему более безопасной. Если остались вопросы - пишите в комментариях.

Оцените статью

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (22 оценок, среднее: 5,00 из 5)
Загрузка...

21 комментарий к “Настройка gufw в Ubuntu”

  1. Доброго времени суток! Как настроить сетевой экран так, чтобы работал Eiskalt DC? Я добавлял программу в исключения (создавал правило), но Eskalt DC не мог выполнять поиск. Только когда отключал сетевой экран, программа выполняла поиск.

    Ответить
    • Я никогда не работал с этой программой. Попробуйте выяснить какие порты нужны ей для работы и разрешите трафик для них в программе. Порты можно посмотреть на вкладке отчет программы.

      Ответить
  2. скажите, а если оставить всё как есть после переключения статуса на "включен", (т.е. входящие - разрешить, исходящие - запретить), будет толк от ТАКИХ настроек, будет ли фаерволл выполнять свои функции по защите?

    Ответить
    • Не полностью. Будут блокироваться исходящие пакеты, которые не соответствуют правилам, а вот все входящие будут разрешены.

      Ответить
  3. Здравствуйте, подскажите пожалуйста:
    1: Можно ли удалять там где (v6)
    2: Почему при каждом новом подключении меняеться порт для "dhclient", единственный порт который не меняеться для "dhclient"это "68", а остолние "два dhclient" при каждом подключении меняет порт.
    Почему это происходит и как быть...

    Ответить
  4. Предохранение вашей системы от ответов на ping запросы, отключение широковещательных сообщений и включение предупреждений обо всех неправильных сообщениях.

    sudo nano /etc/ufw/sysctl.conf

    и исправить 0 на 1

    # Ignore bogus ICMP errors
    net/ipv4/icmp_echo_ignore_broadcasts=1
    net/ipv4/icmp_ignore_bogus_error_responses=1
    net/ipv4/icmp_echo_ignore_all=1

    Затем перезагрузить сеть

    sudo /etc/init.d/networking restart

    и готово.

    Ответить
  5. Статья в раздел ЮморГода. Все мои попытки повтопить опыт закончилтсь на том что DNS не идёт при закрытых входящих и исходящих, какие правила не сочиняй. Ну и ICMP конечно же, позвольте поинтересоваться , а порт какой Вы для icmp написали ?
    Статья ни очём в целом, но сделано красиво

    Ответить

Оставьте комментарий